Jeszcze o przekazywaniu danych osobowych za granicę
Transkrypt
Jeszcze o przekazywaniu danych osobowych za granicę
Jeszcze o przekazywaniu danych osobowych za granicę Bartosz Marcinkowski 23-07-2009, ostatnia aktualizacja 23-07-2009 06:18 Pewne jest tylko to, Ŝe nadal nie ma pewności, co jest, a co nie jest transgranicznym transferem danych do państwa trzeciego – zwraca uwagę Bartosz Marcinkowski, partner w kancelarii Domański Zakrzewski Palinka autor zdjęcia: Paweł Gałka źródło: Fotorzepa Przetwarzanie danych osobowych: umowa powierzenia Problematyka transgranicznego transferu danych osobowych między państwami naleŜącymi do Europejskiego Obszaru Gospodarczego (poza państwami Unii Europejskiej w skład EOG wchodzą Norwegia, Islandia i Liechtenstein) a państwami trzecimi nabiera coraz większego znaczenia w obrocie gospodarczym. Na tym tle ujawniają się powaŜne wątpliwości. Na łamach „Rz” sygnalizowali je ostatnio (14 lipca) Jacek Barańczak i Grzegorz Gryciuk w tekście „Przetwarzanie danych osobowych: umowa powierzenia”. Dychotomia podziału W ustawie o ochronie danych osobowych (ustawa), wzorem dyrektywy 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (dyrektywa), przyjęto dychotomiczny podział na państwa naleŜące do EOG, spełniające naleŜyte (europejskie) standardy ochrony danych osobowych, oraz wszelkie inne państwa świata. Do owej „reszty świata” zaliczają się w szczególności, obok Indii czy Chin, Stany Zjednoczone, które są jednocześnie głównym oponentem wobec europejskiej (tj. wyraŜonej w dyrektywie) wizji ochrony danych osobowych. Niejasności w sprawach zasadniczych RozbieŜności interpretacyjne mające powaŜny wpływ na praktykę pojawiają się juŜ na całkiem elementarnym poziomie. Dotyczy to np. pojęcia transferu (przekazania) danych osobowych do państwa trzeciego. W wypadku tradycyjnych form komunikacji kwalifikacja tego zdarzenia nie nastręcza większych problemów i zachodzi np. w razie przesłania spisu danych osobowych zwykłym listem nadanym w Polsce i odebranym w USA. W wypadku elektronicznych środków przekazywania informacji (np. poczty elektronicznej) sprawa nie jest juŜ tak jednoznaczna. Problem ten ilustruje róŜnica stanowisk Komisji Europejskiej oraz Europejskiego Trybunału Sprawiedliwości (ETS). Głównymi oponentami wobec europejskiej wizji ochrony danych osobowych są Stany Zjednoczone, Chiny i Indie Komisja uznała (pkt 10 preambuły decyzji KE 2002/16/WE), Ŝe juŜ samo ujawnienie danych osobowych przetwarzającemu dane, mającemu siedzibę poza obszarem Wspólnoty, jest międzynarodowym transferem danych osobowych (http://europa.eu.int/eur-lex/pl/dd/docs/2002/32002D0016-PL. doc). ETS w wyroku w sprawie Bodil Lindqvist stwierdził natomiast, iŜ samo zamieszczenie (ujawnienie) danych w Internecie przy wykorzystaniu serwera znajdującego się w państwie naleŜącym do EOG nie stanowi jeszcze międzynarodowego transferu danych. Transfer taki moŜna juŜ jednak byłoby stwierdzić, gdyby dane zostały zamieszczone (ujawnione) w Internecie w celu ich udostępniania konkretnym odbiorcom, tj. gdyby Internet stanowił technologiczną platformę komunikacji (http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62001J0101:EN:HTML). BliŜsi tego drugiego poglądu są amerykańscy autorzy wskazujący, iŜ dla transgranicznego transferu danych konieczne jest nie samo ujawnienie danych w państwie trzecim, lecz dokonanie ich rzeczywistego przeniesienia z jednego miejsca w drugie. Podobnie odczytywać moŜna przepisy ustawy, które mówią o przekazywaniu danych osobowych do państwa trzeciego. Wydaje się jednak, iŜ takie zawęŜające ujęcie problemu nie do końca przystaje do wirtualnej rzeczywistości i elektronicznych środków komunikacji. Umowa powierzenia Jacek Barczak i Grzegorz Gryciuk rozwaŜają przypadki transgranicznego transferu danych osobowych na tle umowy powierzenia przetwarzania danych osobowych. W związku z tym rodzi się kilka uwag. Odwołując się do wykładni celowościowej i posiłkując się preambułą dyrektywy, autorzy konstatują m. in., iŜ moŜliwe jest „przypisanie podmiotowi spoza Polski przymiotu administratora danych na potrzeby zawarcia umowy powierzenia [przetwarzania danych osobowych]„. Pojawia się istotne pytanie, czy i w jakim zakresie ów podmiot, zasadniczo niepodlegający ustawie, ale na potrzeby umowy powierzenia przetwarzania danych osobowych traktowany jak administrator danych osobowych, podlega przewidzianym w ustawie obowiązkom ciąŜącym na administratorach danych (np. wymogowi spełnienia obowiązku informacyjnego o treści przewidzianej w ustawie). Tak daleko idący wniosek wydaje się nieuzasadniony wobec brzmienia art. 3 ust. 2 pkt 2 ustawy. Godzi się przy tym zauwaŜyć, iŜ w polskiej literaturze akcentuje się niewłaściwe implementowanie dyrektywy i błędne połoŜenie nacisku w ustawie na siedzibę (miejsce zamieszkania) jednostki przetwarzającej dane jako podstawowe kryterium dla oceny stosowania ustawy. Dyrektywa posługuje się bowiem szerszym pojęciem miejsca, gdzie występuje efektywne i rzeczywiste wykonywanie określonej działalności w sposób stały (koncepcja establishment – pkt 19 preambuły dyrektywy). Ponadto warto odnotować, Ŝe mające ułatwić transfer danych osobowych z EOG do państw trzecich standardowe klauzule umowne przyjęte decyzjami KE (decyzje 2001/497/WE oraz 2004/915/WE) posługują się dla określenia odbiorcy danych w państwie trzecim decydującego o dalszym wykorzystaniu danych pojęciem administratora danych (klauzule typu controller-to-controller). Co więcej, tym samym pojęciem posługują się standardowe klauzule umowne mające ułatwiać przekazywanie danych do państwa trzeciego w związku z powierzeniem ich przetwarzania (klauzule typu controller-to-processor por. decyzja KE 2002/16 /WE). Przypisywanie pojęciu administratora danych róŜnych znaczeń w odniesieniu do róŜnych okoliczności stanowić moŜe źródło dodatkowych wątpliwości, pogłębiając trudności interpretacyjne. Zwrotny transfer W związku z problematyką transgranicznego transferu danych osobowych pozostaje kwestia zwrotu (reeksportu) danych z obszaru EOG do państwa trzeciego będącego krajem ich pochodzenia. Idzie tu np. o sytuacje wykonania przez polski podmiot usługi przetworzenia danych osobowych otrzymanych w tym celu od zleceniodawcy z państwa trzeciego. Brak na razie pełnej jasności, na ile taki zwrotny transfer przetworzonych danych osobowych podlega rygorom rozdziału 7 ustawy regulującego transfer danych do państwa trzeciego. Warto jednak odnotować, iŜ np. niemieckie organy ochrony danych osobowych uznały taki reeksport danych za niepodlegający niemieckim (bazującym podobnie jak ustawa na normach dyrektywy) przepisom o transferze danych do państwa trzeciego. Podobne, jak się wydaje zasadne stanowisko, zajmują niektórzy polscy autorzy (X. Konarski i G. Sibiga). Forma umowy Jeszcze komentarz dotyczący formy umowy powierzenia przetwarzania danych osobowych. Przywołani autorzy słusznie zwracają uwagę na rygoryzm i formalny aspekt umowy powierzenia przetwarzania danych osobowych wynikający z art. 31 ustawy. Trzeba jednak dopowiedzieć, iŜ ustawodawca nie zastrzegł niewaŜności przedmiotowej umowy w razie niedochowania formy pisemnej. NaleŜy zatem bronić tezy, iŜ umowa z art. 31 ustawy zawarta nawet jedynie w formie ustnej jest umową waŜną, co wynika z art. 73 § 1 kodeksu cywilnego. Rzeczpospolita śadna część jak i całość utworów zawartych w dzienniku nie moŜe być powielana i rozpowszechniania lub dalej rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym takŜe elektroniczny lub mechaniczny lub inny albo na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętą digitalizacją, fotokopiowaniem lub kopiowaniem, w tym takŜe zamieszczaniem w Internecie - bez pisemnej zgody PRESSPUBLICA Sp. z o.o. Jakiekolwiek uŜycie lub wykorzystanie utworów w całości lub w części bez zgody PRESSPUBLICA Sp. z o.o. lub autorów z naruszeniem prawa jest zabronione pod groźbą kary i moŜe być ścigane prawnie.