fbTrack
REKLAMA
REKLAMA

Firma

Utrudniony transfer danych osobowych do USA

www.sxc.hu
Przesyłanie danych osobowych pracowników do spółek, które mają siedzibę w Stanach Zjednoczonych, było dotychczas dopuszczalne na podstawie tzw. programu Safe Harbour. W październiku br. Europejski Trybunał Sprawiedliwości wydał przełomowy wyrok delegalizujący transfer danych na tej podstawie.

Co do zasady dane osobowe można przekazywać do innego państwa, jeśli zapewnia ono odpowiedni poziom ochrony podobny do gwarantowanego w Polsce. Stany Zjednoczone należą do grupy państw, które takich gwarancji nie dają. Jednak w celu ułatwienia wymiany gospodarczej pomiędzy Unią Europejską a USA wypracowany został program „Safe Harbour". Przystąpienie do tego programu przez zainteresowany podmiot z siedzibą w USA, potwierdzony stosownym certyfikatem, miało gwarantować odpowiedni poziom ochrony, a w konsekwencji umożliwiało przekazywanie danych do tych spółek. Miało to fundamentalne znaczenie dla działalności grup kapitałowych, których spółki matki znajdują się na terytorium USA lub które prowadzą tam obsługę kadrową europejskich spółek bądź zapewniają im wsparcie IT.

6 października 2015 r. Europejski Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commisioner (C-362-14), w którym stwierdził nieważność decyzji Komisji Europejskiej z 26 lipca 2000 r. zatwierdzającej program „Safe Harbour". Oznacza to, że od chwili wydania tego wyroku transfer danych osobowych pracowników do USA w oparciu o program „Safe Harbour" jest nielegalny.

W oczekiwaniu na nowe

Władze Unii Europejskiej wyznaczyły sobie czas do 1 lutego 2016 r. na wypracowanie nowego mechanizmu pozwalającego na przekazywanie danych do Stanów Zjednoczonych. GIODO, organ odpowiedzialny w Polsce za ochronę danych osobowych, sygnalizuje, że będzie reagował na wszelkie skargi dotyczące nieuprawnionego przekazywania danych do tego kraju, zanim powstanie nowy mechanizm. Sankcją może być grzywna, ograniczenie wolności, a nawet pozbawienie wolności do dwóch lat.

Spółki, które dotychczas przekazywały dane swoich pracowników do Stanów Zjednoczonych na podstawie „Safe Harbour", powinny jak najszybciej zadbać o inną podstawę prawną legalizującą taki transfer. Najprostszym i najszybszym sposobem może być uzyskanie zgody pracownika. Na dłuższą metę warto jednak rozważyć stosowanie odpowiednich klauzul umownych lub zatwierdzenie w GIODO tzw. wiążących reguł korporacyjnych.

Najlepszy wariant

Wiążące reguły korporacyjne („Binding Corporate Rules" – BCR) to opracowane przez międzynarodowe koncerny zasady i procedury mające na celu zagwarantowanie odpowiedniego poziomu ochrony danych osobowych, a w konsekwencji umożliwienie swobodnego ich przepływu wewnątrz korporacji – także do państw trzecich. Reguły te musi zatwierdzić właściwy organ zajmujący się ochroną danych osobowych w każdym kraju, w którym mają mieć zastosowanie (w Polsce jest nim GIODO). Zatwierdzenie BCR w jednym kraju nie oznacza automatycznego ich uznania w innym państwie – GIODO może uwzględnić takie zatwierdzenie w innym kraju, ale nie musi.

Karolina Nowak-Różycka, radca prawny w kancelarii Chajec, Don-Siemion & Żyto

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA