Przekazywanie danych osobowych do USA
W ostatnim czasie zadano mi pytanie dotyczące zasad przekazywania danych osobowych z terytorium Polski do USA, a moja odpowiedź, że przekazywanie to wymaga obecnie spełnienia dodatkowych warunków, wywołała pewną konsternację. Dlatego też, jakkolwiek sprawa nie jest nowa, bo zasady te uległy zmianie już kilka miesięcy temu, zdecydowałem się napisać kilka zdań na ten temat.
Ustawa o ochronie danych osobowych (Ustawa) posługuje się pojęciem „państwa trzeciego,” którym jest każde państwo nienależące do Europejskiego Obszaru Gospodarczego (dla przypomnienia – państwami należącymi do EOG są państwa członkowskie Unii Europejskiej, a także Norwegia, Islandia i Liechtenstein). Przekazywanie danych osobowych z terytorium Polski do państw EOG nie podlega dodatkowym restrykcjom, co wynika z przyjęcia, że państwa te zapewniają adekwatny poziom ochrony danych osobowych. W takim przypadku należy spełnić jedynie ogólne przesłanki umożliwiające przetwarzanie danych na terytorium Polski.
Rzecz ma się inaczej w przypadku państw spoza EOG. Ogólną zasadą jest, że przekazanie danych osobowych do państwa trzeciego jest dopuszczalne, jeżeli państwo to zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Jeżeli odpowiedni poziom ochrony nie jest zapewniony – wówczas przekazanie danych osobowych do tego państwa możliwe jest tylko w przypadku spełnienia dodatkowych przesłanek określonych przepisami Ustawy.
W odniesieniu do przekazywania danych do USA amerykański Departament Handlu i Komisja Europejska uzgodniły dokument o nazwie Safe Harbor Privacy Principles („bezpieczna przystań”), określający zasady ochrony prywatności. Przewiduje on, że przedsiębiorstwa mające siedzibę w USA mogły składać w Departamencie Handlu oświadczenia o przestrzeganiu zasad określonych w tym dokumencie. Dnia 26 lipca 2000 r. Komisja Europejska wydała decyzję stwierdzającą, że przestrzeganie tych zasad oznacza adekwatną ochronę danych osobowych, a zatem dane osobowe mogą być przekazywane bez konieczności spełnienia dodatkowych wymogów z terytorium EOG do tych przedsiębiorstw w USA, które zobowiązały się przestrzegać zasad „bezpiecznej przystani.”
Sytuacja uległa zmianie jesienią ubiegłego roku. 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził nieważność decyzji Komisji. Nie wchodząc w szczegóły stanu faktycznego, na podstawie którego wydany został wyrok, jego konsekwencją jest utrata możliwości przekazywania danych do USA z powołaniem się na fakt przestrzegania przez adresata zasad „bezpiecznej przystani.”
Co zatem pozostaje? Obecnie trwają prace nad wydaniem decyzji, która zastąpiłaby tę unieważnioną. Dopóki to nie nastąpi aby dane mogły zostać przekazane z terytorium Polski na terytorium USA konieczne jest spełnienie którejś z przesłanek określonych Ustawą umożliwiających przekazanie danych do państwa trzeciego.
Przekazanie danych do USA jest możliwe zatem przede wszystkim w sytuacjach, w których spełniony jest co najmniej jeden z poniższych warunków:
1. osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
2. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
3. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
4. przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
5. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6. dane są ogólnie dostępne.
Jeżeli żadna z powyższych przesłanek nie zachodzi, wówczas dla zgodnego z prawem przekazania danych do USA konieczna jest zgoda GIODO, chyba że podmioty, między którymi dochodzi do przekazania danych zastosują w umowie między sobą tzw. standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub prawnie wiążące reguły lub polityki ochrony danych osobowych, które zostały zatwierdzone przez GIODO.
Ponieważ w praktyce, szczególnie w przypadku transferów obejmujących dane osobowe dotyczące wielu osób, powołanie się na podstawowe przesłanki umożliwiające przekazanie danych (pkt 1 – 6 wyżej) może okazać się niemożliwe lub mocno utrudnione, a uzyskanie zgody GIODO skomplikowane, na plan pierwszy wychodzą obecnie standardowe klauzule umowne, które strony umów z Polski i USA mogą stosować wprowadzając je do zawieranych przez siebie umów określających zasady wzajemnej współpracy.
Ponieważ tak jak napisałem trwają prace nad projektem nowej decyzji na pewno do tego tematu jeszcze wrócę.
Marcin Rusinek