Jeszcze o przekazywaniu danych osobowych za granicę

Jeszcze o przekazywaniu danych osobowych za
granicę
Bartosz Marcinkowski 23-07-2009, ostatnia aktualizacja 23-07-2009 06:18
Pewne jest tylko to, Ŝe nadal nie ma pewności, co jest, a co nie jest transgranicznym transferem
danych do państwa trzeciego – zwraca uwagę Bartosz Marcinkowski, partner w kancelarii
Domański Zakrzewski Palinka
autor zdjęcia: Paweł Gałka
źródło: Fotorzepa
Przetwarzanie danych
osobowych: umowa
powierzenia
Problematyka transgranicznego transferu danych osobowych
między państwami naleŜącymi do Europejskiego Obszaru
Gospodarczego (poza państwami Unii Europejskiej w skład EOG
wchodzą Norwegia, Islandia i Liechtenstein) a państwami trzecimi
nabiera coraz większego znaczenia w obrocie gospodarczym. Na
tym tle ujawniają się powaŜne wątpliwości. Na łamach „Rz”
sygnalizowali je ostatnio (14 lipca) Jacek Barańczak i Grzegorz
Gryciuk w tekście „Przetwarzanie danych osobowych: umowa
powierzenia”.
Dychotomia podziału
W ustawie o ochronie danych osobowych (ustawa), wzorem dyrektywy 95/46/EC w sprawie
ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego
przepływu tych danych (dyrektywa), przyjęto dychotomiczny podział na państwa naleŜące do
EOG, spełniające naleŜyte (europejskie) standardy ochrony danych osobowych, oraz wszelkie
inne państwa świata. Do owej „reszty świata” zaliczają się w szczególności, obok Indii czy Chin,
Stany Zjednoczone, które są jednocześnie głównym oponentem wobec europejskiej (tj. wyraŜonej
w dyrektywie) wizji ochrony danych osobowych.
Niejasności w sprawach zasadniczych
RozbieŜności interpretacyjne mające powaŜny wpływ na praktykę pojawiają się juŜ na całkiem
elementarnym poziomie. Dotyczy to np. pojęcia transferu (przekazania) danych osobowych do
państwa trzeciego.
W wypadku tradycyjnych form komunikacji kwalifikacja tego zdarzenia nie nastręcza większych
problemów i zachodzi np. w razie przesłania spisu danych osobowych zwykłym listem nadanym w
Polsce i odebranym w USA. W wypadku elektronicznych środków przekazywania informacji (np.
poczty elektronicznej) sprawa nie jest juŜ tak jednoznaczna.
Problem ten ilustruje róŜnica stanowisk Komisji
Europejskiej oraz Europejskiego Trybunału
Sprawiedliwości (ETS).
Głównymi oponentami
wobec europejskiej wizji
ochrony danych osobowych
są Stany Zjednoczone, Chiny
i Indie
Komisja uznała (pkt 10 preambuły decyzji KE
2002/16/WE), Ŝe juŜ samo ujawnienie danych osobowych
przetwarzającemu dane, mającemu siedzibę poza
obszarem Wspólnoty, jest międzynarodowym transferem danych osobowych
(http://europa.eu.int/eur-lex/pl/dd/docs/2002/32002D0016-PL. doc).
ETS w wyroku w sprawie Bodil Lindqvist stwierdził natomiast, iŜ samo zamieszczenie
(ujawnienie) danych w Internecie przy wykorzystaniu serwera znajdującego się w państwie
naleŜącym do EOG nie stanowi jeszcze międzynarodowego transferu danych. Transfer taki
moŜna juŜ jednak byłoby stwierdzić, gdyby dane zostały zamieszczone (ujawnione) w Internecie
w celu ich udostępniania konkretnym odbiorcom, tj. gdyby Internet stanowił technologiczną
platformę komunikacji (http://eur-lex.
europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62001J0101:EN:HTML).
BliŜsi tego drugiego poglądu są amerykańscy autorzy wskazujący, iŜ dla transgranicznego
transferu danych konieczne jest nie samo ujawnienie danych w państwie trzecim, lecz dokonanie
ich rzeczywistego przeniesienia z jednego miejsca w drugie. Podobnie odczytywać moŜna
przepisy ustawy, które mówią o przekazywaniu danych osobowych do państwa trzeciego. Wydaje
się jednak, iŜ takie zawęŜające ujęcie problemu nie do końca przystaje do wirtualnej
rzeczywistości i elektronicznych środków komunikacji.
Umowa powierzenia
Jacek Barczak i Grzegorz Gryciuk rozwaŜają przypadki transgranicznego transferu danych
osobowych na tle umowy powierzenia przetwarzania danych osobowych. W związku z tym rodzi
się kilka uwag.
Odwołując się do wykładni celowościowej i posiłkując się preambułą dyrektywy, autorzy
konstatują m. in., iŜ moŜliwe jest „przypisanie podmiotowi spoza Polski przymiotu administratora
danych na potrzeby zawarcia umowy powierzenia [przetwarzania danych osobowych]„. Pojawia
się istotne pytanie, czy i w jakim zakresie ów podmiot, zasadniczo niepodlegający ustawie, ale na
potrzeby umowy powierzenia przetwarzania danych osobowych traktowany jak administrator
danych osobowych, podlega przewidzianym w ustawie obowiązkom ciąŜącym na
administratorach danych (np. wymogowi spełnienia obowiązku informacyjnego o treści
przewidzianej w ustawie).
Tak daleko idący wniosek wydaje się nieuzasadniony wobec brzmienia art. 3 ust. 2 pkt 2 ustawy.
Godzi się przy tym zauwaŜyć, iŜ w polskiej literaturze akcentuje się niewłaściwe implementowanie
dyrektywy i błędne połoŜenie nacisku w ustawie na siedzibę (miejsce zamieszkania) jednostki
przetwarzającej dane jako podstawowe kryterium dla oceny stosowania ustawy. Dyrektywa
posługuje się bowiem szerszym pojęciem miejsca, gdzie występuje efektywne i rzeczywiste
wykonywanie określonej działalności w sposób stały (koncepcja establishment – pkt 19
preambuły dyrektywy).
Ponadto warto odnotować, Ŝe mające ułatwić transfer danych osobowych z EOG do państw
trzecich standardowe klauzule umowne przyjęte decyzjami KE (decyzje 2001/497/WE oraz
2004/915/WE) posługują się dla określenia odbiorcy danych w państwie trzecim decydującego o
dalszym wykorzystaniu danych pojęciem administratora danych (klauzule typu
controller-to-controller). Co więcej, tym samym pojęciem posługują się standardowe klauzule
umowne mające ułatwiać przekazywanie danych do państwa trzeciego w związku z
powierzeniem ich przetwarzania (klauzule typu controller-to-processor por. decyzja KE 2002/16
/WE). Przypisywanie pojęciu administratora danych róŜnych znaczeń w odniesieniu do róŜnych
okoliczności stanowić moŜe źródło dodatkowych wątpliwości, pogłębiając trudności
interpretacyjne.
Zwrotny transfer
W związku z problematyką transgranicznego transferu danych osobowych pozostaje kwestia
zwrotu (reeksportu) danych z obszaru EOG do państwa trzeciego będącego krajem ich
pochodzenia. Idzie tu np. o sytuacje wykonania przez polski podmiot usługi przetworzenia danych
osobowych otrzymanych w tym celu od zleceniodawcy z państwa trzeciego.
Brak na razie pełnej jasności, na ile taki zwrotny transfer przetworzonych danych osobowych
podlega rygorom rozdziału 7 ustawy regulującego transfer danych do państwa trzeciego. Warto
jednak odnotować, iŜ np. niemieckie organy ochrony danych osobowych uznały taki reeksport
danych za niepodlegający niemieckim (bazującym podobnie jak ustawa na normach dyrektywy)
przepisom o transferze danych do państwa trzeciego. Podobne, jak się wydaje zasadne
stanowisko, zajmują niektórzy polscy autorzy (X. Konarski i G. Sibiga).
Forma umowy
Jeszcze komentarz dotyczący formy umowy powierzenia przetwarzania danych osobowych.
Przywołani autorzy słusznie zwracają uwagę na rygoryzm i formalny aspekt umowy powierzenia
przetwarzania danych osobowych wynikający z art. 31 ustawy. Trzeba jednak dopowiedzieć, iŜ
ustawodawca nie zastrzegł niewaŜności przedmiotowej umowy w razie niedochowania formy
pisemnej. NaleŜy zatem bronić tezy, iŜ umowa z art. 31 ustawy zawarta nawet jedynie w formie
ustnej jest umową waŜną, co wynika z art. 73 § 1 kodeksu cywilnego.
Rzeczpospolita
śadna część jak i całość utworów zawartych w dzienniku nie moŜe być powielana i rozpowszechniania lub dalej
rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym takŜe elektroniczny lub mechaniczny lub inny albo
na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętą digitalizacją, fotokopiowaniem lub kopiowaniem,
w tym takŜe zamieszczaniem w Internecie - bez pisemnej zgody PRESSPUBLICA Sp. z o.o.
Jakiekolwiek uŜycie lub wykorzystanie utworów w całości lub w części bez zgody PRESSPUBLICA Sp. z o.o. lub autorów z
naruszeniem prawa jest zabronione pod groźbą kary i moŜe być ścigane prawnie.