fbTrack
REKLAMA
REKLAMA

Dane osobowe

Praktyczne problemy transferu danych osobowych do USA

www.sxc.hu
Wykorzystywanie standardowych klauzul w celu legalizacji przekazywania danych wiąże się w praktyce z licznymi problemami. Można im zapobiec, ale wymaga to przyjęcia innego modelu – pisze prawnik Mirosław Gumularz.

Od czasu orzeczenia w sprawie Schrems -kwestionującego legalność transferu danych do USA (w ramach programu certyfikacji Safe Harbour) – minęło już trochę czasu, w związku z czym możliwe jest wskazanie ograniczeń prawnych obrotu, będących konsekwencją tego wyroku. Jako przykład można podać sytuację, gdy administrator danych mający siedzibę na terenie Europejskiego Obszaru Gospodarczego (np. w Polsce) przekazuje dane swoich klientów do usługodawcy przetwarzającego je w chmurze obliczeniowej zlokalizowanej na terenie USA. Transfer danych następuje przy udziale europejskiego partnera administratora danych.

Po wyroku w sprawie Schrems, typowym – i potencjalnie najmniej skomplikowanym – narzędziem legalizacji przetwarzania danych we wskazanym modelu są klauzule standardowe Komisji Europejskiej (decyzja 2010/87/UE, dalej klauzule standardowe). Zawarcie umowy na podstawie tych postanowień zwalnia administratora danych od wypełniania dodatkowych formalności. Nie jest to jednak instrument doskonały, co najmniej z kilku powodów.

Do ideału droga daleka

Jak do tej pory Komisja Europejska nie wydała zestawu postanowień możliwych do włączenia do umowy pomiędzy procesorem (przetwarzającym na terenie EOG dane w imieniu administratora z siedzibą też w obrębie EOG) a jego podwykonawcą (dalszym procesorem) przetwarzającym dane na terenie USA. W związku z tym klauzule standardowe nie mogą stanowić instrumentu legalizacji transferu danych pomiędzy tymi podmiotami (procesorem i podprocesorem). W tym zakresie niewystarczająca byłaby także zgoda administratora na dalsze powierzenie danych i w konsekwencji na zawarcie umowy pomiędzy procesorem i podprocesorem.

W przedstawionym stanie faktycznym umowa powierzenia zawierana na podstawie klauzul standardowych powinna wiązać bezpośrednio administratora danych oraz procesora przetwarzającego dane poza EOG. Rozwiązaniem problemu mogłoby być pełnomocnictwo udzielone przez administratora danych na rzecz procesora zamierzającego przekazać dane do państwa trzeciego, niemniej w praktyce taka sytuacja będzie należeć do rzadkości. Udzielenie przez administratora danych upoważnienia do zawarcia umowy, która zwiąże go bezpośrednio z podmiotem (np. z USA), z którym zwykle nie ma innych relacji kontraktowych, jawi się jako opcja zbyt ryzykowna.

Forma pisemna to utrudnienie

Zawarcie umowy z wykorzystaniem klauzul standardowych wymaga dochowania formy pisemnej, co w relacji administrator–procesor wynika już z przepisów ustawy o ochronie danych osobowych (art. 31). Co istotne, standardowe klauzule wymagają zgody pisemnej także dla dalszego powierzenia danych. Łatwo się domyślić, iż wymiana dokumentów w formie pisemnej z podmiotem mającym siedzibę w USA jest w praktyce utrudniona. Kwestia sankcji braku dochowania formy pisemnej jest w tej sytuacji sprawą otwartą. Natomiast niewątpliwie rodzi to ryzyko zarzutu naruszenia wymogów dotyczących legalizacji przekazania danych do państwa trzeciego (w tym USA).

Istotą legalizacji przekazania danych do państwa trzeciego (jak w podanym na początku przykładzie) przy wykorzystaniu standardowych klauzul jest konieczność włączenia ich do umowy w niezmienionym kształcie. Klauzule standardowe nie muszą wyczerpywać całości umowy pomiędzy stronami. Niemniej inne postanowienia umowy nie mogą obniżać poziomu ochrony przekazywanych danych osobowych. W praktyce zdarzają się umowy, gdzie pod pretekstem precyzowania pojęć zawartych w klauzulach standardowych, obniża się poziom ochrony (np. ograniczając uprawnienia kontrolne administratora danych czy konieczność uzyskania zgody na dalsze powierzenie danych).

Klauzule standardowe wymagają indywidualizacji w zakresie wskazanym wyraźnie w ich treści (np. poprzez wskazanie prawa właściwego dla umowy). W praktyce trudno wyegzekwować uzupełnienie treści umowy o wskazane zapisy.

To wszystko oznacza, iż wykorzystanie klauzul standardowych w celu legalizacji przekazania danych do państwa trzeciego (np. do podmiotu świadczącego usługi chmurowe w USA) rodzi praktyczne problemy. Wymuszenie przestrzegania standardów transferu danych w relacjach dwustronnych okazuje się iluzoryczne. Problem ten dotyczy przede wszystkim podmiotów zlokalizowanych w USA. W związku z tym niezbędne wydaje się przyjęcie modelu certyfikacji, zbliżonego do mechanizmu „cumowania" w ramach Safe Harbour, niemniej eliminującego wytknięte słabości. Takie rozwiązanie przewiduje procedowane rozporządzenie w sprawie ochrony danych osobowych.

Autor jest radcą prawnym w Mirosław Gumularz, Barta Litwiński Kancelaria Radców Prawnych i Adwokatów

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA