Transfer danych w UE
Proces przetwarzania danych osobowych w każdym z państw należących do EOG został uregulowany w podobny sposób, w związku z tym pracodawcy, zamierzający np. zatrudnić pracownika – obywatela innego państwa będącego członkiem UE, nie muszą spełniać żadnych dodatkowych wymagań odnośnie do zabezpieczenia danych osobowych poza tymi stawianymi przez polską ustawę. Podobnie jest w przypadku transferu danych osobowych w ramach podmiotów mających swoje siedziby na terenie UE.
Przykład
Pracodawca w ramach oszczędności postanowił zwolnić wszystkich pracowników z działu księgowości i kadr. Obowiązki wykonywane przez te osoby przekazał firmie zewnętrznej, której siedziba znajduje się na terenie Francji. W takiej sytuacji wystarczy, aby pracodawca zawarł z firmą umowę o powierzenie przetwarzania danych osobowych. Umowa ta musi spełniać wszystkie wymagania dotyczące bezpieczeństwa przetwarzania danych osobowych, jakie stawia polska ustawa.
Generalny Inspektor Ochrony Danych Osobowych (zwany dalej GIODO) w jednej z odpowiedzi na pytania pracodawców stwierdził, że ustawa nie zawiera odrębnych przepisów regulujących przekazywanie danych osobowych w ramach państw EOG. Oznacza to, że przepływ danych w obrębie EOG jest traktowany tak samo jak transfer danych na terytorium Polski. Zasada ta obejmuje wszystkie państwa członkowskie Unii Europejskiej oraz te państwa EOG, które nie są członkami UE (tj. Norwegię, Islandię i Liechtenstein).
Wystarczające jest, aby podmiot mający siedzibę w Polsce, który przeprowadza rekrutację pracowników on-line na obszarze państw EOG, spełnił wymogi wynikające z polskiej ustawy o ochronie danych osobowych.
Transfer danych do państwa spoza UE
W przypadku transferu danych pracowników do państwa trzeciego znajdującego się poza strukturami UE lub EOG decydujące jest zapewnienie odpowiedniego stopnia ochrony przekazywanych danych.
Pracodawca może dokonać przekazania informacji o pracowniku do państwa trzeciego, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych przynajmniej na takim samym poziomie jak gwarancje zapewnione na terytorium Polski.
Jeżeli kraj docelowy nie spełnia minimalnych wymagań, pracodawca może przekazać dane, gdy wynika to z obowiązku nałożonego na niego przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.
Dodatkowo pracodawca może przekazać dane osobowe do państwa trzeciego w sytuacji, gdy:
- osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
- przekazanie jest niezbędne do wykonania umowy między administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
- przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a innym podmiotem,
- przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
- dane są ogólnie dostępne.
W każdym innym przypadku transfer danych jest dopuszczalny wyłącznie po uzyskaniu zgody GIODO.
Więcej na ten temat znajdziesz w płatnej części serwisu w artykule: Transfer danych osobowych za granicę