Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO)

W braku wydawanej na podstawie art. 45 ust. 3 tego rozporządzenia decyzji stwierdzającej odpowiedni stopień ochrony administrator danych lub podmiot przetwarzający mogą przekazywać dane osobowe do państwa trzeciego jedynie wówczas, gdy państwo to przewidziało „odpowiednie zabezpieczenia” i pod warunkiem, że „obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej”, przy czym takie odpowiednie zabezpieczenia mogą zostać udzielone w szczególności w drodze przyjmowanych przez Komisję standardowych klauzul ochrony danych.

Artykuł 45 ust. 1 zdanie pierwsze RODO przewiduje, że przekazanie danych osobowych do państwa trzeciego jest dozwolone w oparciu o wydaną przez Komisję decyzję, zgodnie z którą to państwo trzecie, terytorium lub określony sektor czy też określone sektory w tym państwie trzecim zapewniają odpowiedni stopień ochrony. W tym względzie, nie wymagając bynajmniej, aby dane państwo trzecie zapewniało stopień ochrony identyczny jak ten zagwarantowany w unijnym porządku prawnym, wyrażenie „odpowiedni stopień ochrony” należy rozumieć – jak potwierdza to motyw 104 tego rozporządzenia – jako ustanawiające wobec tego państwa trzeciego wymóg rzeczywistego zapewnienia, ze względu na jego ustawodawstwo wewnętrzne lub też zobowiązania międzynarodowe, stopnia ochrony podstawowych praw i wolności merytorycznie równoważnego temu gwarantowanemu w Unii na mocy tego rozporządzenia interpretowanego w związku z kartą.

W tym kontekście motyw 107 RODO stanowi, że w przypadku gdy „państwo trzecie, terytorium lub określony sektor w państwie trzecim […] przestały zapewniać odpowiedni stopień ochrony danych […], przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane, chyba że spełnione są wymogi [tego rozporządzenia] dotyczące przekazywania danych stanowiących przedmiot odpowiednich zabezpieczeń”. W tym względzie w motywie 108 wspomnianego rozporządzenia wyjaśniono, że w braku decyzji stwierdzającej odpowiedni stopień ochrony odpowiednie zabezpieczenia, które powinien zapewnić administrator danych lub podmiot przetwarzający zgodnie z art. 46 ust. 1 tego rozporządzenia, powinny „rekompens[ować] brak ochrony danych w państwie trzecim” w celu „zapewni[enia], by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego”.

Wynika z tego, że te odpowiednie zabezpieczenia powinny gwarantować, by prawa przysługujące osobom, których dane są przekazywane na podstawie standardowych klauzul ochrony danych, korzystały, podobnie jak w przypadku przekazywania na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, ze stopnia ochrony merytorycznie równoważnego temu gwarantowanemu w Unii.

Przyjęcie przez Komisję decyzji na podstawie art. 45 ust. 3 RODO wymaga prawidłowo uzasadnionego ustalenia przez tę instytucję, że dane państwo trzecie rzeczywiście zapewnia, ze względu na swoje ustawodawstwo wewnętrzne i zobowiązania międzynarodowe, stopień ochrony praw podstawowych merytorycznie równoważny temu gwarantowanemu w unijnym porządku prawnym (zob. analogicznie w odniesieniu do art. 25 ust. 6 dyrektywy 95/46 wyrok z dnia 6 października 2015 r., Schrems, C-362/14).

Wyrok TSUE z dnia 16 lipca 2020 r., C-311/18

Standard: 84181 (pełna treść orzeczenia)