Rzeczpospolita Prawo

Przekazywanie danych osobowych do USA

Generalny inspektor ochrony danych osobowych przypomina przedsiębiorcom, że od czasu październikowego wyroku Trybunału Sprawiedliwości UE nie wolno już przekazywać do USA danych na dotychczasowych zasadach. Nie oznacza to oczywiście, że ich transferowanie w każdym przypadku będzie nielegalne.

Aktualizacja: 29.11.2015 06:53 Publikacja: 29.11.2015 05:00

Przekazywanie danych osobowych do USA

Foto: www.sxc.hu

Michał Kołtuniak

6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo ważny wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził nieważność decyzji Komisji Europejskiej z 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani" przez Stany Zjednoczone (decyzja KE nr 2000/520/WE).

Jeżeli chodzi o praktyczne konsekwencje tego wyroku, to najważniejsza jest taka, że przekazywanie danych osobowych, przetwarzanych przez administratorów danych, z Unii Europejskiej do Stanów Zjednoczonych nie może być dłużej dokonywane na podstawie przywołanej decyzji Komisji. Należy wyraźnie podkreślić, że w każdym przypadku operacje przekazywania nadal mające miejsce na podstawie decyzji w sprawie bezpiecznej przystani po wydaniu orzeczenia TSUE są niezgodne z prawem.

Ponieważ wyrok TSUE ma bardzo duże znaczenie, w odpowiedzi na niego, 16 października tzw. Grupa Robocza art. 29 ds. Ochrony Danych (najważniejsze forum współpracy organów ochrony danych osobowych państw członkowskich UE) wydała w jego sprawie oświadczenie.

Podkreśliła w nim m.in., że mimo niemożności korzystania już z tzw. bezpiecznej przystani w przypadku przekazywania danych osobowych do USA, skuteczne pozostają wszystkie pozostałe przesłanki legalizujące transfer danych osobowych. Oznacza to, że nadal mogą być wykorzystywane standardowe klauzule umowne i tzw. wiążące reguły korporacyjne. W polskim porządku prawnym katalog takich przesłanek przewidziany został w art. 47–48 ustawy o ochronie danych osobowych (patrz ramka). W oświadczeniu czytamy, że w przypadku, gdy państwa członkowskie nie wypracują innego wspólnego rozwiązania, organy ochrony danych osobowych państw członkowskich od 1 lutego 2016 r. rozpoczną z własnej inicjatywy egzekwowanie przepisów w tym zakresie.

Należy jednak podkreślić, że w ocenie generalnego inspektora ochrony danych osobowych wyrażona w powołanym oświadczeniu graniczna data 1 lutego przyszłego roku nie oznacza, że przedsiębiorcy nie są zobowiązani do niezwłocznego legitymowania się inną z podstaw prawnych legalizujących transfer do państw trzecich. Wskazany termin powinien być traktowany jako maksymalny, do którego organy ochrony danych państw członkowskich co do zasady nie będą inicjowały czynności zmierzających do egzekwowania wykonania wskazanego wyroku.

Generalny inspektor ochrony danych osobowych będzie jednak reagował na wszelkie otrzymywane we wskazanej materii skargi, nawet składane przed 1 lutego 2016 r. Jeszcze raz należy podkreślić, że formalnie z uwagi na moc prawną wyroków TSUE oraz to, że Trybunał nie zdecydował się odroczyć skutków wyroku w sprawie Schrems w czasie, z chwilą jego wydania transfer danych do USA oparty o decyzję Komisji Europejskiej jest nielegalny.

Przekazywanie informacji do państwa trzeciego

Zgodnie z ustawą o ochronie danych osobowych (DzU z 2014 r., poz. 1182) przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Odpowiedni poziom oceniany jest z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.

Wymogów tych nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych. Administrator może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:

- osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

- przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

- przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

- przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

- dane są ogólnie dostępne.

W innych przypadkach przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody generalnego inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Taka zgoda nie jest wymagana, jeżeli administrator zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

- standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską,

- prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane wiążącymi regułami korporacyjnymi, które zostały zatwierdzone przez GIODO.

Historia safe harbour

Safe harbour (bezpieczna przystań) został wypracowany przez Komisję Europejską i Departament Handlu USA jako sposób na pokonanie różnic w podejściu do ochrony danych osobowych, jakie występowały w prawie unijnym i amerykańskim. Generalnie dość wysokie standardy wyznaczone przez to pierwsze przesądzały o uznaniu Stanów Zjednoczonych za państwo, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych. W takim wypadku transfer danych musiałby podlegać określonym procedurom. I właśnie żeby uniknąć komplikacji, uzgodniono wspólne stanowisko, którego efektem była decyzja KE, która, upraszczając nieco sprawę, dawała podstawy do uznania USA za państwo bezpieczne. Trybunał Sprawiedliwości UE zakwestionował tę decyzję, uznając że była ona nielegalna. Podkreślił m.in., że decyzja nie może stanowić uzasadnienia dla ograniczenia ochrony praw i wolności w zakresie przetwarzania danych osobowych.

Kraje EOG i pozostałe państwa

Procedura przekazywania danych zagranicznym podmiotom zależy od tego, w jakim państwie mają one swoją siedzibę (pod jaką władzą się znajdują). Przekazywanie danych do państw należących do Europejskiego Obszaru Gospodarczego w zasadzie nie różni się niczym od przekazywania danych na terytorium Polski. Natomiast w stosunku do wszystkich tzw. państw trzecich (w myśl przepisów są to wszystkie pozostałe kraje, czyli nienależące do obszaru EOG) muszą być spełnione warunki wynikające z art. 47 i 48 ustawy.

Do Europejskiego Obszaru Gospodarczego należą wszystkie kraje Unii Europejskiej oraz Norwegia, Islandia i Liechtenstein.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Dane Osobowe Finanse w Firmie

6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo ważny wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził nieważność decyzji Komisji Europejskiej z 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani" przez Stany Zjednoczone (decyzja KE nr 2000/520/WE).

Jeżeli chodzi o praktyczne konsekwencje tego wyroku, to najważniejsza jest taka, że przekazywanie danych osobowych, przetwarzanych przez administratorów danych, z Unii Europejskiej do Stanów Zjednoczonych nie może być dłużej dokonywane na podstawie przywołanej decyzji Komisji. Należy wyraźnie podkreślić, że w każdym przypadku operacje przekazywania nadal mające miejsce na podstawie decyzji w sprawie bezpiecznej przystani po wydaniu orzeczenia TSUE są niezgodne z prawem.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
ZUS przekazał ważne informacje na temat rozliczenia składki zdrowotnej
ZUS
ZUS przekazał ważne informacje na temat rozliczenia składki zdrowotnej
Wykup samochodu z leasingu – co warto wiedzieć?
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
NIK zawiadamia prokuraturę o próbie usunięcia przemocą Mariana Banasia
Prawo karne
NIK zawiadamia prokuraturę o próbie usunięcia przemocą Mariana Banasia
Egzaminy wstępne na aplikacje prawnicze 2023.
Aplikacje i egzaminy
Znów mniej chętnych na prawnicze egzaminy zawodowe
Prokurator Ewa Wrzosek: Nie popełniłam żadnego przestępstwa
Prawnicy
Prokurator Ewa Wrzosek: Nie popełniłam żadnego przestępstwa
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe
Advertisement
Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a
Prawnicy
Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a
Nowy samochód do 100 tys. zł – przegląd ofert dilerów
Materiał Promocyjny
Nowy samochód do 100 tys. zł – przegląd ofert dilerów
e-Wydanie