tutaj

Prawo
Transfer danych osobowych za
granicę przy wykorzystaniu chmury
Działem opiekuje się:
eversheds.pl
Coraz popularniejszym
rozwiązaniem w działalności online
jest oparcie jej o cloud computing,
czyli rozwiązania dostarczane
przez firmy zewnętrzne.
Z pozoru ich lokalizacja nie ma dla nas istotnego znaczenia. Prowadząc serwis internetowy, możemy np. korzystać z serwerów w Polsce, Niemczech lub USA. Jednak przetwarzając dane w chmurze, musimy liczyć się z koniecznością spełnienia obowiązków związanych
z transferem danych poza granice Polski.
Jeśli w ramach naszego serwisu zbieramy dane osobowe, to korzystając z serwera za granicą, de facto, powierzamy innemu podmiotowi przetwarzanie danych oraz transferujemy je poza granice naszego kraju. Musimy wtedy ocenić, czy zapewniony jest tzw. adekwatny
poziom ochrony danych w porównaniu z poziomem ochrony w Polsce. Dotyczy to oceny kwestii technicznego zabezpieczenia danych
i rozwiązań organizacyjnych oraz zapewnienia możliwości realizacji
praw przysługujących osobom, których dane są przetwarzane. Z tej
perspektywy kluczowe znaczenie ma kraj siedziby przetwarzającego,
czyli właściciela serwera.
Naruszenie prawa w Internecie
Jak je udowodnić?
Kancelaria Wierzbowski
Eversheds zaprasza do udziału
w webinarium na temat naruszeń
prawa w Internecie, które
odbędzie się 20 października
2011 r. Więcej szczegółów
na stronie Proseed Online.
56 |
Gdzie jest bezpiecznie?
Podmioty polskie lub z krajów Europejskiego Obszaru Gospodarczego (tj. UE, Islandia i Norwegia) objęte są domniemaniem, że
prawodawstwo tych państw gwarantuje adekwatny poziom ochrony
danych. Korzystając z serwerów tam zlokalizowanych, polski administrator musi zawrzeć umowę, w której wskazane będą kategorie
przekazywanych danych, czynności, jakie przetwarzający może podejmować, i jego zobowiązanie do właściwego zabezpieczenia da-
Prawo - Transfer danych osobowych za granicę przy wykorzystaniu chmury
nych. Te same wymagania trzeba spełnić w przypadku Argentyny,
Kanady, Szwajcarii, Wyspy Man i Guernsey, które na mocy decyzji
Komisji Europejskiej zostały uznane za zapewniające adekwatny
poziom ochrony, tak jak państwa EOG. Taki status mają również
przedsiębiorcy amerykańscy, którzy są członkami programu Bezpiecznej Przystani (Safe Harbor) prowadzonego przez Federalną
Komisję Handlu.
Kraje trzecie
Transfer danych do kraju trzeciego (czyli poza EOG), niegwarantującego adekwatnego poziomu ochrony, pociąga za sobą konieczność spełnienia dodatkowych wymogów. W takich przypadkach
przekazanie danych jest możliwe, jeżeli osoba, której dane dotyczą,
wyrazi zgodę (na piśmie) lub gdy jest to niezbędne do wykonania
umowy pomiędzy nią a administratorem, jest podejmowane na jej
życzenie lub w jej interesie albo gdy następuje ze względu na dobro
publiczne czy dotyczy danych ogólnie dostępnych.
Praktycznym rozwiązaniem jest w takich sytuacjach uzyskanie
zgody Generalnego Inspektora Ochrony Danych Osobowych na
transfer, ponieważ raz uzyskana zgoda pozostaje w mocy, o ile nie
zmienią się warunki transferu. We wniosku należy wskazać, jakie
dane, komu, w jakim celu i na jakiej podstawie są przekazywane. Dobrze jest przy tym skorzystać ze standardowych klauzul umownych
zatwierdzonych przez Komisję Europejską, które są wzorem umowy,
jaką można zawrzeć z przetwarzającym*.
Michał Kaczorowski
Specjalizuje się w prawie ochrony
informacji. Zajmuje się głównie
tworzeniem struktur transferów
danych oraz doradztwem
na rzecz przedsiębiorców
przetwarzających dane osobowe
w celach komercyjnych.
Mimo że spełnienie powyższych wymogów może wiązać się
z pewnymi trudnościami, trzeba pamiętać, iż to właściciel serwisu
jako administrator danych będzie w pierwszej kolejności ponosił odpowiedzialność za ewentualne naruszenie przepisów. Dlatego warto
dobrze uregulować te kwestie już na początku.
* Dostępne tutaj
Prawo - Transfer danych osobowych za granicę przy wykorzystaniu chmury
| 57