Wstęp

Postępująca globalizacja gospodarki światowej wpływa na wzrost transgranicznej wymiany danych osobowych. Przekazywanie danych osobowych do państw trzecich, tj. państw, które nie należą do Europejskiego Obszaru Gospodarczego, w szczególności do takich, które nie zapewniają na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, wiąże się z dużym ryzykiem naruszenia praw i wolności osób, których dane dotyczą. Dlatego ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2015 r. poz. 2135), zawiera szczególne wymogi dotyczące przekazywania danych osobowych do państw trzecich. Zastały one określone w rozdziale 7 ustawy o ochronie danych osobowych zatytułowanym "Przekazywanie danych osobowych do państwa trzeciego" (art. 47 i 48). Podkreślenia wymaga, że powyższe przepisy wdrażają w polskim porządku prawnym odpowiednie postanowienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, zwanej dalej Dyrektywą. Dlatego też mają one istotne znaczenie dla wykładni polskich przepisów o ochronie danych osobowych.

Na jakich zasadach można przekazywać dane osobowe do państw należących do Europejskiego Obszaru Gospodarczego?

Ustawa o ochronie danych osobowych nie zawiera wyraźnych przepisów, które odrębnie regulowałyby przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego, zwanych dalej państwami członkowskimi EOG. Należy bowiem podkreślić, że zgodnie z definicją legalną określoną w art. 7 pkt 7 ustawy o ochronie danych osobowych, przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego. Jednocześnie ustawodawca wprowadził jedynie dodatkowe wymogi dotyczące przekazywania danych osobowych do państw trzecich. Oznacza to, że przepływ danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak transfer danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskich Unii Europejskiej oraz tych państw członkowskich Europejskiego Obszaru Gospodarczego, które nie są członkami UE (obecnie to: Norwegia, Islandia i Lichtenstein).

Swobodny przepływ danych w ramach Unii Europejskiej oraz szerzej w ramach Europejskiego Obszaru Gospodarczego jest koniecznym wymogiem członkostwa Polski w strukturach UE. Państwa te wdrożyły w swych wewnętrznych porządkach prawnych postanowienia Dyrektywy 95/46/WE. Do dwóch podstawowych celów Dyrektywy należy zaś zapewnienie:

• odpowiednio wysokiego poziomu ochrony danych osobowych,
• swobody przepływu danych wewnątrz terytorium Unii Europejskiej.

W konsekwencji przyjętego przez ustawodawcę rozwiązania przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego podlega ogólnym zasadom przetwarzania danych osobowych ustalonych przez ustawę o ochronie danych osobowych, z wyłączeniem rozdziału 7. Taki administrator danych, tak samo jak administrator danych przetwarzający dane tylko na terytorium Polski, jest zobowiązany m.in. do spełnienia jednej z przesłanek legalności przetwarzania danych osobowych, zasady celowości i jakości danych osobowych, jak również jest zobowiązany do zabezpieczenia danych.

Czy przekazywanie danych osobowych do państw trzecich wymaga spełnienia dodatkowych obowiązków?

Tak. W odróżnieniu do przekazywania danych osobowych do państwa członkowskiego EOG, w sytuacji przekazywania danych osobowych do państwa trzeciego, oprócz konieczności spełnienia ogólnych wymogów przewidzianych przez ustawę o ochronie danych osobowych, należy również dodatkowo wypełnić obowiązki nałożone przepisami rozdziału 7 ustawy o ochronie danych osobowych.

Na jakich zasadach można przekazywać dane osobowe do państw trzecich?

Na podstawie art. 47 ust. 1 ustawy o ochronie danych osobowych, przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Należy zaznaczyć, że cytowany przepis jest odzwierciedleniem treści art. 25 ust. 1 Dyrektywy 95/46/WE, zgodnie z którym państwa członkowskie zapewnią, że przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu może nastąpić tylko wówczas, gdy - niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych postanowień niniejszej Dyrektywy - dane państwo trzecie zapewni odpowiedni stopień ochrony.

W świetle postanowień ustawy o ochronie danych osobowych oraz prawa europejskiego przekazywanie danych osobowych do państwa trzeciego co do zasady jest możliwe tylko wtedy, gdy państwo to zapewnia odpowiedni stopień ochrony danych osobowych.

Kiedy państwo trzecie zapewnia odpowiedni poziom ochrony danych osobowych?

Zgodnie art. 47 ust. 1 a ustawy o ochronie danych osobowych, odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Warto też zwrócić uwagę na treść ust. 2 art. 25 Dyrektywy 95/46/WE, zgodnie z którym odpowiedniość stopnia ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, normy prawne, zarówno ogólne jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym kraju.

Próbę ustalenia metodologii badania stopnia ochrony danych osobowych w państwie trzecim podjęła Grupa Robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołanej na mocy art. 29 Dyrektywy 95/46/WE, zwana dalej Grupą Roboczą Art. 29.

Grupa Robocza Art. 29 w dokumencie roboczym z dnia 24 lipca 1998 r. nr WP 12 w sprawie przekazywania danych osobowych do państw trzecich: zastosowanie art. 25 i 26 Dyrektywy UE dotyczącej danych osobowych podkreśliła, że analiza pojęcia odpowiedniej ochrony musi uwzględniać dwa elementy: treść zasad dotyczących przetwarzania danych osobowych oraz środki zapewniające skuteczne zastosowanie tych zasad. Wśród podstawowych zasad przetwarzania danych osobowych, które powinny być zapewnione w państwie trzecim należy wymienić:

• zasadę celowości - dane powinny być przetwarzane dla określonych celów; ich dalsze wykorzystywanie jest jedynie możliwe, jeżeli nie jest niezgodne z pierwotnym celem przekazywania danych.

• zasadę jakości danych oraz ich adekwatności - dane powinny być dokładne i jeżeli jest to konieczne aktualne. Dane powinny być adekwatne do celu ich przekazywania.

• zasadę zapewnienia obowiązku informacyjnego - osobom, których dane dotyczą powinna być zapewniona odpowiednia informacja o celu przetwarzania danych osobowych oraz o administratorze danych w państwie trzecim.

• zasadę zapewnienia zabezpieczenia danych - powinny być podjęte odpowiednie do istniejącego ryzyka środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych.

• zasadę zapewnienia prawa dostępu do danych, poprawiania oraz prawa sprzeciwu - osoba, której dane dotyczą powinna mieć zapewnione prawo dostępu do informacji o przetwarzanych o niej danych, prawo do ich poprawiania, a także w określonych sytuacjach prawo sprzeciwu wobec ich przetwarzania.

• zasadę ograniczenia dalszego przekazywania danych - co do zasady dalsze przekazywanie danych przez podmiot w państwie trzecim powinno być dopuszczalne jedynie w sytuacji, gdy następny podmiot otrzymujący dane jest również związany zasadami zapewniającymi odpowiednią ochronę danych osobowych.

Ze względu na duże zróżnicowanie krajowych systemów ochrony danych osobowych Grupa Robocza wskazała trzy cechy, które te systemy powinny spełniać w zakresie środków pozwalających na realizację zasad przetwarzania danych osobowych, a zatem system ten powinien zapewniać wysoki poziom zgodności z zasadami przetwarzania danych osobowych (powinien być on efektywny oraz zapewniać wysoki poziom świadomości swych obowiązków przez administratorów danych). System ten także powinien umożliwiać dochodzenie swoich praw przez poszczególne osoby, których dane dotyczą, co oznacza konieczność istnienia mechanizmów zapewniających niezależne rozpatrywanie skarg. System powinien również zapewniać możliwość dochodzenia odpowiedniego odszkodowania w razie naruszenia zasad przetwarzania danych osobowych.

Tekst dokumentu roboczego (m.in. w języku angielskim, francuskim i niemieckim) jest dostępny na stronie internetowej:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#m  

Komisja Europejska na mocy art. 25 ust. 6 Dyrektywy 95/46/WE jest uprawniona do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji z Komisją Europejską, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych. Komisja dotychczas wydała kilka decyzji o zróżnicowanym charakterze i zakresie zastosowania. Ponadto, należy wspomnieć o odrębnie przyjmowanych instrumentach prawnych dotyczących przekazywania danych osobowych do państw trzecich w obszarze współpracy policyjnej i sądowej w sprawach karnych. Decyzje w sprawie przekazywania danych osobowych dotyczyły następujących państw:

Andora

Decyzja Komisji 2010/625/UE z dnia 19 października 2010 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Andorze jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legalcontent/PL/TXT/HTML/?uri=CELEX:32010D0625&from=EN

Argentyna

Decyzja Komisji z dnia 30 czerwca 2003 r. w sprawie właściwej ochrony danych osobowych w Argentynie jest dostępna w wersji elektronicznej na :

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32003D0490&from=PL

Australia

Decyzja Rady 2008/651/WPZiB/WSiSW z dnia 30 czerwca 2008 r. w sprawie podpisania w imieniu Unii Europejskiej Umowy między Unią Europejską a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych dotyczących przelotu pasażera (danych PNR) pochodzących z Unii Europejskiej jest dostepna:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:213:0047:0048:PL:PDF

Umowa między Unią Europejską a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych dotyczących przelotu pasażera (danych PNR) pochodzących z Unii Europejskiej, jest dostępna:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:213:0049:0057:PL:PDF

Guernsey

Decyzja Komisji z dnia 21 listopada 2003 r. w sprawie właściwej ochrony danych osobowych w Guernsey jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32003D0821&from=PL

Izrael

Decyzja Komisji z dnia 31 stycznia 2011 na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Państwie Izrael w odniesieniu do zautomatyzowanego przetwarzania danych osobowych jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:027:0039:0042:PL:PDF

Jersey

Decyzja Komisji z dnia 8 maja 2008 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony danych osobowych na Jersey jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:138:0021:0023:PL:PDF

Kanada

Decyzja Komisji z dnia 20 grudnia 2001 r. w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32002D0002&from=PL 

Nowa Zelandia

Decyzja wykonawcza Komisji z dnia 19 grudnia 2012 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Nowej Zelandii jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:028:0012:0014:PL:PDF

Stany Zjednoczone Ameryki

Decyzja Rady 2007/551/WPZiB/WSiSW z dnia 23 lipca 2007 r. w sprawie podpisania, w imieniu Unii Europejskiej, Umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) (Umowa PNR z 2007 r.) jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016:0017:PL:PDF

Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) (Umowa PNR z 2007 r.) jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:PL:PDF 

Powołane akty prawne dotyczą wyłącznie przekazania do USA danych osobowych pasażerów lotów przez przewoźników lotniczych i nie stanowią podstawy do uznania systemu ochrony danych osobowych w USA, za zapewniający odpowiedni poziom ochrony danych osobowych.

W dniu 6 października 2015 Trybunał Sprawiedliwości Unii Europejskiej wydał przełomowy wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził on nieważność decyzji Komisji Europejskiej z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" przez USA. Decyzja ta nie może być dotąd podstawą prawną uznania systemu ochrony danych osobowych w USA, za dający gwarancje ochrony danych osobowych przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

Szczegółowe wyjaśnienia GIODO w kwestii wydanego wyroku są dostępne w wersji elektronicznej na:

http://www.giodo.gov.pl/560/id_art/8951/j/pl

W dniu 12 lipca 2016 r. Komisja Europejska wydała decyzję wykonawczą (UE) 2016/1250 przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (notyfikowana jako dokument nr C(2016) 4176),  która umożliwi przekazywanie danych osobowych importerom, którzy przystąpią do tego programu. Decyzja jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:JOL_2016_207_R_0001

Szwajcaria

Decyzja Komisji z dnia 26 lipca 2000 r. w sprawie właściwej ochrony danych osobowych w Szwajcarii jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32000D0518&from=PL

Wyspa Man

Decyzja Komisji z dnia 28 kwietnia 2004 r. w sprawie odpowiedniej ochrony danych osobowych na Wyspie Man jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32004D0411&from=PL

Wyspy Owcze

Decyzja Komisji z dnia 5 marca 2010 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony na podstawie ustawy Wysp Owczych w sprawie ochrony danych osobowych jest dostępna w wersji elektronicznej na:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:058:0017:0019:PL:PDF

Ocena, czy państwo docelowe zapewnia odpowiednie gwarancje ochrony należy do administratora danych, który musi we własnym zakresie ocenić, czy spełnione są przesłanki z art. 47 ust. 1. Generalny Inspektor nie wydaje w tym zakresie żadnych zaświadczeń. Należy zwrócić uwagę, iż w razie wątpliwości, co do odpowiedniego stopnia ochrony administrator danych zamierzający przekazywać dane do państwa trzeciego powinien legitymować się jedną z przesłanek określonych w art. 47 ust 2 i 3 lub art. 48 ustawy o ochronie danych osobowych.

Czy ustawa o ochronie danych zezwala na przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony danych osobowych?

Tak, jednak przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony danych osobowych jest możliwe pod warunkiem spełnienia jednej z przesłanek określonych w art. 47 ust. 2 i 3 ustawy.

W pierwszej kolejności należy wyjaśnić, że transfer danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony danych osobowych jest dopuszczalne, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych (art. 47 ust. 2). Podkreślenia wymaga, że powołana norma swym zakresem obejmuje jedynie przepisy prawa obowiązujące na terytorium Rzeczypospolitej Polskiej bądź ratyfikowane umowy międzynarodowe. Wykładnia gramatyczna art. 47 ust. 2 zaś wskazuje na konieczność istnienia wyraźnego obowiązku przekazywania danych osobowych.

Artykuł 47 ust. 3 ustawy, zawiera kolejne przesłanki upoważniające do przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony. Mianowicie administrator danych może przekazać dane osobowe do państwa trzeciego, jeżeli:

1. osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

Omawiana przesłanka powinna być interpretowana w świetle definicji określonej w art. 7 pkt 5 ustawy. Zgodnie z nią przez zgodę osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W konsekwencji, osoba składająca takie oświadczenie woli powinna być świadoma braku odpowiedniego poziomu ochrony w państwie trzecim, do którego dane jej dotyczące mają być przekazane.

2. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

W ramach tej przesłanki można wyodrębnić dwie sytuacje, w których przekazanie danych jest dopuszczalne. Pierwsza ma zastosowanie w przypadku wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą. Druga zaś dotyczy sytuacji, gdy przekazanie danych jest podejmowane na życzenie osoby, której dane dotyczą. Jednocześnie należy uznać, że hipoteza powołanej normy obejmuje działania związane z wykonaniem umowy oraz działania przed zawarciem umowy - podejmowane na życzenie osoby, której dane dotyczą. Podkreślenia wymaga, że dane osobowe mogą być przekazane, jeżeli są niezbędne dla ww. celów. Nie wystarczy więc, aby dane były tylko użyteczne.

3. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

Ważne jest aby umowa pomiędzy administratorem danych a innym podmiotem była zawarta w interesie osoby, której dane dotyczą. Dla przykładu można wspomnieć o umowie reasekuracji.

4. przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

Analizując możliwość przekazania danych osobowych do państwa trzeciego, gdy jest to niezbędne dla dobra publicznego, warto zauważyć, że zgodnie z pkt 58 preambuły do Dyrektywy 95/46/WE, przekazanie danych jest dopuszczalne, jeżeli wymagać tego będzie ochrona ważnego interesu publicznego, jak np. przesyłanie danych za granicę przez władze podatkowe i celne lub przez służby odpowiedzialne za sprawy ubezpieczeń społecznych. Należy więc ten przepis interpretować ściśle.

5. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

Żywotne interesy osoby, której dane dotyczą należy rozumieć jako interesy niezbędne dla życia tej osoby. Tym samym, co do zasady poza zakresem tego pojęcia znajdują się interesy ekonomiczne.

5. dane są ogólnie dostępne.

Należy zauważyć, że omawiana przesłanka nie znajdzie zastosowania w przypadku, gdy dane stały się ogólnie dostępne z naruszeniem prawa.

W jakich wypadkach Generalny Inspektor Ochrony Danych Osobowych może zezwolić na przekazanie danych do państwa trzeciego?

Jeżeli nie zostały spełnione wymagania określone w art. 47 ust. 2 lub 3 ustawy, a państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy).

Należy podkreślić, że rozpoczęcie przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony danych osobowych jest zasadniczo dopiero po wydaniu pozytywnej decyzji przez Generalnego Inspektora. Decyzja ta nie legalizuje bowiem wcześniejszego przekazywania danych osobowych.

Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazywanie danych, musi ocenić, czy administrator danych zapewnia odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Ocenę taką dokonuje się z uwzględnieniem tych samych przesłanek, które wykorzystuje się przy generalnej ocenie poziomu ochrony danych osobowych zapewnianej w państwie trzecim. Niemniej, każdy wniosek należy oceniać indywidualnie, z uwzględnieniem wszystkich okoliczności sprawy.

Administrator danych może zapewnić odpowiedni poziom ochrony danych osobowych, które podlegają przekazaniu, przede wszystkim poprzez przyjęcie odpowiednich zobowiązań umownych.

Kiedy nie jest wymagane  uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych?

Zgodnie  treścią art. 48 ust. 2 ustawy o ochronie danych osobowych, zgoda Generalnego Inspektora nie jest jednak wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1. standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 Dyrektywy
2. wiążące reguły korporacyjne, które zostały zatwierdzone przez Generalnego Inspektora.

Czy administrator danych może zastosować standardowe klauzule umowne przyjęte przez Komisję Europejską?

Tak. Komisja Europejska na mocy art. 26 ust. 4 Dyrektywy jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych we standardowychstandardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiedni poziom ochrony danych osobowych. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Komisja Europejska wydała trzy decyzje w tym zakresie.

Zastosowanie przez administratora standardowych klauzul umownych na podstawie art. 48 ust. 2 pkt 1 ustawy, stanowi odpowiednią gwarancję transferu danych osobowych do państwa trzeciego i nie wymaga zgody bądź zatwierdzenia Generalnego Inspektora.

Aby skorzystać z tego zwolnienia nie można w istotny sposób zmodyfikować klauzul.

Decyzja 2001/497/WE w sprawie standardowych klauzul umownych w związku z przekazywaniem danych osobowych do państw trzecich na podstawie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 181/19, z 4.07.2001) została wydana przez Komisję Europejską w dniu 15 czerwca 2001 r. Wprowadzone niniejszą decyzją klauzule umowne mają zastosowanie do przekazywania danych osobowych do administratora danych w państwie trzecim. Tekst decyzji w języku polskim jest dostępny na stronie internetowej:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=en

Decyzja 2004/915/WE zmieniającą decyzję 2001/497/WE w zakresie alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz. Urz. WE L 385/19, z 29.12.2004) została wydana przez Komisję Europejską w dniu 27 grudnia 2004 r. Powołana decyzja wprowadziła zestaw alternatywnych klauzul umownych, które administrator danych może wykorzystać w przypadku przekazywania danych do innego administratora danych w państwie trzecim. Administrator danych może więc wybrać jeden spośród dwóch zestawów standardowych klauzul umownych.

Tekst decyzji w języku polskim jest dostępny na stronie internetowej:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF

Decyzja Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L 39 s. 5 z 12.02.2010), została wydana w dniu 5 lutego 2010 r. Wprowadzone niniejszą decyzją standardowe klauzule umowne mają zastosowanie do przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych.

Tekst decyzji w języku polskim jest dostępny na stronie internetowej:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF

Powyższa decyzja zastąpiła decyzję 2002/16/WE w sprawie standardowych klauzul umownych w związku z przekazywaniem danych osobowych przetwarzającym w krajach trzecich na podstawie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 006, z 10.01.2002), która została wydana przez Komisję Europejską w dniu 27 grudnia 2001 r.

Tekst decyzji w języku polskim jest dostępny na stronie internetowej:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32002D0016&from=en

Uwaga: Decyzja 2010/87/EU ma zastosowanie do umów zawartych od dnia 15 maja 2010 r. Jednakże każda umowa zawarta między podmiotem przekazującym a odbierającym dane na mocy decyzji 2002/16/WE przed dniem 15 maja 2010 r. pozostaje w mocy i obowiązuje dopóty, dopóki czynności przekazywania i przetwarzania danych, które są przedmiotem umowy, pozostają niezmienione, a dane osobowe objęte niniejszą decyzją są nadal przekazywane między stronami. Jeżeli umawiające się strony zdecydują o dokonaniu zmian w tym zakresie lub podzleceniu wykonania czynności przetwarzania danych, które są przedmiotem umowy, wymaga się zawarcia nowej umowy zgodnej ze standardowymi klauzulami umownymi określonymi w załączniku do decyzji 2010/87/UE.

Grupa Robocza Art. 29 w dniu 12 lipca 2010 r. wydała dokument WP 176, w którym wyjaśniła niektóre wątpliwości dotyczące stosowania decyzji Komisji 2010/87/UE.

Najczęściej zadawane pytania w celu zaradzenia kwestiom wynikłym na skutek wejścia w życie Decyzji Komisji Europejskiej 2010/87/UE sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE WP176. (polska wersja językowa)

Tekst dokumentu w języku angielskim jest dostępny:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp176_en.pdf

W jakiej formie mogą być wprowadzone standardowe klauzule umowne?

Należy podkreślić, że standardowe klauzule umowne mogą być zawarte w szerszej umowie zawartej między administratorem danych osobowych a odbiorcą danych w państwie trzecim. Mogą być też dodane do niej w formie aneksu. Możliwe jest również sporządzenie zupełnie odrębnego dokumentu.

Czy administrator danych może zastosować wiążące reguły korporacyjne?

Tak. Odrębną gwarancją transferu danych osobowych to państwa trzeciego, są wiążące reguły korporacyjne, które zostały zatwierdzone przez Generalnego Inspektora. Wiążące reguły korporacyjne są odrębnym instrumentem pełniącym szczególną rolę w przypadku przekazywania danych osobowych w ramach międzynarodowych korporacji. Jest to instrument, który z jednej strony może zapewnić większą elastyczność, z drugiej zaś zagwarantować w ramach korporacji jednolity, a zarazem wysoki poziom ochrony praw osób, których dane dotyczą, bez względu na poziom ochrony danych osobowych zapewniony na terytorium poszczególnych państw.

Czy wiążące reguły korporacyjne muszą być zatwierdzone przez Generalnego Inspektora Ochrony Danych Osobowych? 

Tak. Na podstawie art. 48 ust. 3 ustawy, Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej, wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych przez administratora danych lub podmiot, o którym mowa w art. 31 ust. 1, do należącego do tej samej grupy innego administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1, w państwie trzecim.

Wiążące reguły korporacyjne powinny zostać przedłożone Generalnemu Inspektorowi w języku polskim bądź alternatywnie w wersjach dwujęzycznych (w tym w wersji polskiej). Zgodnie z art. 4-5 ustawy z dnia 7 października 1999 r. o języku polskim, język polski jest językiem urzędowym organów państwowych, które dokonują wszelkich czynności urzędowych oraz składają oświadczenia woli w języku polskim, chyba że przepisy szczególne stanowią inaczej.

Grupa Robocza Art. 29 w dniu 3 czerwca 2003 r. wydała dokument roboczy WP 74 pt.: "Przekazywanie danych osobowych do krajów trzecich: zastosowanie Art. 26 ust. 2 dyrektywy UE w sprawie ochrony danych w odniesieniu do wiążących reguł korporacyjnych zobowiązujących przedsiębiorstwa do ich stosowania przy międzynarodowym przepływie danych".

Tekst dokumentu roboczego (w językach: angielskim, francuskim i niemieckim) jest dostępny na stronie internetowej:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2003/wp74_en.pdf

Grupa Robocza Art. 29, dokonując analizy pojęcia wiążących reguł korporacyjnych, wskazała że są one:

1. "wiążące" lub "możliwe do wyegzekwowania na drodze prawnej", ponieważ tylko klauzule mające ten charakter mogą być uznane za "wystarczające gwarancje" w rozumieniu art. 26 ust. 2 Dyrektywy 95/46/WE;
2. korporacyjne, ponieważ chodzi o reguły obowiązujące wewnątrz korporacji (koncernu) międzynarodowej, na ogół opracowane w siedzibie głównej;
3. stosowane przy międzynarodowych transferach danych, ponieważ w tym tkwi sens istnienia tych reguł.

Grupa Robocza Art. 29 w dniu 14 kwietnia 2005, w dokumencie roboczym WP 108, przyjęła listę kontrolną ze wszystkimi niezbędnymi elementami, które powinny zawierać wiążące reguły korporacyjne.

Biorąc pod uwagę, że wiążące reguły korporacyjne w zamierzeniu mają mieć charakter powszechny, europejskie organy ochrony danych osobowych przyjęły procedurę współpracy, której celem jest wspólne rozpatrywanie wniosków o wyrażenie zgody na przekazywanie danych osobowych, na podstawie wiążących reguł korporacyjnych (dokument roboczy WP 107 przyjęty w dniu 14 kwietnia 2005 r.).

Oba dokumenty robocze (w języku angielskim, francuskim i niemieckim) dostępne są w wersji elektronicznej na stronie internetowej:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation /files/2005/wp107_en.pdf

Należy również zwrócić uwagę na rekomendację nr 1/2007 z dnia 10 stycznia 2007 r. w sprawie standardowego formularza wniosku o zatwierdzenie wiążących reguł korporacyjnych (dokument WP 133), który jest dostępny (w języku angielskim) na stronie internetowej:

http://www.cnpd.public.lu/fr/publications/groupe-art29/wp133_en.pdf

Grupa Robocza Art. 29 przyjęła również dokument roboczy dotyczący najczęściej zadawanych pytań w zakresie stosowania wiążących reguł korporacyjnych (WP 155 rev. 4), który jest dostępny na stronie internetowej:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2008/wp155_rev04_en.pdf

Czym jest wzajemne uznawanie Wiążących Reguł Korporacyjnych (WRK)?

W celu przyspieszenia unijnej procedury współpracy w zakresie przeglądu WRK przez organy ochrony danych uzgodniono procedurę wzajemnego uznawania. Zgodnie z treścią art. 48 ust. 4 ustawy Generalny Inspektor przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do EOG, na których terytorium mają siedziby przedsiębiorcy należący do grupy, przekazując im niezbędne informacje w tym celu. Generalny Inspektor, wydając decyzję, w przedmiocie zatwierdzenia bądź odmowy zatwierdzenia wiążących reguł korporacyjnych  uwzględnia wyniki przeprowadzonych konsultacji, a jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do EOG– może uwzględnić to rozstrzygnięcie.

W ramach tej procedury, gdy organ wiodący uzna, że WRK spełniają wymogi określone w dokumentach roboczych, organy ochrony danych w ramach wzajemnego uznawania akceptują tę opinie jako wystarczającą podstawę do wydania ich własnego krajowego pozwolenia na WRK lub do udzielenia pozytywnej porady organowi, który wydaje takie pozwolenie. Organowi wiodącemu w ocenie WRK pomagają wybrane dwa inne organy ochrony danych.

Deklaracja w sprawie wzajemnego uznawania (wersja angielska)

Deklaracja w sprawie wzajemnego uznawania (tłumaczenie nieoficjalne)

Jakie informacje powinien zawierać wniosek o wydanie zgody na przekazanie danych do państwa trzeciego?

Jeżeli w ocenie wnioskodawcy zachodzi konieczność wyrażenia przez Generalnego Inspektora zgody na przekazywanie danych osobowych do państwa trzeciego, to powinien on przedstawić dowody pozwalające na potwierdzenie zapewnienia przez wnioskodawcę odpowiedniego zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osób, których dane dotyczą. Dlatego Generalny Inspektor wymaga wskazania:

1. stron takiego transferu danych osobowych,
2. kategorii danych,
3. ich zakresu,
4. celu oraz czasu trwania proponowanych operacji przekazywania danych,
5. środków podjętych w celu zagwarantowania przez strony zamierzające przekazywać dane osobowe, praw osób, których dane dotyczą, w tym np. przedstawić treść konkretnej umowy lub innego instrumentu prawnego stanowiącego podstawę przekazania danych,
6. środków organizacyjno - technicznych, które odbiorca danych zapewni w celu zabezpieczenia przekazywanych danych (dokładny opis).

Jakie informacje powinien zawierać wniosek o zatwierdzenie wiążących reguł korporacyjnych?

W wypadku wniosku o zatwierdzenie wiążących reguł korporacyjnych wnioskodawca powinien dołączyć do wniosku:

1. wiążące reguły korporacyjne,
2. decyzję  wiodącego organu ochrony danych osobowych z innego państwa członkowskiego Unii Europejskiej, który zatwierdził wiążące reguły korporacyjne w ramach procedury wzajemnego zuanwania wiążących reguł korporacyjnych (jeśli dotyczy),
3. wypełniony formularz wniosku o zatwierdzenie wiążących reguł korporacyjnych, opracowany przez Grupę Roboczą Art. 29 (WP 133).

Generalny Inspektor w toku postępowania może zwrócić się do wnioskodawcy o udzielenie dodatkowych wyjaśnień lub przesłanie dokumentów.

Każdy wniosek winien spełniać wymogi określone w art. 63 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r. 8, poz. 267 z późn. zm.).

Koniecznymi elementami formalnymi wszelkich składanych do Generalnego Inspektora w formie pisemnej wniosków są:

• informacje identyfikujące osobę składającą wniosek, takie jak:imię i nazwisko/pełna nazwa podmiotu oraz adres zamieszkania/siedziby,
• własnoręczny podpis osoby składającej wniosek,
• aktualny wyciąg z Krajowego Rejestru Sądowego albo innego rejestru, albo zaświadczenie bądź informację z ewidencji właściwej dla formy organizacyjnej wnioskodawcy,
• dowód uiszczenia opłaty skarbowej.

UWAGA! Jeżeli osoba, która składa wniosek, czyni to w imieniu i na rzecz innej osoby lub podmiotu (działa w charakterze pełnomocnika), obowiązana jest dodatkowo:

• załączyć do wniosku oryginał lub uwierzytelniony odpis dokumentu upoważniającego ją do działania w imieniu i na rzecz mocodawcy w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych.

UWAGA! Zgodnie z ustawą z dnia 7 października 1999 r. (Dz. U. 1999 Nr 90, poz. 999 ze zm.), wniosek oraz załączone do niego dokumenty powinny być w języku polskim.

Wniosek w postaci pisemnej można złożyć poprzez:

• przesłanie jej do Biura Generalnego Inspektora Ochrony Danych Osobowych pocztową konwencjonalną (na adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa),
• osobiste złożenie w Biurze Generalnego Inspektora Ochrony Danych Osobowych (adres j.w.),
• przesłanie drogą elektroniczną, które może nastąpić przy wykorzystaniu elektronicznej skrzynki podawczej dostępnej na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych www.giodo.gov.pl, w zakładce "Elektroniczna skrzynka podawcza".

UWAGA! Wniosek składany drogą elektroniczną powinien być opatrzony bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, przy zachowaniu zasad przewidzianych w przepisach o podpisie elektronicznym.

Obowiązek uiszczenia opłaty skarbowej powstaje w przypadku:

• złożenia wniosku do Generalnego Inspektora Ochrony Danych Osobowych (bez względu na formę, w jakiej jest ona składana),
• złożenia dokumentu pełnomocnictwa/ prokury w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych (dotyczy to w równym stopniu oryginału dokumentu stwierdzającego udzielenie pełnomocnictwa/ prokury, jak również jego odpisu, wypisu lub kopii).

Stawka opłaty skarbowej wynosi:

• 10,00 zł - w przypadku opłaty od wniosku o wyrażenie zgody na przekazanie danych do państwa trzeciego,
• 17,00 zł - w przypadku opłaty od pełnomocnictwa

Opłatę skarbową uiszcza się w kasie lub na konto: Dzielnica Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa.

Nr konta: 60 1030 1508 0000 0005 5001 0038.

W tytule wpłaty, wraz z treścią – opłata skarbowa za.. .- należy zamieścić skrót GIODO, zaś dowód uiszczenia tej należności przesłać do Biura Generalnego Inspektora Ochrony Danych Osobowych.