Data publikacji: 12.09.2014
Podmioty, organy lub osoby fizyczne, które pełnią funkcję Administratora Danych Osobowych mogą udostępniać dane osobowe do tzw. państw trzecich, ale tylko pod ściśle określonymi warunkami.
Ustawa o ochronie danych osobowych (Art. 47) wskazuje na zespół warunków, jakie spoczywają na administratorze, który ma zamiar udostępnić tego typu informacje do krajów trzecich.
Kraj trzeci – jak należy interpretować to pojęcie?
Kraje trzecie to te państwa, które nie wchodzą w skład tzw. EOG, czyli Europejskiego Obszaru Gospodarczego (dotyczy większości krajów europejskich z pewnymi wyłączeniami, np. Szwajcarii, Chorwacji).
W tej kategorii należałoby zawrzeć także kraje, które z tytułu dyrektywy art. 25 95/46/WE spełniają standardy ochrony danych osobowych, czyli m.in.:
- Kanada,
- Argentyna,
- Szwajcaria (chociaż Szwajcaria nie należy do EOG, to ze względu na tę dyrektywę nie należy do kategorii krajów trzecich)
- oraz kilka innych.
Wszystkie pozostałe państwa, które nie wchodzą w skład EOG rozszerzony o przytoczoną przez nas dyrektywę są określane mianem tzw. krajów trzecich.
Uwaga: pewne wyjątki stanowią także te podmioty gospodarcze, które uznają warunki „safe harbour PP” (i dotyczy to części firm np. z obszaru USA).
Te warunki musi spełnić Twoja firma, jeśli zdecydowała się na przekazywanie danych do państwa trzeciego:
Administratorzy (w tym przypadku firma), którzy chcą udostępnić dane innym podmiotom do krajów trzecich muszą spełnić szereg warunków formalnych. I tak np. informacje mogą być udostępnione tylko wtedy, jeśli państwo dysponuje podobnym systemem ochrony danych jak w Polsce.
Poza tym – podstawowym warunkiem jest tutaj także konieczność wyrażenia bezpośredniej zgody przez osobę prywatną, która użycza swoich danych i zezwala na ich dalsze przekazanie do krajów trzecich.
Pełna lista zobowiązań dostępna jest w Art. 47 ustawy o ochronie danych osobowych.