Problematykę transferu danych do państw trzecich poruszały art. 25-26 dyrektywy 95/46/WE. Ich omówienie w tym artykule jest ważne z racji licznych odwołań w przepisach dotyczących dopuszczalności przekazywania danych, które są zapisane w RODO. W polskiej ustawie o ochronie danych osobowych, obowiązującej przed rozporządzeniem, przepisy dyrektywy były zaimplementowane w rozdziale 7, w art. 47-48. Konieczność ich implementacji wynikała z naszych zobowiązań przed akcesją do UE. Regulacje wynikające z obu dokumentów zostały zastąpione przez rozdział V Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), a dokładniej art. 44-49. Art. 3 u.o.d.o. mówił ponadto, że ustawę stosuje się do podmiotów, które mają siedzibę lub miejsce zamieszkania w Polsce i do podmiotów mających siedzibę w państwie trzecim, pod warunkiem, że dane osobowe przetwarzają na terytorium Polski1.

Odbiorcy danych według dyrektywy 95/46/WE i RODO

Jak wyglądały obecne regulacje i co uległo zmianie w stosunku do nich? Jedną z podstawowych różnic jest to, że adresatem obowiązków wynikających z przepisów z rozdziału dotyczącego transferu danych są także podmioty przetwarzające dane, będące inaczej mówiąc ich procesorami2. Nie tylko działania administracyjne powodują działanie przepisów unijnych, a także wszelkie czynności związane z przetwarzaniem danych powierzonym podmiotowi przetwarzającemu (procesorowi). Zgodnie z art. 4 pkt. 9 rozporządzenia, odbiorcą danych są osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, którym ujawnia się dane osobowe, niezależnie od tego, czy są stroną trzecią3.

Przepisy dyrektywy podobnie jak RODO, zakładały spełnienie konkretnych przesłanek dopuszczalności transferu danych do państw trzecich. Jednym z nich był odpowiedni poziom ochrony danych. Traktował o tym art. 25 ust. 1 oraz stosownie art. 47 ust. 1 u.o.d.o. Zastanawiając się nad nim należało przede wszystkim oceniać go „w świetle wszystkich okoliczności dotyczących przekazania danych lub zbioru takich informacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i branżowe obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie4.

Odpowiedniość ochrony w przepisach przed i zgodnie z RODO

Jak wylicza Xawery Konarski, na gruncie dyrektywy można było wyróżnić trzy sposoby dokonania odpowiedniości ochrony w państwach trzecich:

  1. adekwatność zostaje stwierdzona w drodze decyzji Komisji Europejskiej (tzw. commision finding),

  2. adekwatność ochrony zostaje stwierdzona w drodze decyzji wydanej przez krajowy organ ds. ochrony danych osobowych (tzw. national finding)

  3. adekwatność ochrony zostaje stwierdzona w drodze „samooceny” administratora danych, z tym że poprawność tej oceny podlega kontroli organu ochrony danych osobowych.5

Z lektury rozdziału V RODO wyłania się ta sama główna idea. Jej treścią jest dbałość o zapewnienie tego samego poziomu ochrony osób fizycznych, wynikającego z rozporządzenia podczas stosowania przepisów rozporządzenia również krajach trzecich6.

Przekazywanie danych osobowych

Dyrektywa 95/46/WE podobnie jak RODO zapewniała możliwość dopuszczenia na podstawie wyjątków. Określone zostały w art. 26 ust. 1 lit a-f, a na gruncie polskiego prawa w art. 47 ust. 3 pkt 1-6 u.o.d.o. Były wśród nich odstępstwa, które nie wymagały starania się o zgodę krajowego organu7 na transfer danych osobowych ani KE. A zatem sytuacje, w których: transfer odbywa się na wyraźne życzenie osoby (art. 26 ust. 1 lit. a), której dane dotyczą lub gdy przekazanie danych było konieczne dla realizacji lub zawarcia umowy z administratorem danych (art. 26 ust. 1 lit. B-c) lub gdy było konieczne do zapewnienia ochrony żywotnych interesów podmiotu danych (art. 26 ust. 1 lit. e). Transfer był dopuszczony także ze względu na ważny interes publiczny, w celu dochodzenia roszczeń prawnych (art. 26 ust. 1 lit. d).

Państwo członkowskie miało umożliwione wydawanie decyzji o przekazaniu danych osobowych również w sytuacji, gdy państwo trzecie nie zapewniało odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2 dyrektywy. Możliwe to było w sytuacji, gdy administrator zaleciłby „odpowiednie zabezpieczenia odnośnie ochrony prywatności oraz podstawowych praw i wolności osoby odnośnie do wykonywania odpowiednich praw8. Mowa tu o standardowych klauzulach umownych określonych w języku angielskim jako standard contractual clauses. Dyrektywa zakładała również możliwość definiowania właściwych klauzul umownych (appropriate contractual clauses)9.

Badając kwestię możliwości transferu danych osobowych przed RODO, należy stwierdzić, że przedsiębiorca polski mógł jedynie posiłkować się wytycznymi GIODO10 oraz decyzjami Komisji Europejskiej, która na mocy art. 25 ust. 6 dyrektywy miała uprawnienie do uznania, że w danym państwie obowiązuje odpowiedni poziom ochrony danych osobowych11. W 2018 wśród państw zatwierdzonych znajdują się:

  1. Andora,

  2. Argentyna,

  3. Australia,

  4. Kanada,

  5. Szwajcaria,

  6. Izrael,

  7. Wyspy Man,

  8. Wyspy Owcze,

  9. Wyspy Normandzkie – baliwaty Jersey oraz Guernsey,

  10. Urugwaj.

Wśród ww. państw łatwo zauważyć brak Stanów Zjednoczonych, tak mocno przecież powiązanych gospodarczo z krajami EOG. Prawo obowiązujące w USA nie spełniało i wciąż nie spełnia wymagań, które zakłada RODO. Podstawową różnicą pomiędzy dwoma modelami ochrony danych jest to, że unijne zasady przetwarzania danych obowiązują „niezależnie od specyfiki administratora czy procesora danych. Natomiast w USA poddają ochronę danych osobowych regulacjom w wybranych sektorach i dziedzinach, zidentyfikowanych jako narażone na ryzyko naruszeń ochrony danych.”.12 Ze względu jednak na ogromne interesy między UE a USA zostały wypracowane mechanizmy prawne umożliwiające transfer danych, takie jak między innymi BCR (Binding Corporate Rules), czyli wiążące reguły korporacyjne.

W dyrektywie 95/46/WE nie istniało jeszcze, pojęcie instrumentu przekazywania danych na bazie wiążących reguł korporacyjnych. Zostało ono unormowane w rozporządzeniu 2016/79, a prace nad nim trwały już w ramach Grupy Roboczej art. 2913. Dotyczy ono zasad przesyłu danych w ramach tej samej grupy kapitałowej. Opisuję je również w w podrozdziale 2.4.

Idea ochrony transferowanych danych wyrażona w RODO nie wyklucza zawierania przez państwa członkowskie dodatkowych umów międzynarodowych z państwami trzecimi w tej materii. W motywie 102 rozporządzenia podkreślone zostało, że jest to dozwolone w przypadku, gdy umowy te nie wpływają na RODO i inne przepisy unijne, a także zakładają zapewnienie przynajmniej tego samego stopnia ochrony danych. Choć podstawową przesłanką dopuszczalności transferu danych do państw trzecich jest odpowiedniość ochrony w danym państwie, istnieją także podstawy i wyjątki od tej zasady.

Przypisy

1 Kępa Leszek, Ochrona danych osobowych w praktyce, Wydawnictwo Difin, Warszawa 2014, str. 202

2 Konarski Xawery, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i Polsce [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 278

3 Definicja „strony trzeciej” w art. 4 pkt. 10 rozporządzenia

4 Art. 25 ust. 2 dyrektywy 95/46/WE

5 Konarski Xawery, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i Polsce [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 274

6 Art. 44 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/79

7 Przepisy u.o.d.o nie zawierały możliwości ubiegania się o ocenę adekwatności polskiego organu w ramach national finding, czyli GIODO

8 Art. 26 ust. 2 dyrektywy 95/46/WE

9 Konarski Xawery, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i Polsce [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 275

11 Kępa Leszek, Ochrona danych osobowych w praktyce, Wydawnictwo Difin SA, Warszawa 2014, str. 205

12 Krzysztofek, Mariusz, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/79, Wydawnictwo C. H. Beck, Warszawa 2016, str. 238

13 Ibidem, str. 268

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *