Dyrektywa 95/46/WE i uodo z 1997 r. – czyli ochrona danych osobowych przed RODO

Problematykę transferu danych do państw trzecich poruszały art. 25-26 dyrektywy 95/46/WE. Ich omówienie w tym artykule jest ważne z racji licznych odwołań w przepisach dotyczących dopuszczalności przekazywania danych, które są zapisane w RODO. W polskiej ustawie o ochronie danych osobowych, obowiązującej przed rozporządzeniem, przepisy dyrektywy były zaimplementowane w rozdziale 7, w art. 47-48. Konieczność ich implementacji wynikała z naszych zobowiązań przed akcesją do UE. Regulacje wynikające z obu dokumentów zostały zastąpione przez rozdział V Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), a dokładniej art. 44-49. Art. 3 u.o.d.o. mówił ponadto, że ustawę stosuje się do podmiotów, które mają siedzibę lub miejsce zamieszkania w Polsce i do podmiotów mających siedzibę w państwie trzecim, pod warunkiem, że dane osobowe przetwarzają na terytorium Polski¹.

Odbiorcy danych według dyrektywy 95/46/WE i RODO

Jak wyglądały obecne regulacje i co uległo zmianie w stosunku do nich? Jedną z podstawowych różnic jest to, że adresatem obowiązków wynikających z przepisów z rozdziału dotyczącego transferu danych są także podmioty przetwarzające dane, będące inaczej mówiąc ich procesorami². Nie tylko działania administracyjne powodują działanie przepisów unijnych, a także wszelkie czynności związane z przetwarzaniem danych powierzonym podmiotowi przetwarzającemu (procesorowi). Zgodnie z art. 4 pkt. 9 rozporządzenia, odbiorcą danych są osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, którym ujawnia się dane osobowe, niezależnie od tego, czy są stroną trzecią³.

Przepisy dyrektywy podobnie jak RODO, zakładały spełnienie konkretnych przesłanek dopuszczalności transferu danych do państw trzecich. Jednym z nich był odpowiedni poziom ochrony danych. Traktował o tym art. 25 ust. 1 oraz stosownie art. 47 ust. 1 u.o.d.o. Zastanawiając się nad nim należało przede wszystkim oceniać go „w świetle wszystkich okoliczności dotyczących przekazania danych lub zbioru takich informacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i branżowe obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie”⁴.

Odpowiedniość ochrony w przepisach przed i zgodnie z RODO

Jak wylicza Xawery Konarski, na gruncie dyrektywy można było wyróżnić trzy sposoby dokonania odpowiedniości ochrony w państwach trzecich:

1. „adekwatność zostaje stwierdzona w drodze decyzji Komisji Europejskiej (tzw. commision finding),

2. adekwatność ochrony zostaje stwierdzona w drodze decyzji wydanej przez krajowy organ ds. ochrony danych osobowych (tzw. national finding)

3. adekwatność ochrony zostaje stwierdzona w drodze „samooceny” administratora danych, z tym że poprawność tej oceny podlega kontroli organu ochrony danych osobowych.”⁵

Z lektury rozdziału V RODO wyłania się ta sama główna idea. Jej treścią jest dbałość o zapewnienie tego samego poziomu ochrony osób fizycznych, wynikającego z rozporządzenia podczas stosowania przepisów rozporządzenia również krajach trzecich⁶.

Przekazywanie danych osobowych

Dyrektywa 95/46/WE podobnie jak RODO zapewniała możliwość dopuszczenia na podstawie wyjątków. Określone zostały w art. 26 ust. 1 lit a-f, a na gruncie polskiego prawa w art. 47 ust. 3 pkt 1-6 u.o.d.o. Były wśród nich odstępstwa, które nie wymagały starania się o zgodę krajowego organu⁷ na transfer danych osobowych ani KE. A zatem sytuacje, w których: transfer odbywa się na wyraźne życzenie osoby (art. 26 ust. 1 lit. a), której dane dotyczą lub gdy przekazanie danych było konieczne dla realizacji lub zawarcia umowy z administratorem danych (art. 26 ust. 1 lit. B-c) lub gdy było konieczne do zapewnienia ochrony żywotnych interesów podmiotu danych (art. 26 ust. 1 lit. e). Transfer był dopuszczony także ze względu na ważny interes publiczny, w celu dochodzenia roszczeń prawnych (art. 26 ust. 1 lit. d).

Państwo członkowskie miało umożliwione wydawanie decyzji o przekazaniu danych osobowych również w sytuacji, gdy państwo trzecie nie zapewniało odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2 dyrektywy. Możliwe to było w sytuacji, gdy administrator zaleciłby „odpowiednie zabezpieczenia odnośnie ochrony prywatności oraz podstawowych praw i wolności osoby odnośnie do wykonywania odpowiednich praw”⁸. Mowa tu o standardowych klauzulach umownych określonych w języku angielskim jako standard contractual clauses. Dyrektywa zakładała również możliwość definiowania właściwych klauzul umownych (appropriate contractual clauses)⁹.

Badając kwestię możliwości transferu danych osobowych przed RODO, należy stwierdzić, że przedsiębiorca polski mógł jedynie posiłkować się wytycznymi GIODO¹⁰ oraz decyzjami Komisji Europejskiej, która na mocy art. 25 ust. 6 dyrektywy miała uprawnienie do uznania, że w danym państwie obowiązuje odpowiedni poziom ochrony danych osobowych¹¹. W 2018 wśród państw zatwierdzonych znajdują się:

1. Andora,

2. Argentyna,

3. Australia,

4. Kanada,

5. Szwajcaria,

6. Izrael,

7. Wyspy Man,

8. Wyspy Owcze,

9. Wyspy Normandzkie – baliwaty Jersey oraz Guernsey,

10. Urugwaj.

Wśród ww. państw łatwo zauważyć brak Stanów Zjednoczonych, tak mocno przecież powiązanych gospodarczo z krajami EOG. Prawo obowiązujące w USA nie spełniało i wciąż nie spełnia wymagań, które zakłada RODO. Podstawową różnicą pomiędzy dwoma modelami ochrony danych jest to, że unijne zasady przetwarzania danych obowiązują „niezależnie od specyfiki administratora czy procesora danych. Natomiast w USA poddają ochronę danych osobowych regulacjom w wybranych sektorach i dziedzinach, zidentyfikowanych jako narażone na ryzyko naruszeń ochrony danych.”.¹² Ze względu jednak na ogromne interesy między UE a USA zostały wypracowane mechanizmy prawne umożliwiające transfer danych, takie jak między innymi BCR (Binding Corporate Rules), czyli wiążące reguły korporacyjne.

W dyrektywie 95/46/WE nie istniało jeszcze, pojęcie instrumentu przekazywania danych na bazie wiążących reguł korporacyjnych. Zostało ono unormowane w rozporządzeniu 2016/79, a prace nad nim trwały już w ramach Grupy Roboczej art. 29¹³. Dotyczy ono zasad przesyłu danych w ramach tej samej grupy kapitałowej. Opisuję je również w w podrozdziale 2.4.

Idea ochrony transferowanych danych wyrażona w RODO nie wyklucza zawierania przez państwa członkowskie dodatkowych umów międzynarodowych z państwami trzecimi w tej materii. W motywie 102 rozporządzenia podkreślone zostało, że jest to dozwolone w przypadku, gdy umowy te nie wpływają na RODO i inne przepisy unijne, a także zakładają zapewnienie przynajmniej tego samego stopnia ochrony danych. Choć podstawową przesłanką dopuszczalności transferu danych do państw trzecich jest odpowiedniość ochrony w danym państwie, istnieją także podstawy i wyjątki od tej zasady.

Przypisy