25. maja 2020 roku minęły 2 lata od wejścia w życiu Ogólnego Rozporządzenie o Ochronie danych Osobowych. Przewiduje ono kilka głównych przesłanek dopuszczalności przekazywania danych osobowych do państw trzecich. Nie muszą one być spełnione łącznie, lecz nic nie stoi na przeszkodzie, by były. Część z transferów odbywa się na podstawie decyzji Komisji Europejskiej, w której stwierdza ona, że państwo trzecie posiada odpowiedni poziom ochrony. To właśnie o tej przesłance napiszemy jako pierwszej. W kolejnych tekstach będziemy traktować o transferze na podstawie odpowiednich zabezpieczeń, w ramach wiążących reguł korporacyjnych oraz na podstawie wyjątków ujętych w RODO.

Odpowiedni stopień ochrony danych

Artykuł 45. ust. 1 RODO stanowi, że w przypadku decyzji Komisji Europejskiej o zapewnianiu przez państwo trzecie odpowiedniego stopnia ochrony, nie jest wymagane specjalne zezwolenie na przekazywanie danych. Pojęcie podmiotu, któremu dane są przekazywane, zostało rozszerzone także o terytorium, określony sektor lub określone sektory w tym państwie trzecim oraz o konkretną organizację międzynarodową. W celu zwiększenia jednolitości oceny w ramach UE i zapobieżenia „fragmentaryzacji” ochrony danych, możliwości wydawania decyzji ws. poziomu ochrony danych zostały pozbawione krajowe organy nadzorcze i administratorzy danych, dokonujący do tej pory „samooceny”[1].

Kryteria oceny państwa trzeciego przez KE

W art. 45 ust. 2. wymienione zostały kryteria, które KE bierze pod uwagę przy swojej ocenie:

  1. praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;
  1. istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz
  2. międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.[2]

W motywie 105 preambuły rozporządzenia a w odniesieniu do art. 45 ust. 2 pkt. c zacytowanego powyżej, zostaje przywołana konwencja nr 180 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych[3]. Można z tego wnosić, że państwa trzecie, które przystąpiły do Rady Europy będą miały ułatwioną drogę do uzyskania pozytywnej oceny KE w przypadku, gdy sprostają również punktom a-b.

Decyzja Komisji Europejskiej co do odpowiedniego poziomu ochrony

Należy w tym miejscu zaznaczyć, że decyzje KE ws. transferu do państw wymienionych w Dyrektywa 95/46/WE i uodo z 1997 r. – czyli ochrona danych osobowych przed RODO pozostają w mocy[4]. Komisja jest zobowiązana w art. 45 ust. 4 do monitorowania krajów trzecich, wobec których została wydana decyzja przed wejściem RODO oraz tych, które zostaną wydane później. W art. 45 ust. 3 zostało podkreślone jednak, że decyzje ws. zapewniania odpowiedniego poziomu ochrony przez państwa trzecie, przez sektory w tych państwach lub terytoriach, nie są dane raz na zawsze. Dotyczy to także decyzji ws. organizacji międzynarodowych. Podlegać mają one okresowym przeglądom przynajmniej raz na 4 lata. Decyzję w tej sprawie KE wydaje w formie aktu wykonawczego, który uwzględnia wszelkie mające znaczenie zmiany w państwie trzecim. Mają być w nim też określone:

  • terytorialny i sektorowy zakres jego stosowania,
  • organ lub organy nadzorcze, jeżeli takowe występują w danym państwie. 

Możliwość zmiany decyzji przez KE

Rozporządzenie 2016/79 przewiduje również, że KE może zmienić swoją decyzję. W niezbędnym zakresie uchyla, zmienia lub zawiesza wtedy decyzję stwierdzającą odpowiedni poziom ochrony w państwie trzecim. Mowa o tym w art. 45 ust. 5 rozporządzenia. Dzieje się to na mocy aktu wykonawczego bez mocy wstecznej i według procedury z art. 93 ust. 2 rozporządzenia. Przepis ten odsyła nas z kolei do art. 5 rozporządzenia 182/2011 z 16. lutego 2011[5], ustanawiającego przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję. W nagłych przypadkach będzie miał zastosowanie jednak art. 93 ust. 3 RODO, który odsyła nas do art. 8 rozporządzenia 182/2011 w związku z art. 5.

Komisja Europejska ma podejmować zgodnie z zapisem art. 45 ust. 6 i motywem 107 konsultacje z państwem trzecim „w celu zaradzenia sytuacji”. Już w tym fragmencie zaznacza się idea wyrażona przez art. 50 RODO, który nakazuje Komisji i krajowym organom nadzorczym podejmowanie współpracy międzynarodowej na rzecz ochrony danych osobowych.

Ewentualne uchylenie, zmiana lub zawieszenie decyzji KE ws. odpowiedniości ochrony w państwie trzecim pozostają bez znaczenia dla decyzji w sprawie przekazywania danych, które zostały wydane na mocy art. 46-49 (art. 45 ust. 7). KE jest zobowiązana do prowadzenia w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykazu państw trzecich, terytoriów i określonych sektorów w państwach trzecich oraz organizacji międzynarodowych, co do których wydała decyzje pozytywne, jak i negatywne w kwestii odpowiedniości poziomu ochrony.

Przypisy

[1]   Konarski Xawery, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i Polsce, [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 283

[2]    Zob. art. 45 ust. 2 rozporządzenia 2016/79

[3]    „Poza zobowiązaniami międzynarodowymi państwa trzeciego lub organizacji międzynarodowej, Komisja powinna brać pod uwagę obowiązki wynikające z udziału państwa trzeciego lub organizacji międzynarodowej w systemach wielostronnych lub regionalnych, w szczególności w odniesieniu do ochrony danych osobowych, a także realizację takich obowiązków. szczególności powinna wziąć pod uwagę przystąpienie państwa trzeciego do konwencji Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Oceniając stopień ochrony w państwach trzecich lub organizacjach międzynarodowych, Komisja powinna konsultować się z Europejską Radą Ochrony Danych.” – motyw 105 preambuły rozporządzenia 2016/79

[4]    Por. motyw 106 preambuły rozporządzenia 2016/79

[5]    https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex%3A32011R0182 – akt rozporządzenia 182/2011 z 16. lutego 2011

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *