Przekazywanie danych osobowych poza granice Rzeczypospolitej Polskiej – uregulowania prawne

Nie sposób nie dostrzec, że wobec postępującej globalizacji gospodarki światowej, powszechne stają się mechanizmy, w wyniku których dochodzi do transgranicznej wymiany danych osobowych. W polskiej rzeczywistości gospodarczej owe mechanizmy są szczególnie widoczne pośród podmiotów będących spółkami córkami (spółkami zależnymi) założonymi przez koncerny o zasięgu kontynentalnym czy światowym. Procesy te, będące naturalną konsekwencją określonego modelu biznesowego służą przede wszystkim redukcji kosztów operacyjnych, usprawnieniu zarządzania czy uproszczeniu struktur i procedur organizacyjnych. Częstokroć w ich ramach dochodzi, niejako przy okazji, do wspomnianego już ponadgranicznego przekazywania danych.

Doskonałym przykładem ilustrującym opisywany trend jest oddanie przez spółkę córkę na przechowanie spółce matce (spółce dominującej) kopii zapasowej bazy danych systemu informatycznego służącego do przetwarzania danych osobowych, a więc bazy danych zawierającej dane osobowe. W kontekście powyższego należy mieć świadomość, że przekazywanie danych osobowych poza granicę Rzeczypospolitej Polskiej, a w szczególności do państw, które nie zapewniają na swoim terytorium przynajmniej takich gwarancji ochrony danych osobowych, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, wiąże się z ryzykiem naruszenia praw osób, których te dane dotyczą.

Dlatego też, w celu zmniejszenia rzeczonego ryzyka, ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2014 r. poz. 1182, zwana dalej „Ustawą”) obwarowuje przekazywanie danych osobowych poza terytorium Rzeczypospolitej Polskiej szczególnymi wymogami. Mówiąc o transgranicznym przekazywaniu danych osobowych należy podkreślić, że Ustawa odmiennie traktuje przekazywanie danych osobowych do państw Europejskiego Obszaru Gospodarczego („EOG”) oraz do innych państw (tzw. „państwa trzecie”).

Ustawa nie zawiera szczególnych przepisów regulujących przekazywanie danych osobowych do państw EOG. Podkreślić bowiem należy, że stosownie do definicji z art. 7 pkt 7 Ustawy przez „państwo trzecie” rozumie się państwo nienależące do EOG. Przepływ danych osobowych w obrębie EOG, a więc również pomiędzy Rzeczpospolitą Polską a innym państwem członkowskim EOG, jest traktowany tak samo jak transfer danych na terytorium Rzeczypospolitej Polskiej. W konsekwencji stwierdzić należy, że przekazywanie danych osobowych do państw EOG podlega ogólnym zasadom przetwarzania danych osobowych, a więc nie wymaga spełnienia szczególnych wymogów.

Natomiast przekazanie danych osobowych do państw trzecich (tj. państw nienależących do EOG) wymaga już spełnienia dodatkowych warunków. Oprócz konieczności spełnienia ogólnych wymogów Ustawy należy dodatkowo wywiązać się z obowiązków nałożonych przepisami rozdziału 7 Ustawy – normującymi przekazywanie danych osobowych do państwa trzeciego. Główną zasadą warunkującą możliwość przekazania danych osobowych do państwa trzeciego jest zasada, zgodnie z którą przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej (art. 47 ust. 1 Ustawy). Komisja Europejska korzystając z uprawnienia wynikającego z dyrektywy 95/46/WE wydała wiele decyzji uznających, że określone państwo gwarantuje adekwatny poziom ochrony danych osobowych. Dotychczas decyzje takie zostały wydane w stosunku do Szwajcarii, Kanady, Argentyny, Andory, Wyspy Guernsey, Wyspy Man, Wysp Owczych, Państwa Izrael, Nowej Zelandii oraz Urugwaju.

W przypadku gdy przekazanie danych osobowych ma nastąpić do państwa, w stosunku do którego nie została wydana decyzja, o której mowa powyżej, wówczas ocenę spełnienia tego warunku pozostawiono administratorowi przekazującemu dane. Ocena taka winna odbywa się z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a Ustawy).

Jeżeli państwo, do którego mają zostać przekazane dane osobowe nie zapewnia adekwatnego poziomu ochrony danych osobowych, a przekazanie danych nie wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, może mimo to dojść do przekazania danych. Przekazanie danych osobowych w takiej sytuacji uzależnione jest od spełnienia jednego z warunków sformułowanych w art. 47 ust. 3 Ustawy. Zgodnie z przywołanym przepisem Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli osoba, której dane dotyczą, udzieliła na to zgody na piśmie; przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub dane są ogólnie dostępne.

Jeżeli nie zostały spełnione wymagania określone w art. 47 ust. 2 lub 3 Ustawy, a państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może nastąpić po uzyskaniu zgody Generalnego Inspektora Ochrony Danych Osobowych (GIODO), pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Przekazanie danych osobowych w takiej sytuacji możliwe jest dopiero po uzyskaniu zgody GIODO – decyzja administracyjna GIODO w tym zakresie nie legalizuje uprzedniego przekazania danych. Po nowelizacji Ustawy, od dnia 1 stycznia 2015 r. – zgoda GIODO nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską albo prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone uprzednio przez GIODO.

Celem niniejszego artykułu jest zasygnalizowanie obowiązków ciążących na administratorze danych przekazującym dane osobowe poza terytorium Rzeczypospolitej Polskiej. Przywołane powyżej wymogi muszą zostać spełnione niezależnie od tego, czy przekazanie danych osobowych następuję pomiędzy polską spółką córką a spółką matką, czy pomiędzy podmiotami niepowiązanymi. Świadomość konieczności przestrzegania przepisów Ustawy w takich wypadkach nabiera szczególnego znaczenia w kontekście odpowiedzialności administracyjnej oraz karnej administratora
danych za nieprzestrzeganie przepisów Ustawy.

Dominik Sęczkowski aplikant radcowski w „Chudzik i Wspólnicy Radcowie Prawni” sp.p.