Важно е да се отбележи, че предаването на данни в трети страни е регламентирано в член14 от Конвенция 108+. Целта на тази разпоредба е да улесни, където е възможно, свободното движение на информацията, независимо от границите, като същевременно да осигури подходяща защита на физическите лица по отношение на обработването на лични данни. В нея са заложени следните положения:
1. Движението на данни между страните не може да бъде забранено или да подлежи на специална оторизация, тъй като всички те са част от общото ядро от разпоредби относно защитата на данните, заложени в Конвенцията, които осигуряват ниво на защита, което може да бъде счетено за подходящо.
2. Трансграничното предаване на данни към получател, който не е субект на юрисдикцията на договаряща се страна, е разрешено само ако е налице подходящо ниво на защита.
3. Възможно е изключение от изискването за наличие на подходяща защита на личните данни, когато е налице реален и сериозен риск подобен трансфер да доведе до заобикаляне на разпоредбите на Конвенцията или ако една страна е задължена да направи това поради „хармонизирани правила за защита, споделяни от държави, които принадлежат към регионална международна организация”.
4. Предаването на лични данни на трети държави или на международни организации е разрешено ако са спазени определени условия за защита на личните данни.
5. Свободното предаване на данни към държави, които не са страни по конвенцията, се допуска само въз основа на:
• правото на тази държава или международна организация, включително приложимите международни договори или споразумения, които осигуряват подходящи гаранции;
• специални или одобрени стандартизирани гаранции, предоставени от правно обвързващи и приложими инструменти, приети и приложени от лицата, които участват в предаването и по-нататъшното обработване на лични данни.
Такива подходящи гаранции могат да бъдат признати договорни клаузи между администратора, който изнася данни и получателя в третата държава и приети задължителни фирмени правила.
6. Независимо от гореспоменатите правила, трансфер на данни може да се осъществява и при следните случаи:
– Субектът на данни е дал своето изрично, специфично и свободно съгласие, след като е информиран относно рисковете, свързани с липсата на подходящи мерки за защита.
– Специфичният интерес на субекта на данни изискват този трансфер в определения случай.
– Съществува превъзхождащ легитимен интерес, особено публичен интерес, който е заложен в правото и подобно предаване представлява необходима и пропорционална мярка в демократичното общество.
– Представлява необходима и пропорционална мярка в демократичното общество, особено по отношение на свободата на изразяване.
7. Всяка страна по Конвенцията следва да осигури функционирането на компетентен надзорен орган за защита на данните, на който трябва да бъде предоставена необходимата информация, свързана с трансферите на данни при поискване. Надзорният орган трябва да има правомощието да изисква от лицето, което ще предава данните да демонстрира ефективността на мерките за защита или съществуването на превъзхождащ легитимен интерес и да може, с оглед защитата на правата и основните свободи на субектите на данни, да забрани, спре или постави под условие подобни трансфери.
8. Държавите членки също могат да сключват международни споразумения с трети държави или международни организации, които осигуряват подходящо ниво на защита на основните права и свободи на физическите лица, доколкото тези споразумения не засягат прилагането на ОРЗД.
Във връзка с осъществяването на трансфера на данни през 2002 година е приет Наръчник относно договорните клаузи, уреждащи защитата на данни при предаването на лични данни към трети страни, за които не е признато адекватно ниво на защита на данните, който подлежи на актуализиране предвид настъпилите изменения в правната уредба на ЕС и стремежа за постигане на съответствие между законодателството в сферата на защита на данните в рамките на ЕС и на Съвета на Европа.
23.03.2022 г.