Ocena adekwatności ochrony, a tym samym decyzja o tym, że spełnione zostały przesłanki uprawniające do przekazania danych do takiego państwa, należy do samego administratora danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926; zwana dalej Ustawą) nakłada na podmioty przetwarzające dane osobowe szereg, często złożonych pod względem organizacyjnym i technologicznym, obowiązków. Zgodne z prawem wypełnianie tych obowiązków komplikuje się, gdy spółka prawa handlowego lub inny podmiot – administrator danych (podmiot decydujący o celach i środkach przetwarzania) – planuje przekazywać (przesyłać) dane osobowe poza granice Europejskiego Obszaru Gospodarczego (kraje UE oraz Norwegia, Islandia i Liechtenstein) czyli do tzw. państw trzecich.
Polski administrator może przekazywać dane do następujących podmiotów:
innego administratora w państwie trzecim;
innego podmiotu niebędącego administratorem – w ramach powierzenia mu przez administratora przetwarzania danych;
jednostki znajdującej się w państwie trzecim (np. do oddziału spółki), w ramach wewnętrznego przekazania danych w obrębie jednego podmiotu będącego administratorem danych.
Podstawową przesłanką umożliwiającą transfer danych do państwa trzeciego jest zapewnienie, iż państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej (art. 47 ust. 1 Ustawy). Ocena adekwatności ochrony, a tym samym decyzja o tym, że spełnione zostały przesłanki uprawniające do przekazania danych do takiego państwa, należy do samego administratora danych. Biorąc pod uwagę, iż Generalny Inspektor Ochrony Danych Osobowych (GIODO) nie wypowiada się na temat poziomu ochrony danych osobowych w innych państwach (nie wydaje również żadnych zaświadczeń) badanie takie musi przeprowadzić administrator i on właśnie ponosi pełne konsekwencje ewentualnej błędnej kwalifikacji.
Do okoliczności, które zgodnie z Dyrektywą powinny zostać uwzględnione przez administratora przy prowadzeniu takiego badania, należą m.in.:
charakter danych;
cel ich przekazywania;
czas trwania planowanej operacji przetwarzania danych w kraju docelowym;
kraj pochodzenia oraz kraj „ostatecznego przeznaczenia” danych;
środki bezpieczeństwa stosowane w tym ostatnim państwie.
Kluczowe znaczenie mają również przepisy prawa obowiązujące w państwie docelowym – i to zarówno przepisy powszechnie obowiązujące, jak również branżowe, zawodowe (np. kodeksy etyczne) oraz inne, mające jedynie ograniczony zakres zastosowania. Aczkolwiek wystarczające będzie uwzględnienie przepisów, które znajdą zastosowanie w konkretnym przypadku przetwarzania danych, np. przy przesyłaniu danych w zakresie telekomunikacji konieczne będzie zbadanie i ocena rozwiązań państwa docelowego w sektorze telekomunikacji lecz już np. nie w zakresie ubezpieczeń.
Są to w wielu przypadkach pracochłonne analizy, które powinny uwzględniać wszystkie okoliczności przekazania danych, obarczone stosunkowo dużym ryzykiem.
Transfer bez gwarancji
Administratorzy danych, w tym także międzynarodowe korporacje, w ramach których dochodzi do ponadgranicznych transferów danych na masową skalę, starają się „zdejmować” z siebie część obowiązków nakładanych na nie Ustawą oraz Dyrektywą Unijną nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (zwaną dalej Dyrektywą). Korzystają w tym celu z pewnych udogodnień przewidzianych w tych aktach. Nie zawsze jednak zastosowane przez korporacje środki i instrumenty są właściwe.
Istotne udogodnienia w zakresie ponadgranicznego transferu danych wprowadza art. 26 ust. 1 Dyrektywy oraz wzorowany na nim art. 47 ust. 3 Ustawy. Wskazują one sytuacje, w których transfer jest dopuszczalny, pomimo że państwo trzecie nie gwarantuje na swym terytorium odpowiedniej ochrony danych, bez konieczności uzyskania zatwierdzenia (akceptacji) ze strony właściwego organu nadzoru (odpowiednio – uzyskania „zgody” GIODO na podstawie art. 48 Ustawy). W ramach przewidzianych Dyrektywą odstępstw, przekazywanie danych jest dopuszczalne, jeżeli:
a) osoba, której dane dotyczą jednoznacznie wyrazi na to zgodę;
b) jest ono konieczne dla realizacji umowy pomiędzy osobą, której dane dotyczą i administratorem danych lub do wprowadzenia w życie ustaleń przedumownych na wniosek osoby, której dane dotyczą, bądź
c) dla zawarcia lub wykonania umowy zawartej w interesie takiej osoby pomiędzy administratorem a osobą trzecią;
d) jest to konieczne z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego;
e) jest to konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą;
f) transfer następuje z ogólnodostępnego rejestru.
Szczególne znaczenie dla praktyki korporacyjnej mają trzy pierwsze odstępstwa, aczkolwiek również one mogą być stosowane z pewnymi zastrzeżeniami. Trudności interpretacyjne starała się wyjaśnić Grupa Robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (zwana dalej Grupą Roboczą), powołana na mocy art. 29 Dyrektywy, w opublikowanym dokumencie roboczym WP 1144. (…)
Klauzule umowne
Administratorzy danych planujący przekazywanie danych osobowych do państw trzecich w oparciu o umowy transferowe mogą skorzystać z przygotowanych przez Komisję Europejską (upoważnioną na mocy art. 26 ust. 4 Dyrektywy) zestawów klauzul umownych, zapewniających odpowiedni poziom ochrony danych osobowych oraz podstawowe prawa i wolności jednostek. Komisja wydała dotychczas trzy decyzje zawierające zestawy klauzul „modelowych”:
– decyzję nr 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy Dyrektywy 95/46/WE (Dz. Urz. WE L 181/19 z 4.07.2001 r.);
– decyzję nr 2004/915/WE z dnia 27 grudnia 2004 r. zmieniającą decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz. Urz. WE L 385/19 z 29.12.2004 r.) oraz
– decyzję nr 2002/16/WE z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy Dyrektywy 95/46/WE (Dz. Urz. UE L 6/52 z 10.01.2002 r.).
Dwie pierwsze decyzje wprowadzające klauzule umowne mają zastosowanie w zakresie przekazywania danych osobowych pomiędzy administratorami danych (tzw. controller-to-controller data transfer). Trzecia z wymienionych decyzji wprowadza wzorcowe klauzule umowne, które przeznaczone są do operacji przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych podmiotowi spoza obszaru EOG (tzw. controller-to-processor data transfer).
(…)
Dyrektywa zezwala, ale nie zobowiązuje
Należy jednak podkreślić, iż podpisanie (czy też zamiar podpisania) przez administratora umowy transferowej z odbiorcą danych w państwie trzecim nie umożliwia przekazania (przekazywania) danych osobowych do państwa trzeciego w oparciu o art. 47 ust. 3 Ustawy (wymienione powyżej odstępstwa). Umowa transferowa nie stanowi również wystarczającej przesłanki udzielenia przez GIODO zgody na przekazywanie danych na podstawie art. 48 Ustawy. Ten ostatni przepis ma zastosowanie w przypadku, gdy nie ma adekwatnej ochrony w państwie docelowym, a wcześniej wskazane odstępstwa z art. 47 Ustawy nie mają zastosowania. GIODO rozpatruje skonkretyzowany proces transferu danych (pomiędzy wskazanymi podmiotami), biorąc pod uwagę wszelkie okoliczności sprawy. Nie jest w żaden sposób zobligowany do wydania zgody nawet wówczas, gdy przedstawiona przez wnioskującego administratora umowa transferowa jest de facto wierną kopią „wzorcowych” klauzul umownych. Administrator danych może jedynie powoływać się przed organem, iż podpisana umowa jest zgodna z klauzulami modelowymi, argumentując iż tym samym wypełnił wymóg zapewnienia odpowiednich zabezpieczeń w zakresie ochrony danych w rozumieniu art. 48 Ustawy (art. 26 ust. 2 Dyrektywy). Wydaje się, że im niższy poziom ochrony w państwie trzecim do którego ma następować transfer, tym stosowane przez administratorów rozwiązania kontaktowe powinny być mniej „niestandardowe” a bardziej zbliżone do klauzul modelowych, co ułatwiałoby podjęcie pozytywnej decyzji przez GIODO.
W wyroku z dnia 16 kwietnia 2003 r. (sygn. II SA 3878/02, ONSA2004) Naczelny Sąd Administracyjny potwierdził arbitralność praktyki GIODO w tym względzie, wskazując iż dyrektywa zezwala jedynie państwom członkowskim na udzielenie zgody w sytuacji zawarcia odpowiednich umów, ale nie zobowiązuje do tego. Zdanie to podziela doktryna. Należy również brać pod uwagę okoliczności konkretnego przypadku transferu danych, które mogą powodować konieczność zapewnienia dodatkowych środków bezpieczeństwa ponad wynikające z odpowiedniej umowy.
Trzeba jednocześnie podkreślić, że legalność przekazania danych osobowych do państw trzecich jest operacją przetwarzania danych na terytorium państwa członkowskiego (państwa EOG) i podlega regulacji prawa krajowego. Dlatego posłużenie się klauzulami modelowymi w żadnym razie nie wyłącza obowiązku spełnienia przez administratora danych innych wymogów wynikających z właściwych przepisów wewnętrznych państwa w zakresie ochrony danych osobowych.
Wiążące reguły dla transferów
W ostatnich latach spore zainteresowanie budzi realizowana przez koncerny międzynarodowe inicjatywa opracowania wiążących zasad korporacyjnych dla międzynarodowych transferów danych osobowych. Określa się je w skrócie jako „wiążące reguły korporacyjne” lub BCR (Binding Corporate Rules). Ich podstawowym celem jest zapewnienie odpowiedniego wystandaryzowanego poziomu ochrony tych danych, przy możliwie ułatwionym wewnętrznym transferze danych osobowych w ramach korporacji. W szczególności konieczność taka wynika z potrzeb skutecznego zarządzania ponadnarodowymi strukturami, np. zarządzania zasobami ludzkimi, tworzenia scentralizowanych baz danych, ułatwiania prowadzenia bieżącej działalności gospodarczej. Wiążące reguły zawarte są w całych grupach dokumentów (rzadko stosuje się formułę jednego ogólnego dokumentu), opracowywanych w ramach korporacji. Są to różnego rodzaju „polityki” (policies), np. polityka przetwarzania danych, polityka przechowywania dokumentacji itp. Korporacje tworzą zestawy zasad, różnorodne „kodeksy”, procedury, komunikaty, czy wreszcie umowy wiążące poszczególnych członków korporacji.
(…)
Należy na zakończenie podkreślić, iż wiążące reguły korporacyjne mają na celu usprawnienie transferów dokonywanych jedynie wewnątrz określonej korporacji międzynarodowej. Ramy prawne transferów wykraczających poza korporacje (tzw. dalsze przesyłanie), np. do podmiotów przetwarzających dane na zlecenie czy zewnętrznych odbiorców danych, nadal powinny opierać się na innych wcześniej wymienionych rozwiązaniach, głównie kontraktowych.
Prawidłowy wybór i ukształtowanie instrumentów prawnych przy uwzględnieniu wszystkich okoliczności planowanego transferu danych osobowych do państw trzecich pozwoli uniknąć komplikacji i ewentualnych dotkliwych dla administratora danych (oraz osób odpowiedzialnych za działanie osoby prawnej lub jednostki organizacyjnej) konsekwencji.
Dr Bogdan Fischer jest radcą prawnym, partnerem w Kancelarii Prawnej Chałas i Wspólnicy; adiunktem na Uniwersytecie Jagiellońskim; arbitrem w sądzie polubownym ds. domen internetowych przy Polskiej Izbie Informatyki i Telekomunikacji oraz Krajowej Izbie Gospodarczej. Specjalizuje się w prawie własności intelektualnej i ochronie informacji.
Fragmenty artykułu ogłoszonego w „Przeglądzie Corporate Governance” 3/2007
„Przegląd Corporate Governance” jest jedynym polskim periodykiem traktującym o szeroko rozumianej problematyce władztwa w spółce i budowaniu właściwych relacji pomiędzy spółką i jej rynkowym otoczeniem. Kwartalnik adresowany jest do członków organów spółek kapitałowych, pracowników biur zarządu, służb corporate governance i compliance, inwestorów instytucjonalnych, prawników obsługujących podmioty gospodarcze, specjalistów od zarządzania i finansów, a także naukowców i studentów.
Wydawca pisma – Polski Instytut Dyrektorów – inicjuje, organizuje i koordynuje działania na rzecz poprawy standardów corporate governance w polskich spółkach, współdziałając z instytucjami rynku kapitałowego, m.in. Giełdą Papierów Wartościowych i Komisją Nadzoru Finansowego. Misją PID jest promowanie nowoczesnych standardów corporate governance, zasad dobrych praktyk i przejrzystości w gospodarce.
Prenumerata na stronie: http://www.pid.org.pl
Źródło: http://www.pid.org.pl