Nowelizacja ustawy o ochronie danych osobowych ze stycznia br. zezwala administratorom danych na przekazywanie danych do państw trzecich, które nie zapewniają odpowiedniego poziomu ich ochrony, bez uzyskiwania zgody GIODO. Zgodnie z art. 48 wspomnianej ustawy, dotyczy to dwóch sytuacji:
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
- gdy w umowach z podmiotami z państw trzecich zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych,
- gdy zastosowano prawnie wiążące reguły korporacyjne zatwierdzone przez GIODO, zgodnie z art. 8 pkt 8 projektu ustawy o ułatwieniu wykonywania działalności gospodarczej i art. 48 ust. 3 ustawy o ochronie danych osobowych.
Wiążące reguły korporacyjne dotyczą natomiast podmiotów należących do tej samej grupy przedsiębiorców (tej samej grupy kapitałowej). Wiążące reguły korporacyjne mogą być stosowane po ich zatwierdzeniu przez GIODO (w drodze decyzji administracyjnej), po przeprowadzeniu nieobowiązkowych konsultacji z organami ochrony danych osobowych państw Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do ww. grupy. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia ww. organu ochrony danych, GIODO może je uwzględnić.