tutaj
Transkrypt
tutaj
Prawo Transfer danych osobowych za granicę przy wykorzystaniu chmury Działem opiekuje się: eversheds.pl Coraz popularniejszym rozwiązaniem w działalności online jest oparcie jej o cloud computing, czyli rozwiązania dostarczane przez firmy zewnętrzne. Z pozoru ich lokalizacja nie ma dla nas istotnego znaczenia. Prowadząc serwis internetowy, możemy np. korzystać z serwerów w Polsce, Niemczech lub USA. Jednak przetwarzając dane w chmurze, musimy liczyć się z koniecznością spełnienia obowiązków związanych z transferem danych poza granice Polski. Jeśli w ramach naszego serwisu zbieramy dane osobowe, to korzystając z serwera za granicą, de facto, powierzamy innemu podmiotowi przetwarzanie danych oraz transferujemy je poza granice naszego kraju. Musimy wtedy ocenić, czy zapewniony jest tzw. adekwatny poziom ochrony danych w porównaniu z poziomem ochrony w Polsce. Dotyczy to oceny kwestii technicznego zabezpieczenia danych i rozwiązań organizacyjnych oraz zapewnienia możliwości realizacji praw przysługujących osobom, których dane są przetwarzane. Z tej perspektywy kluczowe znaczenie ma kraj siedziby przetwarzającego, czyli właściciela serwera. Naruszenie prawa w Internecie Jak je udowodnić? Kancelaria Wierzbowski Eversheds zaprasza do udziału w webinarium na temat naruszeń prawa w Internecie, które odbędzie się 20 października 2011 r. Więcej szczegółów na stronie Proseed Online. 56 | Gdzie jest bezpiecznie? Podmioty polskie lub z krajów Europejskiego Obszaru Gospodarczego (tj. UE, Islandia i Norwegia) objęte są domniemaniem, że prawodawstwo tych państw gwarantuje adekwatny poziom ochrony danych. Korzystając z serwerów tam zlokalizowanych, polski administrator musi zawrzeć umowę, w której wskazane będą kategorie przekazywanych danych, czynności, jakie przetwarzający może podejmować, i jego zobowiązanie do właściwego zabezpieczenia da- Prawo - Transfer danych osobowych za granicę przy wykorzystaniu chmury nych. Te same wymagania trzeba spełnić w przypadku Argentyny, Kanady, Szwajcarii, Wyspy Man i Guernsey, które na mocy decyzji Komisji Europejskiej zostały uznane za zapewniające adekwatny poziom ochrony, tak jak państwa EOG. Taki status mają również przedsiębiorcy amerykańscy, którzy są członkami programu Bezpiecznej Przystani (Safe Harbor) prowadzonego przez Federalną Komisję Handlu. Kraje trzecie Transfer danych do kraju trzeciego (czyli poza EOG), niegwarantującego adekwatnego poziomu ochrony, pociąga za sobą konieczność spełnienia dodatkowych wymogów. W takich przypadkach przekazanie danych jest możliwe, jeżeli osoba, której dane dotyczą, wyrazi zgodę (na piśmie) lub gdy jest to niezbędne do wykonania umowy pomiędzy nią a administratorem, jest podejmowane na jej życzenie lub w jej interesie albo gdy następuje ze względu na dobro publiczne czy dotyczy danych ogólnie dostępnych. Praktycznym rozwiązaniem jest w takich sytuacjach uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych na transfer, ponieważ raz uzyskana zgoda pozostaje w mocy, o ile nie zmienią się warunki transferu. We wniosku należy wskazać, jakie dane, komu, w jakim celu i na jakiej podstawie są przekazywane. Dobrze jest przy tym skorzystać ze standardowych klauzul umownych zatwierdzonych przez Komisję Europejską, które są wzorem umowy, jaką można zawrzeć z przetwarzającym*. Michał Kaczorowski Specjalizuje się w prawie ochrony informacji. Zajmuje się głównie tworzeniem struktur transferów danych oraz doradztwem na rzecz przedsiębiorców przetwarzających dane osobowe w celach komercyjnych. Mimo że spełnienie powyższych wymogów może wiązać się z pewnymi trudnościami, trzeba pamiętać, iż to właściciel serwisu jako administrator danych będzie w pierwszej kolejności ponosił odpowiedzialność za ewentualne naruszenie przepisów. Dlatego warto dobrze uregulować te kwestie już na początku. * Dostępne tutaj Prawo - Transfer danych osobowych za granicę przy wykorzystaniu chmury | 57