Zgodnie z RODO, przekazywanie danych osobowych do państw trzecich może nastąpić wyłącznie pod warunkiem spełnienia określonych warunków. Musi ono zostać również odpowiednio odnotowane w prowadzonych rejestrach RODO (rejestrze czynności przetwarzania jak i rejestrze kategorii czynności przetwarzania).
Państwo trzecie zgodnie z RODO a UE i EOG
Pojęcie państwa trzeciego pojawia się w RODO wielokrotnie. Ma ono oczywiście również duże znaczenie praktyczne. Jest jednak w wielu sytuacjach rozumiane w nieprawidłowy sposób.
Bardzo często popełnianym błędem, jest utożsamianie obszaru stosowania przepisów RODO z terytorium UE.
Należy podkreślić, że RODO jest aktem prawnym przeznaczonym dla Europejskiego Obszaru Gospodarczego (EOG). EOG obejmuje swoim zasięgiem nieco więcej państw niż UE. Do państw UE dochodzą w tym zakresie Islandia, Norwegia i Liechtenstein.
W praktyce oznacza to, że jakiekolwiek transfery danych osobowych wewnątrz EOG, nie wymagają żadnych dodatkowych działań. W każdym z państw EOG Rozporządzenie działa bezpośrednio, tak samo jak w Polsce. Oczywiście mogą pojawić się pewne utrudnienia czy odmienności, jednak tylko tam, gdzie RODO zezwoliło na to lokalnym ustawodawcom.
Samo pojęcie państwa trzeciego nie zostało zdefiniowane w Rozporządzeniowym słowniczku, czyli art. 4 RODO. Nie było takiej potrzeby. Stosowanie RODO w obszarze EOG wynika już z samej wzmianki przy nazwie Rozporządzenia, określającej RODO jako „Tekst mający znaczenie dla EOG”.
Gdyby jednak definicja w RODO się pojawiła, najpewniej wyglądałaby ona tak:
„państwo trzecie” – oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego
Transfer danych do państwa trzeciego
Jeżeli zidentyfikowałeś w swojej organizacji przypadki przekazywania danych osobowych do państw trzecich i szukasz konkretnych rozwiązań dla takiego transferu, zapraszam do naszej obszernej analizy poświęconej temu obszarowi.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.