Dla Modułów 1, 2 i 3: czy podmiot odbierający dane musi podejmować określone kroki w związku z udostępnianiem otrzymanych danych osobowych stronom trzecim?

ODPOWIEDŹ

Wedle ogólnej zasady, w przypadku, gdy podmiot odbierający dane, dalej udostępnia dane otrzymane na mocy SCC, innemu podmiotowi w kraju lub poza krajem, w którym ma siedzibę, to musi zapewnić, że nadal wykorzystane będą podobne zabezpieczenia (zob. Moduł 1, Punkt 8.7; Moduł 2, Punkt 8.8 i Moduł 3, Punkt 8.8). Można tego dokonać na różne sposoby, na przykład poprzez przystąpienie podmiotu trzeciego do SCC lub zawarcie z podmiotem trzecim odrębnej umowy gwarantującej ochronę podobną, do ochrony zapewnianej przez SCC.

W pewnych szczególnych sytuacjach, podmiot odbierający dane może udostępniać te dane dalej,  także wtedy, gdy nie jest możliwe lub nie jest właściwe uzgodnienie umownych zabezpieczeń ochrony danych z podmiotem trzecim. W szczególności, może być konieczne, aby podmiot odbierający dane, udostępnił niniejsze dane, w celu ochrony żywotnych interesów osoby, której dane dotyczą, p.. sieć hoteli musi ujawnić dane gościa hotelowego, lokalnemu szpitalowi, w przypadku nagłej potrzeby medycznej. To samo dotyczy sytuacji, gdy podmiot odbierający dane - musi ujawnić pewne informacje w ramach krajowego postępowania administracyjnego lub sądowego, np. firma farmaceutyczna musi udostępnić dane krajowemu organowi regulacyjnemu, aby jej produkty zostały zatwierdzone.

Dodatkowe informacje dla Modułu 1 (administrator danych): jeżeli żadna z powyższych zasad nie ma zastosowania, podmiot odbierający dane może także oprzeć się na wyraźnej zgodzie osób, których dane dotyczą, na dalsze przekazywanie danych podmiotom trzecim (patrz Moduł 1, punkt 8.7(vi)). W takim przypadku podmiot odbierający dane musi upewnić się, że osoba, której dane dotyczą, została poinformowana o celu (celach) przekazania danych, tożsamości podmiotu trzeciego oraz możliwym ryzyku ze względu na brak gwarancji ochrony danych. Podmiot odbierający dane musi również poinformować podmiot przekazujący dane, o dalszym przekazywaniu danych na podstawie zgody. Podmiot przekazujący dane może zażądać kopii informacji, które zostały udostępnione osobie, której dane dotyczą.