Направо към основното съдържание
Лого на Европейската комисия
bg
Европейска комисия

Какви правила се прилагат, ако моята организация прехвърля данни извън ЕС?

Отговор

В днешния глобализиран свят има голям брой трансгранични прехвърляния на лични данни, които понякога се съхраняват на сървъри в различни държави. Предоставената защита от Общия регламент относно защитата на данните (ОРЗД) пътува с данните, което означава, че правилата за защита на личните данни продължават да се прилагат, независимо от това къде се намират данните. Това важи и когато данните се прехвърлят на държава, която не е членка на ЕС (по-нататък "трета страна").

ОРЗД предоставя различни инструменти за прехвърляне на данни от ЕС към трета страна:

  • понякога с решение на Европейската комисия може да бъде обявено, че трета страна, предлага адекватно ниво на защита („решение за адекватно ниво на защита“), което означава, че можете да прехвърляте данни на друго дружество в тази трета страна, без да е необходимо износителят на данни да предоставя допълнителни гаранции или данните да бъдат обект на допълнителни условия. С други думи, прехвърлянията към трета страна с адекватно ниво на защита ще бъдат сравними на предаването на данни в рамките на ЕС;
  • при липса на решение за адекватно ниво на защита прехвърлянето може да се извърши чрез предоставяне на подходящи гаранции и при условие че са налице приложими права и ефективни правни средства за защита на физическите лица. Тези подходящи предпазни мерки включват, наред с другото:
    • в случай на група предприятия или групи от дружества, които извършват съвместна икономическа дейност, дружествата могат да прехвърлят лични данни въз основа на т.нар. обвързващи корпоративни правила;
    • договорни споразумения с получателя на личните данни, като се използват например стандартните договорни клаузи, одобрени от Европейската комисия;
    • спазване на кодекс за поведение или механизъм за сертифициране, заедно с получаване на обвързващи и изпълними ангажименти от страна на получателя за прилагане на подходящи предпазни мерки за защита на прехвърлените данни;
  • и накрая, ако се предвижда прехвърляне на лични данни на трета страна, която не е предмет на решение за адекватно ниво на защита, и ако липсват подходящи предпазни мерки, може да се извърши прехвърляне въз основа на редица изключения за конкретни ситуации, например когато дадено лице изрично се е съгласило с предложеното прехвърляне, след като му е била предоставена цялата необходима информация относно рисковете, свързани с прехвърлянето.

Пример

Вие сте френско дружество, което възнамерява да разшири услугите си в Южна Америка, особено в Аржентина, Уругвай и Бразилия. Първата стъпка би била да се провери дали тези трети страни подлежат на решение относно адекватно ниво на защита. В този случай както Аржентина, така и Уругвай са обявени за държави с адекватно ниво на защита. Ще можете да прехвърляте лични данни до тези две трети страни без допълнителни гаранции, докато за прехвърляния до Бразилия, която не е обект на решение относно адекватно ниво на защита, ще трябва да оформите прехвърлянията си, като предоставите подходящи предпазни мерки.

Позовавания

1 COM(2017)7 окончателна версия

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.