Jeszcze o przekazywaniu danych osobowych za granicę

Problematyka transgranicznego transferu danych osobowych między państwami należącymi do Europejskiego Obszaru Gospodarczego (poza państwami Unii Europejskiej w skład EOG wchodzą Norwegia, Islandia i Liechtenstein) a państwami trzecimi nabiera coraz większego znaczenia w obrocie gospodarczym. Na tym tle ujawniają się poważne wątpliwości. Na łamach „Rz” sygnalizowali je ostatnio (14 lipca) Jacek Barańczak i Grzegorz Gryciuk w tekście „[link=http://www.rp.pl/artykul/333715.html]Przetwarzanie danych osobowych: umowa powierzenia[/link]”.

[srodtytul]Dychotomia podziału[/srodtytul]

W [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=82AB51F6CEE7FFB95C04C81D5EC9D7F0?id=166335]ustawie o ochronie danych osobowych[/link] (ustawa), wzorem dyrektywy 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (dyrektywa), przyjęto dychotomiczny podział na państwa należące do EOG, spełniające należyte (europejskie) standardy ochrony danych osobowych, oraz wszelkie inne państwa świata. Do owej „reszty świata” zaliczają się w szczególności, obok Indii czy Chin, Stany Zjednoczone, które są jednocześnie głównym oponentem wobec europejskiej (tj. wyrażonej w dyrektywie) wizji ochrony danych osobowych.

[srodtytul]Niejasności w sprawach zasadniczych[/srodtytul]

Rozbieżności interpretacyjne mające poważny wpływ na praktykę pojawiają się już na całkiem elementarnym poziomie. Dotyczy to np. pojęcia transferu (przekazania) danych osobowych do państwa trzeciego.

W wypadku tradycyjnych form komunikacji kwalifikacja tego zdarzenia nie nastręcza większych problemów i zachodzi np. w razie przesłania spisu danych osobowych zwykłym listem nadanym w Polsce i odebranym w USA. W wypadku elektronicznych środków przekazywania informacji (np. poczty elektronicznej) sprawa nie jest już tak jednoznaczna.

[wyimek]Głównymi oponentami wobec europejskiej wizji ochrony danych osobowych są Stany Zjednoczone, Chiny i Indie[/wyimek]

Problem ten ilustruje różnica stanowisk Komisji Europejskiej oraz Europejskiego Trybunału Sprawiedliwości (ETS).

Komisja uznała (pkt 10 preambuły decyzji KE 2002/16/WE), że już samo ujawnienie danych osobowych przetwarzającemu dane, mającemu siedzibę poza obszarem Wspólnoty, jest międzynarodowym transferem danych osobowych ([link=http://europa.eu.int/eur-lex/pl/dd/docs/2002/32002D0016-PL. doc]http://europa.eu.int/eur-lex/pl/dd/docs/2002/32002D0016-PL. doc[/link]).

ETS w wyroku w sprawie Bodil Lindqvist stwierdził natomiast, iż samo zamieszczenie (ujawnienie) danych w Internecie przy wykorzystaniu serwera znajdującego się w państwie należącym do EOG nie stanowi jeszcze międzynarodowego transferu danych. Transfer taki można już jednak byłoby stwierdzić, gdyby dane zostały zamieszczone (ujawnione) w Internecie w celu ich udostępniania konkretnym odbiorcom, tj. gdyby Internet stanowił technologiczną platformę komunikacji ([link=http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62001J0101:EN:HTML]http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62001J0101:EN:HTML[/link]).

Bliżsi tego drugiego poglądu są amerykańscy autorzy wskazujący, iż dla transgranicznego transferu danych konieczne jest nie samo ujawnienie danych w państwie trzecim, lecz dokonanie ich rzeczywistego przeniesienia z jednego miejsca w drugie. Podobnie odczytywać można przepisy ustawy, które mówią o przekazywaniu danych osobowych do państwa trzeciego. Wydaje się jednak, iż takie zawężające ujęcie problemu nie do końca przystaje do wirtualnej rzeczywistości i elektronicznych środków komunikacji.

[srodtytul]Umowa powierzenia[/srodtytul]

Jacek Barczak i Grzegorz Gryciuk rozważają przypadki transgranicznego transferu danych osobowych na tle umowy powierzenia przetwarzania danych osobowych. W związku z tym rodzi się kilka uwag.

Odwołując się do wykładni celowościowej i posiłkując się preambułą dyrektywy, autorzy konstatują m. in., iż możliwe jest „przypisanie podmiotowi spoza Polski przymiotu administratora danych na potrzeby zawarcia umowy powierzenia [przetwarzania danych osobowych]„. Pojawia się istotne pytanie, czy i w jakim zakresie ów podmiot, zasadniczo niepodlegający ustawie, ale na potrzeby umowy powierzenia przetwarzania danych osobowych traktowany jak administrator danych osobowych, podlega przewidzianym w ustawie obowiązkom ciążącym na administratorach danych (np. wymogowi spełnienia obowiązku informacyjnego o treści przewidzianej w ustawie).

Tak daleko idący wniosek wydaje się nieuzasadniony wobec brzmienia art. 3 ust. 2 pkt 2 ustawy. Godzi się przy tym zauważyć, iż w polskiej literaturze akcentuje się niewłaściwe implementowanie dyrektywy i błędne położenie nacisku w ustawie na siedzibę (miejsce zamieszkania) jednostki przetwarzającej dane jako podstawowe kryterium dla oceny stosowania ustawy. Dyrektywa posługuje się bowiem szerszym pojęciem miejsca, gdzie występuje efektywne i rzeczywiste wykonywanie określonej działalności w sposób stały (koncepcja establishment – pkt 19 preambuły dyrektywy).

Ponadto warto odnotować, że mające ułatwić transfer danych osobowych z EOG do państw trzecich standardowe klauzule umowne przyjęte decyzjami KE (decyzje 2001/497/WE oraz 2004/915/WE) posługują się dla określenia odbiorcy danych w państwie trzecim decydującego o dalszym wykorzystaniu danych pojęciem administratora danych (klauzule typu controller-to-controller). Co więcej, tym samym pojęciem posługują się standardowe klauzule umowne mające ułatwiać przekazywanie danych do państwa trzeciego w związku z powierzeniem ich przetwarzania (klauzule typu controller-to-processor por. decyzja KE 2002/16 /WE). Przypisywanie pojęciu administratora danych różnych znaczeń w odniesieniu do różnych okoliczności stanowić może źródło dodatkowych wątpliwości, pogłębiając trudności interpretacyjne.

[srodtytul]Zwrotny transfer[/srodtytul]