Temat związany z transferem danych osobowych do państwa trzeciego (tj. państwa spoza Europejskiego Obszaru Gospodarczego) w ostatnich miesiącach był wielokrotnie podnoszony, między innymi przez administratorów danych, którzy na co dzień mają bezpośrednią styczność z przetwarzaniem danych osobowych. Wynikało to z zamieszania, jakie wywołał wyrok Trybunał Sprawiedliwości Unii Europejskiej (TSUE) z października 2015 r. Wyrok ten stanowił odpowiedź na zapytanie irlandzkiego Sądu Najwyższego, który rozpatrywał spór pomiędzy tamtejszym urzędem ochrony danych osobowych i Maximillianem Schremsem.

Przypomnijmy, że pan Schrems zażądał od lokalnego oddziału Facebooka, aby ten nie przekazywał jego danych osobowych do Stanów Zjednoczonych. Firma nie spełniła żądania, a irlandzki urząd ochrony danych osobowych poparł koncern Marka Zuckerberga. W tej sytuacji skarżący wystąpił na drogę sądową. W rezultacie sprawa oparła się o Sąd Najwyższy, który zwrócił uwagę na decyzję Komisji Europejskiej nr 2000/520/WE (program Safe Harbor), w efekcie czego doszło do zgody na przekazywanie danych osobowych pochodzących z terenu Unii Europejskiej na terytorium Stanów Zjednoczonych. Przy czym jednym ze skutków Safe Harbor było umożliwienie amerykańskim służbom wywiadowczym dostępu do europejskich danych.

Sprawa wydawała się przesądzona, ale irlandzcy sędziowie postanowili poprosić o opinię w sprawie Schremsa swoich kolegów z TSUE. A ci spowodowali spore trzęsienie ziemi na arenie międzynarodowej, gdyż uznali, że krajowe organy ochrony danych osobowych nie mogą dokonywać niejako automatycznego odrzucenia skarg swoich obywateli, powołując się na wiążące decyzje Komisji Europejskiej. Tym samym doszło do podważenia istoty programu Safe Harbor, ze względu na brak realnego wpływu Europejczyków na ochronę danych osobowych w USA.

Krótko na temat

Jeśli przedsiębiorca musi nawiązać współpracę z podmiotem prowadzącym działalność w państwie spoza Europejskiego Obszaru Gospodarczego, powinien dowiedzieć się, czy dany kraj zapewnia odpowiedni poziom ochrony danych. Aktualna lista państw, które wywiązują się z tego obowiązku we właściwy sposób, jest dostępna m.in. na stronie www.giodo.gov.pl po wpisaniu hasła „Zasady przekazywania danych osobowych do państw trzecich”. Jeśli okaże się, że określone państwo nie otrzymało pozytywnej rekomendacji Komisji Europejskiej, warto skorzystać z opisywanych w artykule instrumentów wewnętrznych, takich jak standardowe klauzule umowne oraz wiążące reguły korporacyjne.

 

W odpowiedzi na werdykt TSUE ruszyły prace nad przygotowaniem nowych regulacji. Trwały ponad cztery lata, a ich efektem jest zastąpienie dyrektywy 95/46/WE rozporządzeniem Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (skrótowo nazwanym RODO). Jednym z rozwiązań przyjętych w toku prac legislacyjnych przez Unię Europejską jest „Tarcza prywatności”, która określa nowe zasady przekazywania danych pomiędzy Unią i Stanami Zjednoczonymi.

Zasady „Tarczy prywatności” wiążą się z nałożeniem restrykcyjnych zobowiązań na przedsiębiorców amerykańskich, którzy mają być zobligowani do zachowania odpowiedniego poziomu ochrony. Ciekawe wydaje się ponadto ustanowienie amerykańskiego odpowiednika Rzecznika Praw, do którego obywatele państw UE będą mogli bezpośrednio zgłaszać ewentualne naruszenia. Jednak na tym etapie jest zdecydowanie za wcześnie na końcową ocenę postanowień „Tarczy prywatności”.

 

Przekazywanie danych w inne rejony świata

Niezależnie od przyszłych skutków „Tarczy prywatności” przedsiębiorcy z UE mogą przekazywać dane poza teren Wspólnoty do państw innych niż USA. Oczywiście tylko w zgodzie z określonymi przepisami. Na gruncie obecnie obowiązujących regulacji polskich, zawartych w Ustawie o ochronie danych osobowych, aktualny pozostaje obowiązek weryfikacji, czy kraj, gdzie działa podmiot, któremu zamierzamy powierzyć przetwarzanie danych osobowych, zapewnia odpowiedni poziom ochrony. Decyzję o tym, czy takie państwo zapewnia odpowiedni poziom ochrony, podejmuje Komisja Europejska. Ocena poziomu ochrony jest uzależniona m.in. od przepisów prawa obowiązujących w danym państwie. Powszechnie dostępny jest więc wykaz państw, które zapewniają odpowiedni poziom ochrony (www.giodo.gov.pl).

Zdarzają się jednak sytuacje, gdy np. ze względów gospodarczych administrator danych zamierza przekazać dane podmiotowi przetwarzającemu mającemu siedzibę na terenie kraju, wobec którego Komisja Europejska nie wydała pozytywnego rozstrzygnięcia w zakresie zapewnienia odpowiedniego poziomu ochrony. Nie oznacza to dla administratora danych sytuacji bez wyjścia. Może on bowiem zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych o wydanie decyzji administracyjnej zezwalającej na dokonanie transferu danych. Zasadniczo wymagane jest jednak nie tylko wykazanie interesu faktycznego i prawnego, ale też udowodnienie, że został zachowany odpowiedni poziom ochrony przekazywanych danych.

 

Na tym nie koniec. Polski ustawodawca wyszedł naprzeciw oczekiwaniom przedsiębiorców i od 1 stycznia 2015 r. umożliwił skorzystanie z innego katalogu instrumentów, które umożliwiają ominięcie procedury administracyjnej i konieczności uzyskania zgody Generalnego Inspektora Ochrony Danych Osobowych. Mowa o możliwości skorzystania z dwóch instrumentów, na jakie składają się standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub tzw. wiążące reguły korporacyjne, powszechniej znane jako BCR (Binding Corporate Rules).

 

Binding Corporate Rules

Sięganie po BCR staje się coraz bardziej atrakcyjne dla przedsiębiorców. W praktyce mają one formę dokumentu zawierającego zasady związane z przekazywaniem danych osobowych i warunki ich ochrony w ramach przedsiębiorstw działających w jednej branży lub będących członkiem tej samej grupy kapitałowej.

Każde przedsiębiorstwo działające jako przetwarzający jest uprawnione do przygotowania własnego katalogu zasad składających się na BCR, a następnie do złożenia wniosku o zatwierdzenie BCR do krajowego organu ochrony danych. Zatwierdzenie BCR stanowi potwierdzenie zachowania odpowiedniego poziomu ochrony i w tym znaczeniu umożliwia przyspieszenie procedury przekazywania danych, która jest nieodłączną częścią działań uczestników rynku. Zaakceptowanymi dokumentami BCR posługują się skutecznie m.in. takie korporacje jak:
Intel, ING, Accenture, Shell czy Siemens.

Dr Jan Byrski

jest adwokatem i partnerem w kancelarii Traple Konarski Podrecki i Wspólnicy

Natalia Wysocka

jest aplikantką adwokacką w kancelarii Traple Konarski Podrecki i Wspólnicy