Dane osobowe: konieczne jest złożenie wniosku do generalnego inspektora

Komisja Europejska przygotowała narzędzie umożliwiające administratorom danych standaryzację transgranicznej wymiany danych osobowych, tzw. standardowe klauzule umowne. Jest to instrument stosunkowo mało znany w Polsce, niemniej w 2011 r. generalny inspektor ochrony danych osobowych wydał co najmniej dwie decyzje o zgodzie na przekazanie danych osobowych do państwa trzeciego na podstawie umów opartych na wyżej wymienionych klauzulach.

Obecnie głównymi kierunkami transferów danych osobowych z Polski do państw trzecich – czyli, zgodnie z art. 7 ust. 7 ustawy o ochronie danych osobowych (dalej: ustawa), poza Europejski Obszar Gospodarczy – są Stany Zjednoczone Ameryki oraz Republika Indii. Tak Stany Zjednoczone Ameryki jak i Indie z powodu braku wystarczających regulacji prawnych w zakresie ochrony danych osobowych nie są uznawane za państwa zapewniające odpowiedni poziom ochrony danych.

Taki stan rzeczy stwarza wiele problemów dla administratorów danych, którzy chcą przekazywać dane osobowe do wyżej wymienionych krajów. Są sytuacje, gdy przekazywania danych nie da się uniknąć bądź rezygnacja z ich przekazywania niesie ze sobą negatywne konsekwencje finansowe.

Stany Zjednoczone Ameryki to państwo, w którym wiele międzynarodowych korporacji i grup kapitałowych ma swoje centrale. Dane przekazywane są tam nie tylko na wewnętrzne potrzeby grupy, ale także na potrzeby urzędowych postępowań czy kontroli (choćby postępowań prowadzonych przez SEC - Securities and Exchange Commission). Z kolei spółki indyjskie ze względu na niskie koszty pracy stały się dla wielu podmiotów centrami outsourcingu wybranych usług, np. zarządzania zasobami ludzkimi.

Działając na podstawie art. 26 ust. 4 dyrektywy 95/46/WE (dalej: dyrektywa), Komisja Europejska uznała w drodze decyzji, że określone wzorcowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych. Przyjęte wzorce umożliwiają przekazywanie danych tak pomiędzy dwoma administratorami, jak i pomiędzy administratorem i podmiotem, któremu powierzono przetwarzanie. Ponadto z ich pomocą można także uregulować dalsze powierzenie przetwarzania danych. Zgodnie z dyrektywą państwa członkowskie są zobowiązane podjąć konieczne środki w celu zastosowania się do decyzji Komisji.

Zastosowanie umowy opartej na standardowych klauzulach umownych pod warunkiem spełnienia wymogów nałożonych przez odpowiednie przepisy krajowe, daje gwarancje, że umowa taka spełnia wymogi prawne w zakresie ochrony danych osobowych. Potwierdza także wysoką świadomość w zakresie ochrony danych osobowych. W większości państw członkowskich Unii Europejskiej zastosowanie umów modelowych (umów opartych na wspomnianych klauzulach) pozwala na przekazywanie danych do państw trzecich bez konieczności uzyskiwania dodatkowych zgód czy dopełniania dodatkowych formalności. Stąd też rosnąca popularność tego instrumentu. Niestety w Polsce sytuacja wygląda inaczej.

W Polsce skorzystanie przez administratora z danych z umowy modelowej w celu przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony danych, nie zwalnia go z obowiązku uzyskania, zgodnie z art. 48 ustawy, uprzedniej zgody GIODO. Konieczne jest więc złożenie odpowiedniego wniosku do generalnego inspektora.

Wnioski opierające się na wzorcowych klauzulach są analizowane przez GIODO nie tylko pod kątem ich zgodności z obowiązującymi przepisami prawa, ale i wzorami umów przyjętymi przez Komisję Europejską. Administrator danych osobowych nie jest jednak ograniczony treścią umowy modelowej. Konkretna umowa może zawierać oprócz standardowych klauzul umownych także postanowienia regulujące inne sfery współpracy między danymi podmiotami.

Standardowe klauzule mogę też być załącznikiem do szerszego porozumienia. Niemniej w przypadku odstępstw od standardowych klauzul GIODO może wezwać wnioskodawcę do złożenia wyjaśnień. Praktyka pokazuje, iż GIODO wobec wniosków opierających się na wzorcowych klauzulach nie stosuje szybszego trybu procedowania niż w przypadku tradycyjnych wniosków. Dopiero po wydaniu przez GIODO decyzji o zgodzie na przekazanie danych osobowych do określonego odbiorcy danych w państwie trzecim możliwe jest rozpoczęcie przekazywania danych.

Michał Czerniawski prawnik w zespole własności intelektualnej i TMT, WKB Wierciński, Kwieciński, Baehr

W dobie globalizacji coraz powszechniejsze są transgraniczne przepływy danych osobowych, czy to w celach biznesowych np. outsourcingu niektórych zadań do tańszych bądź lepiej wyspecjalizowanych podmiotów zagranicznych, czy też na potrzeby np. sprawozdawczości, kontroli bądź nadzoru.

W związku z tym wydaje się, że umowy modelowe będą stosowane przez administratorów danych coraz częściej. Pozwalają one bowiem na standaryzację – stosowanie jednolitych, zatwierdzonych przez Komisję Europejską i powszechnie uznawanych – wzorców umów w kontaktach z wszystkimi kontrahentami bądź np. w całej międzynarodowej grupie kapitałowej. Fakt, iż stosowane są one także przez spółki polskie, potwierdza rosnącą wśród przedsiębiorców świadomość istnienia alternatywnych instrumentów transgranicznej wymiany danych osobowych.

Do takich instrumentów, oprócz standardowych klauzul umownych, należy zaliczyć w szczególności wypracowane przez Grupę Roboczą Artykułu 29 wiążące reguły korporacyjne (BCR). Niestety popularyzacji tego typu instrumentów nie sprzyja polskie prawo. W przeciwieństwie do ustawodawstw większości państw członkowskich Unii Europejskiej, w Polsce wciąż pomimo zastosowania ww. rozwiązań wymaga się od administratorów danych przejścia procedury związanej z uzyskaniem osobnej zgody GIODO na przekazanie danych osobowych.

Problem ostatecznie może rozwiązać dopiero wejście w życie unijnego ogólnego rozporządzenia o ochronie danych, którego projekt wprost stanowi, iż operacje przekazywania danych na podstawie standardowych klauzul umownych lub wiążących reguł korporacyjnych nie będą wymagać dodatkowych zezwoleń.

Dane Osobowe Dobra Osobiste Finanse w Firmie

Pozostało 86% artykułu