Contents
• Jakie dane można przetwarzać i pod jakimi warunkami?
Rodzaj i ilość danych osobowych, które firma/organizacja może przetwarzać, zależy od powodów ich przetwarzania (wykorzystany powód prawny) i zamierzonego wykorzystania. Firma/organizacja musi przestrzegać kilku kluczowych zasad:
• dane osobowe powinny być „przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość” art. 5 ust. 1 lit. a rozporządzenia RODO;
• muszą istnieć określone cele przetwarzania danych, a firma/ organizacja musi wskazać te cele osobom fizycznym podczas gromadzenia ich danych osobowych. Firma/ organizacja nie może po prostu zbierać danych osobowych w nieokreślonych celach („ograniczenie celu”);
• firma/ organizacja musi gromadzić i przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia tego celu („minimalizacja ilości danych”);
• firma/ organizacja musi zapewnić, że dane osobowe są dokładne i aktualne, uwzględniając cele, dla których są przetwarzane, i poprawić je, jeśli nie spełniają tego warunku („dokładność”);
• firma/ organizacja nie może dalej wykorzystywać danych osobowych do innych celów, które nie są zgodne z pierwotnym celem ich zebrania;
• firma/ organizacja musi zapewnić, aby dane osobowe były przechowywane nie dłużej niż jest to konieczne do celów, dla których zostały zgromadzone („ograniczenie przechowywania”);
• firma/ organizacja musi zainstalować odpowiednie zabezpieczenia techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiedniej technologii („integralność i poufność”).
• Czy dane mogą być przetwarzane w jakimkolwiek celu?
• Nie. Cel przetwarzania danych osobowych musi być znany, a osoby, których dane są przetwarzane muszą zostać o tym poinformowane. Nie można po prostu wskazać, że dane osobowe będą gromadzone i przetwarzane. Zasada ta jest znana jako „ograniczenie celu”.
• Czy można wykorzystywać dane do innych celów?
• Tak, ale tylko w niektórych przypadkach. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane.
• Aby to ustalić należy wziąć pod uwagę między innymi:
- wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
- kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
- charakter danych osobowych (czy są wrażliwe?),
- ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą (jak wpłynie to na jednostkę?);
- istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
• Jeśli firma/ organizacja chce wykorzystać dane do celów statystycznych lub do badań naukowych, nie trzeba prowadzić testu zgodności.
• Jeśli firma/ organizacja zgromadziła dane na podstawie zgody lub zgodnie z wymogami prawnymi, dalsze przetwarzanie poza tym, co jest objęte pierwotną zgodą lub przepisami prawa, jest niemożliwe. Dalsze przetwarzanie wymagałoby uzyskania nowej zgody lub nowej podstawy prawnej.
• Ile danych zebrać?
• Dane osobowe powinny być przetwarzane tylko wtedy, gdy przetwarzanie danych w inny sposób nie jest racjonalnie wykonalne. Tam, gdzie to możliwe, lepiej jest korzystać z anonimowych danych. Tam, gdzie dane osobowe są potrzebne, powinny one być odpowiednie i ograniczone do tego, co jest konieczne do tego celu („minimalizacja danych”). Obowiązkiem firmy/ organizacji jako administratora danych jest ocena, ile danych jest potrzebnych i zapewnienie, że nieistotne dane nie będą gromadzone, czyli zakaz gromadzenia danych „na zapas”.
• Jak długo można przechowywać dane i czy konieczna jest ich aktualizacja?
• Dane muszą być przechowywane przez możliwie jak najkrótszy czas. Okres ten powinien uwzględniać powody, dla których firma/ organizacja musi przetwarzać dane, a także wszelkie prawne zobowiązania do przechowywania danych przez określony czas (na przykład krajowe przepisy prawa pracy, przepisy podatkowe lub zwalczania nadużyć finansowych, które wymagają przechowywania danych osobowych swoich pracowników przez określony czas, okres gwarancji produktu itp.).
• Firma/ organizacja powinna ustalić limity czasowe na usunięcie lub przegląd przechowywanych danych.
• W drodze wyjątku dane osobowe mogą być przechowywane przez dłuższy okres do celów archiwizacji w interesie publicznym lub ze względów badań naukowych lub historycznych, pod warunkiem wprowadzenia odpowiednich środków technicznych i organizacyjnych (takich jak anonimizacja, szyfrowanie itp.). Firma/ organizacja musi także upewnić się, że przechowywane dane są dokładne i aktualne.
• Jakie informacje należy przekazać osobom, których dane są gromadzone?
• W momencie gromadzenia danych należy przekazać następujące informacje:
• jaka firma/ organizacja gromadzi dane;
• dlaczego firma/ organizacja będzie wykorzystywać te dane osobowe (cele);
• jakie kategorie danych osobowych są przetwarzane;
• prawne uzasadnienie przetwarzania tych danych;
• okres przechowywania danych;
• komu mogą być te dane udostępnione;
• czy dane osobowe zostaną przekazane odbiorcy spoza UE;
• o prawie do kopii danych (prawo dostępu do danych osobowych) i innych podstawowych prawach w dziedzinie ochrony danych (patrz pełna lista praw);
• o prawie do wniesienia skargi do organu ochrony danych;
• o prawie do wycofania zgody w dowolnym momencie;
• jeżeli ma to zastosowanie, o istnieniu zautomatyzowanego procesu decyzyjnego i jego konsekwencjach.
• Informacje mogą być przekazywane na piśmie lub ustnie na wniosek osoby, gdy tożsamość tej osoby zostanie udowodniona innymi środkami lub w stosownych przypadkach za pomocą środków elektronicznych. Firma/ organizacja powinna to zrobić bezpłatnie w zwięzły, przejrzysty i zrozumiały sposób.
• Gdy dane są uzyskiwane od innej firmy/ organizacji, należy przekazać informacje wymienione powyżej osobie zainteresowanej najpóźniej w ciągu 1 miesiąca po uzyskaniu danych osobowych przez firmę; lub, w przypadku gdy firma/ organizacja komunikuje się z tą osobą, gdy dane są wykorzystywane do komunikowania się z nią; lub, jeżeli przewiduje się ujawnienie innej firmie, kiedy dane osobowe zostały ujawnione po raz pierwszy.
• Firma/ organizacja jest również zobowiązana do poinformowania osoby o kategoriach danych i źródle, z którego je uzyskano, w tym o tym, czy zostały pozyskane z publicznie dostępnych źródeł. W szczególnych okolicznościach wymienionych w art. 13 ust. 4 i art. 14 ust.5 RODO firma/ organizacja może zostać zwolniona z obowiązku poinformowania osoby fizycznej.
• Jakie dane można przetwarzać i na jakich warunkach?
• Rodzaj i ilość danych osobowych, które firma/ organizacja może przetwarzać, zależy od przyczyny ich przetwarzania (wykorzystany powód prawny) i zamierzonego wykorzystania. Firma/ organizacja musi przestrzegać kilku kluczowych zasad, w tym:
• dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelnie i w sposób przejrzysty („zgodność z prawem, rzetelność i przejrzystość”);
• muszą istnieć określone cele przetwarzania danych, a firma/ organizacja musi wskazać te cele osobom fizycznym podczas gromadzenia ich danych osobowych. Firma/ organizacja nie może po prostu zbierać danych osobowych w nieokreślonych celach („ograniczenie celu”);
• firma/ organizacja powinna gromadzić i przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia tego celu („minimalizacja danych”);
• firma/ organizacja musi zapewnić, że dane osobowe są dokładne i aktualne, uwzględniając cele, dla których są przetwarzane, i poprawić je, jeśli nie spełniają tego warunku („dokładność”);
• firma/ organizacja nie może wykorzystywać danych osobowych do innych celów, które nie są zgodne z pierwotnym celem;
• firma/ organizacja musi zapewnić, aby dane osobowe były przechowywane nie dłużej niż jest to konieczne do celów, dla których zostały zgromadzone („ograniczenie przechowywania”);
• firma/ organizacja musi zainstalować odpowiednie zabezpieczenia techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiedniej technologii („integralność i poufność”).
• Jakie zasady obowiązują, jeśli organizacja przekazuje dane poza UE?
• W dzisiejszym globalnym świecie istnieje wiele transgranicznych transferów danych osobowych, które mogą być przechowywane na serwerach w różnych krajach. Ochrona oferowana przez ogólne rozporządzenie o ochronie danych (RODO) jest związana z danymi, co oznacza, że zasady ochrony danych osobowych obowiązują bez względu na to, w jakim miejscu dane się znajdą. Ma to również zastosowanie, gdy dane są przekazywane do kraju, który nie jest członkiem UE (zwanego dalej „krajem trzecim”).
• RODO zapewnia różne narzędzia do przekazywania danych z UE do kraju trzeciego:
• czasami państwo trzecie jest zadeklarowane jako zapewniające odpowiedni poziom ochrony na mocy decyzji Komisji Europejskiej, co oznacza, że dane mogą być przekazywane przez inną firmą w tym państwie, bez konieczności dodatkowych zabezpieczeń czy dodatkowych warunków przesyłania danych przez eksportera danych. Innymi słowy, transfery do „odpowiedniego” kraju trzeciego będą porównywalne z transmisją danych w UE.
• w przypadku braku decyzji w sprawie adekwatności danych, przeniesienie może nastąpić poprzez zapewnienie odpowiednich zabezpieczeń i pod warunkiem że możliwe do wyegzekwowania prawa i skuteczne środki prawne są dostępne dla osób fizycznych. Takie odpowiednie zabezpieczenia obejmują:
• w przypadku grupy przedsiębiorstw lub grup firm prowadzących wspólną działalność gospodarczą firmy mogą przekazywać dane osobowe na podstawie tak zwanych wiążących reguł korporacyjnych;
• ustalenia umowne z odbiorcą danych osobowych, z wykorzystaniem np. standardowych klauzul umownych zatwierdzonych przez Komisję Europejską;
• przestrzeganie kodeksu postępowania lub mechanizmu certyfikacji wraz z uzyskaniem wiążących i możliwych do wyegzekwowania zobowiązań od odbiorcy do zastosowania odpowiednich zabezpieczeń w celu ochrony przekazywanych danych.
• wreszcie, jeśli przewiduje się przekazanie danych osobowych do państwa trzeciego, które nie jest przedmiotem decyzji w sprawie odpowiedniej ochrony danych osobowych i jeżeli nie ma odpowiednich zabezpieczeń, można dokonać przekazania na podstawie szeregu odstępstw w określonych sytuacjach, na przykład, gdy osoba wyraźnie zgodziła się na proponowane przeniesienie po otrzymaniu wszystkich niezbędnych informacji o ryzyku związanym z przeniesieniem.
Save As PDF
Title:
Obowiązki
Keywords
Ochrona danych, prawa, obowiązki, rejestracja, marka
Author:
AE
Languages:
English
Przedstawienie podstawowych koncepcji i ogólnych przepisów prawnych dotyczÄ…cych ochrony danych osobowych, wÅ‚asnoÅ›ci intelektualnej i rejestracji znaku towarowego. Poprzez przeanalizowanie najbardziej istotnych aspektów, uÅ‚atwienie zrozumienia praw i obowiÄ…zków oraz wskazanie praktycznych aspektów w zakresie ochrony danych osobowych, wÅ‚asnoÅ›ci intelektualnej i rejestracji marki.
Description:
Nowe europejskie ogólne rozporzÄ…dzenie o ochronie danych (nr 2016/679) weszÅ‚o w życie 25 maja 2018r. we wszystkich krajach Unii Europejskiej. RozporzÄ…dzenie to dotyczy wszystkich firm w momencie, gdy tylko uzyskajÄ… dane osobowe klientów, pracowników i osób trzecich, zwiÄ™kszajÄ…c aktywne zaangażowanie w ochronÄ™ praw podstawowych, w szczególnoÅ›ci tych zwiÄ…zanych z prywatnoÅ›ciÄ… we wszystkich obszarach, a zwÅ‚aszcza w Internecie.
Ten kurs pozwoli na zdobycie podstawowej wiedzy i umiejÄ™tnoÅ›ci dotyczÄ…cych systemu ochrony danych osobowych. Sposób postÄ™powania i procedury, które należy zastosować przy pracy z danymi, prawa i obowiÄ…zki posiadacza danych i osoby odpowiedzialnej za nie oraz konsekwencje w przypadku nieprzestrzegania przepisów.
Podobnie kurs będzie omawiał pozostałe sprawy istotne dla firm, takie jak własność intelektualna i rejestracja znaku towarowego.
• Jakie dane można przetwarzać i pod jakimi warunkami? Rodzaj i ilość danych osobowych, które firma/organizacja może przetwarzać, zależy od powodów ich przetwarzania (wykorzystany powód prawny) i zamierzonego wykorzystania. Firma/organizacja musi przestrzegać kilku kluczowych zasad: • dane osobowe powinny być „przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość” art. 5 ust. 1 lit. a rozporządzenia RODO; • muszą istnieć określone cele przetwarzania danych, a firma/ organizacja musi wskazać te cele osobom fizycznym podczas gromadzenia ich danych osobowych. Firma/ organizacja nie może po prostu zbierać danych osobowych w nieokreślonych celach („ograniczenie celu”); • firma/ organizacja musi gromadzić i przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia tego celu („minimalizacja ilości danych”); • firma/ organizacja musi zapewnić, że dane osobowe są dokładne i aktualne, uwzględniając cele, dla których są przetwarzane, i poprawić je, jeśli nie spełniają tego warunku („dokładność”); • firma/ organizacja nie może dalej wykorzystywać danych osobowych do innych celów, które nie są zgodne z pierwotnym celem ich zebrania; • firma/ organizacja musi zapewnić, aby dane osobowe były przechowywane nie dłużej niż jest to konieczne do celów, dla których zostały zgromadzone („ograniczenie przechowywania”); • firma/ organizacja musi zainstalować odpowiednie zabezpieczenia techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiedniej technologii („integralność i poufność”). • Czy dane mogą być przetwarzane w jakimkolwiek celu? • Nie. Cel przetwarzania danych osobowych musi być znany, a osoby, których dane są przetwarzane muszą zostać o tym poinformowane. Nie można po prostu wskazać, że dane osobowe będą gromadzone i przetwarzane. Zasada ta jest znana jako „ograniczenie celu”. • Czy można wykorzystywać dane do innych celów? • Tak, ale tylko w niektórych przypadkach. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. • Aby to ustalić należy wziąć pod uwagę między innymi: - wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; - kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; - charakter danych osobowych (czy są wrażliwe?), - ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą (jak wpłynie to na jednostkę?); - istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji. • Jeśli firma/ organizacja chce wykorzystać dane do celów statystycznych lub do badań naukowych, nie trzeba prowadzić testu zgodności. • Jeśli firma/ organizacja zgromadziła dane na podstawie zgody lub zgodnie z wymogami prawnymi, dalsze przetwarzanie poza tym, co jest objęte pierwotną zgodą lub przepisami prawa, jest niemożliwe. Dalsze przetwarzanie wymagałoby uzyskania nowej zgody lub nowej podstawy prawnej. • Ile danych zebrać? • Dane osobowe powinny być przetwarzane tylko wtedy, gdy przetwarzanie danych w inny sposób nie jest racjonalnie wykonalne. Tam, gdzie to możliwe, lepiej jest korzystać z anonimowych danych. Tam, gdzie dane osobowe są potrzebne, powinny one być odpowiednie i ograniczone do tego, co jest konieczne do tego celu („minimalizacja danych”). Obowiązkiem firmy/ organizacji jako administratora danych jest ocena, ile danych jest potrzebnych i zapewnienie, że nieistotne dane nie będą gromadzone, czyli zakaz gromadzenia danych „na zapas”. • Jak długo można przechowywać dane i czy konieczna jest ich aktualizacja? • Dane muszą być przechowywane przez możliwie jak najkrótszy czas. Okres ten powinien uwzględniać powody, dla których firma/ organizacja musi przetwarzać dane, a także wszelkie prawne zobowiązania do przechowywania danych przez określony czas (na przykład krajowe przepisy prawa pracy, przepisy podatkowe lub zwalczania nadużyć finansowych, które wymagają przechowywania danych osobowych swoich pracowników przez określony czas, okres gwarancji produktu itp.). • Firma/ organizacja powinna ustalić limity czasowe na usunięcie lub przegląd przechowywanych danych. • W drodze wyjątku dane osobowe mogą być przechowywane przez dłuższy okres do celów archiwizacji w interesie publicznym lub ze względów badań naukowych lub historycznych, pod warunkiem wprowadzenia odpowiednich środków technicznych i organizacyjnych (takich jak anonimizacja, szyfrowanie itp.). Firma/ organizacja musi także upewnić się, że przechowywane dane są dokładne i aktualne. • Jakie informacje należy przekazać osobom, których dane są gromadzone? • W momencie gromadzenia danych należy przekazać następujące informacje: • jaka firma/ organizacja gromadzi dane; • dlaczego firma/ organizacja będzie wykorzystywać te dane osobowe (cele); • jakie kategorie danych osobowych są przetwarzane; • prawne uzasadnienie przetwarzania tych danych; • okres przechowywania danych; • komu mogą być te dane udostępnione; • czy dane osobowe zostaną przekazane odbiorcy spoza UE; • o prawie do kopii danych (prawo dostępu do danych osobowych) i innych podstawowych prawach w dziedzinie ochrony danych (patrz pełna lista praw); • o prawie do wniesienia skargi do organu ochrony danych; • o prawie do wycofania zgody w dowolnym momencie; • jeżeli ma to zastosowanie, o istnieniu zautomatyzowanego procesu decyzyjnego i jego konsekwencjach. • Informacje mogą być przekazywane na piśmie lub ustnie na wniosek osoby, gdy tożsamość tej osoby zostanie udowodniona innymi środkami lub w stosownych przypadkach za pomocą środków elektronicznych. Firma/ organizacja powinna to zrobić bezpłatnie w zwięzły, przejrzysty i zrozumiały sposób. • Gdy dane są uzyskiwane od innej firmy/ organizacji, należy przekazać informacje wymienione powyżej osobie zainteresowanej najpóźniej w ciągu 1 miesiąca po uzyskaniu danych osobowych przez firmę; lub, w przypadku gdy firma/ organizacja komunikuje się z tą osobą, gdy dane są wykorzystywane do komunikowania się z nią; lub, jeżeli przewiduje się ujawnienie innej firmie, kiedy dane osobowe zostały ujawnione po raz pierwszy. • Firma/ organizacja jest również zobowiązana do poinformowania osoby o kategoriach danych i źródle, z którego je uzyskano, w tym o tym, czy zostały pozyskane z publicznie dostępnych źródeł. W szczególnych okolicznościach wymienionych w art. 13 ust. 4 i art. 14 ust.5 RODO firma/ organizacja może zostać zwolniona z obowiązku poinformowania osoby fizycznej. • Jakie dane można przetwarzać i na jakich warunkach? • Rodzaj i ilość danych osobowych, które firma/ organizacja może przetwarzać, zależy od przyczyny ich przetwarzania (wykorzystany powód prawny) i zamierzonego wykorzystania. Firma/ organizacja musi przestrzegać kilku kluczowych zasad, w tym: • dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelnie i w sposób przejrzysty („zgodność z prawem, rzetelność i przejrzystość”); • muszą istnieć określone cele przetwarzania danych, a firma/ organizacja musi wskazać te cele osobom fizycznym podczas gromadzenia ich danych osobowych. Firma/ organizacja nie może po prostu zbierać danych osobowych w nieokreślonych celach („ograniczenie celu”); • firma/ organizacja powinna gromadzić i przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia tego celu („minimalizacja danych”); • firma/ organizacja musi zapewnić, że dane osobowe są dokładne i aktualne, uwzględniając cele, dla których są przetwarzane, i poprawić je, jeśli nie spełniają tego warunku („dokładność”); • firma/ organizacja nie może wykorzystywać danych osobowych do innych celów, które nie są zgodne z pierwotnym celem; • firma/ organizacja musi zapewnić, aby dane osobowe były przechowywane nie dłużej niż jest to konieczne do celów, dla których zostały zgromadzone („ograniczenie przechowywania”); • firma/ organizacja musi zainstalować odpowiednie zabezpieczenia techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiedniej technologii („integralność i poufność”). • Jakie zasady obowiązują, jeśli organizacja przekazuje dane poza UE? • W dzisiejszym globalnym świecie istnieje wiele transgranicznych transferów danych osobowych, które mogą być przechowywane na serwerach w różnych krajach. Ochrona oferowana przez ogólne rozporządzenie o ochronie danych (RODO) jest związana z danymi, co oznacza, że zasady ochrony danych osobowych obowiązują bez względu na to, w jakim miejscu dane się znajdą. Ma to również zastosowanie, gdy dane są przekazywane do kraju, który nie jest członkiem UE (zwanego dalej „krajem trzecim”). • RODO zapewnia różne narzędzia do przekazywania danych z UE do kraju trzeciego: • czasami państwo trzecie jest zadeklarowane jako zapewniające odpowiedni poziom ochrony na mocy decyzji Komisji Europejskiej, co oznacza, że dane mogą być przekazywane przez inną firmą w tym państwie, bez konieczności dodatkowych zabezpieczeń czy dodatkowych warunków przesyłania danych przez eksportera danych. Innymi słowy, transfery do „odpowiedniego” kraju trzeciego będą porównywalne z transmisją danych w UE. • w przypadku braku decyzji w sprawie adekwatności danych, przeniesienie może nastąpić poprzez zapewnienie odpowiednich zabezpieczeń i pod warunkiem że możliwe do wyegzekwowania prawa i skuteczne środki prawne są dostępne dla osób fizycznych. Takie odpowiednie zabezpieczenia obejmują: • w przypadku grupy przedsiębiorstw lub grup firm prowadzących wspólną działalność gospodarczą firmy mogą przekazywać dane osobowe na podstawie tak zwanych wiążących reguł korporacyjnych; • ustalenia umowne z odbiorcą danych osobowych, z wykorzystaniem np. standardowych klauzul umownych zatwierdzonych przez Komisję Europejską; • przestrzeganie kodeksu postępowania lub mechanizmu certyfikacji wraz z uzyskaniem wiążących i możliwych do wyegzekwowania zobowiązań od odbiorcy do zastosowania odpowiednich zabezpieczeń w celu ochrony przekazywanych danych. • wreszcie, jeśli przewiduje się przekazanie danych osobowych do państwa trzeciego, które nie jest przedmiotem decyzji w sprawie odpowiedniej ochrony danych osobowych i jeżeli nie ma odpowiednich zabezpieczeń, można dokonać przekazania na podstawie szeregu odstępstw w określonych sytuacjach, na przykład, gdy osoba wyraźnie zgodziła się na proponowane przeniesienie po otrzymaniu wszystkich niezbędnych informacji o ryzyku związanym z przeniesieniem.