Postępująca globalizacja gospodarki światowej wpływa na wzrost transgranicznej wymiany danych osobowych. Przekazywanie danych osobowych do państw trzecich, tj. państw, które nie należą do Europejskiego Obszaru Gospodarczego, w szczególności do takich, które nie zapewniają na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, wiąże się z dużym ryzykiem naruszenia praw i wolności osób, których dane dotyczą. Dlatego ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2015 r. poz. 2135), zawiera szczególne wymogi dotyczące przekazywania danych osobowych do państw trzecich. Zastały one określone w rozdziale 7 ustawy o ochronie danych osobowych zatytułowanym “Przekazywanie danych osobowych do państwa trzeciego” (art. 47 i 48). Podkreślenia wymaga, że powyższe przepisy wdrażają w polskim porządku prawnym odpowiednie postanowienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, zwanej dalej Dyrektywą. Dlatego też mają one istotne znaczenie dla wykładni polskich przepisów o ochronie danych osobowych.

Na jakich zasadach można przekazywać dane osobowe do państw należących do Europejskiego Obszaru Gospodarczego? Ustawa o ochronie danych osobowych nie zawiera wyraźnych przepisów, które odrębnie regulowałyby przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego, zwanych dalej państwami członkowskimi EOG. Należy bowiem podkreślić, że zgodnie z definicją legalną określoną w art. 7 pkt 7 ustawy o ochronie danych osobowych, przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego. Jednocześnie ustawodawca wprowadził jedynie dodatkowe wymogi dotyczące przekazywania danych osobowych do państw trzecich. Oznacza to, że przepływ danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak transfer danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskich Unii Europejskiej oraz tych państw członkowskich Europejskiego Obszaru Gospodarczego, które nie są członkami UE (obecnie to: Norwegia, Islandia i Lichtenstein). Swobodny przepływ danych w ramach Unii Europejskiej oraz szerzej w ramach Europejskiego Obszaru Gospodarczego jest koniecznym wymogiem członkostwa Polski w strukturach UE. Państwa te wdrożyły w swych wewnętrznych porządkach prawnych postanowienia Dyrektywy 95/46/WE. Do dwóch podstawowych celów Dyrektywy należy zaś zapewnienie: odpowiednio wysokiego poziomu ochrony danych osobowych, swobody przepływu danych wewnątrz terytorium Unii Europejskiej. W konsekwencji przyjętego przez ustawodawcę rozwiązania przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego podlega ogólnym zasadom przetwarzania danych osobowych ustalonych przez ustawę o ochronie danych osobowych, z wyłączeniem rozdziału 7. Taki administrator danych, tak samo jak administrator danych przetwarzający dane tylko na terytorium Polski, jest zobowiązany m.in. do spełnienia jednej z przesłanek legalności przetwarzania danych osobowych, zasady celowości i jakości danych osobowych, jak również jest zobowiązany do zabezpieczenia danych.