Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że:

1) państwo trzecie;

2) terytorium;

3) określony sektor lub określone sektory w tym państwie trzecim; lub

4) dana organizacja międzynarodowa,

zapewniają odpowiedni stopień ochrony.

W takich przypadkach, przekazywanie danych osobowych, może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia.

Ocena czy stopień ochrony jest odpowiedni

Oceniając czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy:

1) praworządność, poszanowanie praw człowieka i podstawowych wolności

2) odpowiednie ustawodawstwo, w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych;

3) zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej,

4) orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;

5) istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych;

6) międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową, w dziedzinie ochrony danych osobowych.

Decyzja stwierdzającą, że dany podmiot zapewnia odpowiedni stopień ochrony

Po dokonaniu oceny czy stopień ochrony jest odpowiedni, Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że dany podmiot zapewnia odpowiedni stopień ochrony.

Elementy aktu wykonawczego

W akcie wykonawczym:

1) przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej

2) zostaje określony terytorialny i sektorowy zakres jego zastosowania

3) gdy ma to zastosowanie – wskazany zostaje organ nadzorczy lub organy nadzorcze.

Monitorowanie zmian w państwach trzecich i jego konsekwencje

Komisja na bieżąco monitoruje zmiany w państwach trzecich i organizacjach międzynarodowych, mogące wpłynąć na obowiązywanie decyzji stwierdzającej zapewnienie odpowiedniego stopnia ochrony. Jeżeli dostępne informacje na to wskazują, Komisja przyjmuje decyzję stwierdzającą, że podmiot przestał zapewniać odpowiedni stopień ochrony, i w niezbędnym zakresie uchyla, zmienia lub zawiesza dotychczasową decyzję. Następnie Komisja podejmuje konsultacje z państwem trzecim lub organizacją międzynarodową, w celu zaradzenia sytuacji będącej przyczyną decyzji stwierdzającej, że podmiot przestał zapewniać odpowiedni stopień ochrony.

Relacja z innymi podstawami przekazywania

Decyzję stwierdzająca, że podmiot przestał zapewniać odpowiedni stopień ochrony, nie ma wpływu na przekazywanie danych osobowych do danego podmiotu, odbywającego się na innej podstawie prawnej (art. 46-49 rozporządzenia GDPR).

Wykaz podmiotów co do do których stwierdzono odpowiedni stopień ochrony lub jego brak

Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak.

Decyzje przyjęte przez Komisję na mocy dotychczasowej dyrektywy

Decyzje przyjęte przez Komisję na mocy dotychczasowej dyrektywy (95/46/WE), pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji, przyjętą na podstawie nowych przepisów.

Related Post