W dniu 25 maja 2018 roku weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( „RODO”). Nowe przepisy wprowadzają zmiany, m.in. w zakresie związanym z przekazywaniem danych osobowych do państw spoza obszaru Europejskiego Obszaru Gospodarczego („EOG”). EOG obejmuje wszystkie kraje UE oraz Norwegię, Islandię i Liechtenstein.

Zgodnie z RODO, przekazanie przetwarzanych danych osobowych do państwa trzeciego jest możliwe wtedy, jeśli Komisja Europejska decyzją stwierdzi, że to państwo trzecie, terytorium lub określony sektor (określone sektory) w tym państwie trzecim zapewniają odpowiedni stopień ochrony.

Chcąc ustalić, czy transfer danych do określonego kraju spoza EOG jest legalny, w pierwszej kolejności należy sprawdzić, czy Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony w przedmiotowym państwie. Decyzje wydane przez Komisję Europejską przed wejściem w życie RODO pozostają w mocy, a więc nadal pozostają aktualne decyzje Komisji Europejskiej stwierdzające, że państwa, takie jak między innymi Szwajcaria i Kanada, gwarantują odpowiedni poziom ochrony danych osobowych.

Z kolei w przypadku Stanów Zjednoczonych, które na poziomie ustawodawstwa krajowego nie zapewniają odpowiedniego stopnia ochrony danych osobowych, Komisja Europejska w dniu 12 lipca 2016 roku przyjęła decyzję wprowadzającą program Tarcza Prywatności UE-USA (ang. Privacy shield). Tarcza Prywatności UE-USA pozwala na przekazywanie danych osobowych tym podmiotom amerykańskim, które przystąpiły do programu oraz zobowiązały się przestrzegać określonych reguł i obowiązków określonych w decyzji. Mając na uwadze powyższe, chcąc sprawdzić, czy określony przedsiębiorca amerykański przystąpił do programu Tarcza Prywatności, należy sprawdzić, czy znajduje się na liście. Można to zrobić korzystając z wyszukiwarki dostępnej na stronie internetowej programu: https://www.privacyshield.gov/list.

Co istotne, do programu Tarcza Prywatności przystąpiły tak znaczące podmioty, jak np. Google, czy Dropbox.

W przypadku, gdy Komisja Europejska nie wydała stosownej decyzji dotyczącej interesującego nas państwa trzeciego, w świetle RODO przekazywanie danych osobowych do państwa trzeciego jest dopuszczalne jedynie wyjątkowo, m.in. w przypadku, gdy  strony umowy zapewnią na własną rękę odpowiedni poziom ochrony poprzez zastosowanie zabezpieczeń wymienionych w RODO lub uzyskają zezwolenie właściwego organu nadzorczego.

Podsumowując, należy pamiętać, aby przed przekazaniem danych osobowych do państwa nienależącego do EOG znaleźć odpowiednią podstawę prawną legalizującą takie działanie.