Przekazywanie danych osobowych odnosi się najczęściej do transgranicznego przesyłu informacji o zwykłych lub wrażliwych danych podmiotów. Ogólne Rozporządzenie o Danych Osobowych zwane potocznie RODO wprowadza jednolite definicje pojęć związanych z ochroną danych dla wszystkich państw członkowskich. Poniżej znajdą Państwo aktualne informacje nt. istoty przekazywania danych osobowych i jego form.

Definicja państw trzecich, organizacji międzynarodowych i przekazywania do nich danych osobowych w RODO

Badając przekazywanie danych osobowych poza granice kraju należy podzielić je na trzy rodzaje:

  1. przekazywanie danych osobowych do krajów z EOG[1],
  2. przekazywanie danych osobowych do krajów trzecich,
  3. przekazywanie danych osobowych do organizacji międzynarodowych.

Wniosek na temat definicji państw trzecich nasuwa się sam. Są to wszystkie inne kraje niż 28 państw członkowskich Unii lub państwa Europejskiego Obszaru Gospodarczego. Organizacje międzynarodowe zostały zdefiniowane na gruncie RODO w art. 4 pkt. 26. Oznaczają organizacje i wszystkie im podległe organy działające na podstawie prawa międzynarodowego lub powołane jako organ w drodze umowy między co najmniej dwoma państwami. Ujęcie organizacji międzynarodowych w kontekście przekazywania danych osobowych to novum rozporządzenia. Nie znalazły one wyszczególnienia w uchylonej już dyrektywie 95/46/WE. Zdaniem Xawerego Konarskiego w rozporządzeniu mowa o organizacjach międzynarodowych niepodlegających prawu Unii Europejskiej[2]. W dalszej części pracy, gdy wspominane będą państwa trzecie, mowa będzie także o organizacji międzynarodowych.

Na temat przekazywania danych osobowych do państw trzecich nie znajdziemy w RODO osobnej definicji. Istotą przetwarzania, która wyłania się z lektury rozdziału V jest transfer poza granice EOG. W dodatku „RODO nie różnicuje wymogów dotyczących transferu danych według zakresu przetwarzania w państwie trzecim po ich przekazaniu. Zasady dopuszczalności transferu danych poza EOG stosuje się więc niezależnie od tego, czy przekazane dane będą aktywnie wykorzystane, czy wyłącznie przechowywane[3]. Do przekazania danych dochodzi w sytuacjach, które obejmują zarówno przekazanie danych pomiędzy dwoma administratorami danych w innej lub tej samej grupie kapitałowej, gdy powierza się przetwarzanie procesorowi danych w państwie trzecim, a także, gdy udostępnia się organom publicznym w tych państwach[4].

Formy transferu danych osobowych

Warte zastanowienia są formy przekazywania danych do państw trzecich. Transfer może nastąpić na drodze zarówno elektronicznej, jak i fizycznej – przesłanie dokumentów zawierających dane osobowe listownie lub poprzez wywóz ich elektronicznego nośnika poza granice EOG. Z racji popularyzowania kanału komunikacji, jakim jest internet, zasadne stało się pytanie o transfer danych przy jego użyciu. Kwestia ta stała się przedmiotem orzecznictwa Trybunału Sprawiedliwości. W sprawie Lindqvist[5] z 2003 roku uznał on, że nie dochodzi do transferu danych do państwa trzeciego, jeżeli strony internetowe z danymi osobowymi są hostowane w jednym z krajów UE. Bardzo dużo firm korzysta bowiem z miejsca na serwerach, które są utrzymywane przez inne podmioty świadczące usługi hostingu. Zgodnie z orzeczeniem ws. Lindqvist, nie ma zatem znaczenia to, czy dostęp do strony www jest umożliwiony tylko z państw EOG, czy też z państw trzecich. Ważna jest lokalizacja serwera z danymi. Ma to podobne zastosowanie w przypadku lokalizacji plików w chmurze obliczeniowej (cloud computing), jak chociażby usługa Apple iCloud[6]. Podobnym rozwiązaniem są usługi firmy Google. Informacje o przetwarzanych danych, jak i ich lokalizacji zawarte są w polityce prywatności firmy[7]. Innym przykładem są programy, których nie trzeba mieć zainstalowanych na swoim komputerze, których pliki źródłowe są ulokowane na serwerze firmy zewnętrznej. Usługi dostępu do tego typu aplikacji są udostępniane w modelu SaaS (Software as a Service), najczęściej w formie abonamentu. 

Dotychczasowy stan prawny wynikający z dyrektywy 95/46/WE i u.o.d.o. a RODO

Uchwalenie Ogólnego Rozporządzenia o Ochronie Danych Osobowych było ostatnim krokiem na drodze do harmonizacji praw i wolności osób fizycznych. Celem, do którego dążono była wzorem swobody przepływu kapitału, osób czy towarów, swoboda przepływu danych osobowych wewnątrz UE. Na skutek rozwoju technologicznego, powstawania coraz to nowszych form przetwarzania, a także zwiększonego przepływu danych osobowych, powstała konieczność dopasowania i ściślejszej unifikacji przepisów. Uchwalona w 1995 roku dyrektywa 95/46/WE nie spełniała już postawionego przed nią zadania. Z racji swojego charakteru, doprowadziła do powstania różnic między regulacjami w poszczególnych państwach członkowskich, które były zobligowane art. 288 TFUE do osiągnięcia celów zawartych w dokumencie[8]. Powołana Grupa Robocza ds. art. 29 dyrektywy pracowała nad ujednolicaniem prawa w zakresie ochrony danych osobowych, a jej prace sprzyjały późniejszym pracom nad RODO.

Przypisy

[1]   Przekazywanie danych w ramach Unii Europejskiej i EOG jest zdefiniowane jako „transgraniczne przetwarzanie” – zob. art. 4 pkt. 23 RODO

[2]   Konarski Xawery, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i Polsce, [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 279

[3]   Krzysztofek Mariusz, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/79, Wydawnictwo C. H. Beck, Warszawa 2016, str. 226

[4]   Ibidem, str. 226

[5]   Zob. wyrok TS z dnia 6. listopada 2003 roku ws. C-101/01, postępowanie karne przeciwko Bodil Lindqvist

[6]   https://www.icloud.com/

[7]   https://policies.google.com/privacy?hl=pl

[8]   Krzysztofek, Mariusz, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/79, Wydawnictwo C. H. Beck, Warszawa 2016, str. 4

Więcej o zagrożeniach i wyzwaniach w ochronie danych osobowych przeczytają Państwo tutaj.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *