Zasady przekazywania danych osobowych do państw trzecich

Zgodnie z obecną regulacją ustawy o ochronie danych osobowych (UODO) przekazanie danych osobowych do państwa trzeciego (państwa spoza Europejskiego Obszaru Gospodarczego) może nastąpić w przypadku, gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Przekazanie może nastąpić również wtedy, gdy wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych- art. 47 ust. 2 UODO (np. na podstawie przytoczonej we wcześniejszym wpisie „bezpiecznej przystani).

Zgodnie z art. 47 ust. 3 UODO administrator danych może przekazać dane osobowe do państwa trzeciego, jeżeli:

• osoba, której dane dotyczą, udzieliła na to zgodę na piśmie,
• przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
• przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
• przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
• przekazywane dane są ogólnie dostępne.

Z dniem 1 stycznia 2015 r modyfikacji ulegnie przepis art. 48 UODO. Artykuł ten zostanie istotnie rozbudowany. Zmiany dotyczyć będą ograniczenia wymagań uzyskania zgody Generalnego Inspektora Ochrony Danych Osobowych na przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych w przypadkach innych niż wskazane powyżej (art. 47 ust. 2 i 3 UODO).

Aktualnie zgoda na przekazanie danych osobowych w przypadkach określonych powyżej jest wydawana przez  Generalnego Inspektora w drodze decyzji administracyjnej, jedynie pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. (art. 48 ust. 1 UODO).

Jak stanowią nowe regulacje (art. 48 ust. 2 UODO) zgoda taka nie będzie wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

• umieszczenie w umowach przekazania standardowych klauzul umownych dot. ochrony danych osobowych, zatwierdzonych przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w za- kresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.),
• zastosowanie prawnie wiążących reguł lub polityk ochrony danych osobowych, zwanych „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora Ochrony Danych Osobowych.

Co do pierwszego punktu można wskazać, że zastosowanie odpowiednich klauzul umownych może w pewnym sensie zabezpieczyć wykonania zobowiązania dotyczącego ustanowienia odpowiedniego poziomu ochrony danych osobowych. Katalog klauzul znajduje się w załączniku nr 1 do decyzji Komisji Europejskiej  z dnia 15 czerwca 2001 r w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE oraz w treści kolejnych decyzji w przedmiocie w sprawie wzorcowych klauzul umownych (Decyzja 2004/915/WE zmieniającą decyzję 2001/497/WE, Decyzja Komisji 2010/87/UE).

Ochrona danych osobowych w firmie

W kwestii punktu 2 należy wyjaśnić, że dotyczy on głównie grupy przedsiębiorstw oraz Administratorów w rozumieniu art. 31 ust. 1 UODO należących do tej samej grupy innego administratora danych lub podmiotu, o którym mowa także w art. 31 ust. 1 UODO, w państwie trzecim. Przepis ma na celu uproszczenie przekazywania danych pomiędzy podmiotami stosującymi takie same reguły korporacyjne. Reguły te będą zatwierdzane w drodze decyzji przez Generalnego Inspektora Ochrony Danych Osobowych.

Zastosowanie takiego kształtu uregulowania przekazywania danych poza obszar Unii Europejskiej ma swoje uzasadnienie również w stanowisku Grupy Roboczej art. 29 ds. Ochrony Danych.  W komunikacie z dnia 21 grudnia 2012 r. Europejskie organy ochrony danych wprowadziły wiążące reguły korporacyjne dla przetwarzających dane (binding corporate rules, w skrócie BRC). W ocenie Grupy stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych m.in. w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych w danym państwie.

Kontrola przetwarzania danych osobowych

Reasumując, zmiany w ustawie o ochronie danych osobowych mają na celu uprosić procedury związane z przekazywaniem danych do państw spoza Europejskiego Obszaru Gospodarczego. Zmiany w stosunku do administratorów danych należy ocenić pozytywnie. W stosunku do osób, których dane są przetwarzane,  wprowadzone regulacje mogą budzić wrażenie przyznania szerszej możliwości przekazywania danych, z drugiej jednak strony właściwe i odpowiedzialne ich stosowanie pozwoli na objęcie szerszą ochroną i kontrolą przetwarzania danych osobowych. Pamiętajmy, że system ochrony danych w tym danych osobowych w Unii Europejskiej stoi na bardzo wysokim poziomie, a samo ich przetwarzanie oraz przekazywanie jest bardzo restrykcyjne uregulowane.

Więcej:

– Zasady przekazywania danych osobowych do państw trzecich opracowane poprzez GIODO,

– Oświadczenie prasowe Grupy art. 29 ds. Ochrony Danych dotyczące wprowadzenia wiążących reguł korporacyjnych dla przetwarzających,

– Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej.