Przekazywanie danych osobowych do państw trzecich

W dobie rozwoju gospodarczego, w tym nowych technologii, przede wszystkim zaś w dobie pojawienia się zjawiska tzw. globalnego outsourcingu, gdzie coraz więcej podmiotów przekazuje (udostępnia) swoje dane lub powierza je innym podmiotom, a te z kolei dokonują dalszego przekazania danych, znaczenia nabiera problematyka przekazywania danych osobowych do innych państw. Jest to kwestia bardzo istotna w stosunkach korporacyjnych, nierzadko bowiem transfer danych do innego kraju jest jedną z podstaw działalności korporacji. Sytuacja komplikuje się, gdy dane mają trafić do kraju znajdującego się poza EOG1 . Abstrahując od istotnego dla tej problematyki zagadnienia, jakie stanowi sposób przekazywania danych2 , – a powinien on zapewniać bezpieczeństwo przekazywanym danym, polskie przepisy regulujące kwestie ochrony danych osobowych wprowadzają szereg warunków, od których spełnienia uzależniona jest legalność operacji przekazania danych. Ich zignorowanie rodzić może natomiast nie tylko odpowiedzialność administracyjną i karną, ale również cywilną w związku z ewentualnym naruszeniem dóbr osobistych osoby, której przekazywane dane dotyczą.

Szczególne zasady dotyczące przekazywania danych osobowych do państw trzecich3 wprowadziła Dyrektywa 95/46/WE. Zgodnie z jej artykułem 25, państwa członkowskie są zobligowane zapewnić zadbać o to, aby przekazywanie danych osobowych do państwa trzeciego mogło nastąpić tylko wówczas, gdy państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych trzeba oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych, przy czym szczególną uwagę zwracać należy na charakter danych, cel i czas trwania przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, a także przepisy prawa – zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim, i środki bezpieczeństwa stosowane w tym państwie.

W konsekwencji takiego brzmienia Dyrektywy 95/46/WE, w 2004 r., w związku z wejściem Polski do UE, w u.o.d.o. wprowadzone zostały dość istotne zmiany4 , w tym takie, które dotyczą przekazywania danych osobowych do państw trzecich5. Generalnie, mając na uwadze docelowe miejsce przekazania danych, przyjęto podział na państwa, które dają należyte gwarancje ochrony danych, to jest kraje EOG, szerzej państwa europejskie, oraz wszelkie inne państwa, które takich gwarancji nie są w stanie dać.

 Przekazywanie danych w ramach EOG

Wolą twórców takiego rozwiązania była z jednej strony taka konstrukcja przepisów, która nie ograniczałaby swobodnego przepływu danych na terytorium UE, z drugiej – zapewnienie odpowiedniej ochrony przekazywanym danym.
EOG tworzą wszystkie państwa członkowskie Wspólnot Europejskich i państw stowarzyszonych w układzie EFTA, czyli Norwegia, Islandia i Lichtenstein. Przekazywanie danych osobowych w ramach EOG jest traktowane tak jak przekazywanie danych w obrębie Polski. O ile swobodny przepływ danych w ramach UE jest zrozumiały, to wykroczenie poza jej granice uzasadnia fakt, że państwa EOG implementowały w swych wewnętrznych porządkach prawnych regulacje wspomnianej powyżej Dyrektywy 95/46/WE.
Takie rozwiązanie kwestii transferu danych osobowych w omawianych powyżej ramach oznacza, że przekazywanie danych do któregokolwiek państwa będącego członkiem EOG podlega ogólnym zasadom przetwarzania danych wynikającym z u.o.d.o. – a więc takim jak przetwarzanie danych osobowych na terytorium Rzeczypospolitej Polskiej. Tym samym nie znajdują w takim przypadku zastosowania przepisy rozdziału 7 u.o.d.o., traktujące o przekazywaniu danych osobowych do państw trzecich.

 Szczególne zasady przekazywania danych do państw trzecich

W myśl art. 7 pkt 7 u.o.d.o., państwo trzecie oznacza państwo nienależące do EOG. Przekazanie danych do państw trzecich ustawodawca poddał specjalnym rygorom wskazanym we wspomnianym powyżej rozdziale 7 u.o.d.o. Oznacza to, że trzeba spełnić nie tylko wskazane w ustawie wymogi ogólne dotyczące przetwarzania danych osobowych na terytorium Polski i EOG, ale także szczególne warunki, o których mowa we wspomnianym rozdziale 7.
Zaznaczyć w tym miejscu należy, że polski ustawodawca, wprowadzając w rozdziale 7 szczególne zasady transferu danych do państw trzecich, nie wyłączył zastosowania w takich wypadkach innych przepisów u.o.d.o. Przepisy rozdziału 7 u.o.d.o. wprowadzają jedynie dodatkowe wymogi, które powinny być spełnione w sytuacji planowania przekazania danych osobowych do państwa trzeciego. Konieczność ich respektowania nie zwalnia więc administratora danych z pozostałych obowiązków nałożonych na niego przepisami u.o.d.o. Tym samym administrator danych w szczególności powinien legitymować się jedną z przesłanek legalności przetwarzania danych wskazanych w art. 23 ust. 1 lub art. 27 ust. 2 u.o.d.o. Obowiązek ten zachodzi zarówno w przypadku przekazania danych osobowych do państwa trzeciego, które daje gwarancje ochrony danych osobowych na swoim terytorium – przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, jak również gdy państwo to nie daje gwarancji należytej ochrony, a przekazanie danych odbywa się na podstawie jednej z przesłanek określonych w art. 47 ust. 2 i 3 lub na podstawie zgody GIODO (art. 48). Nadmienić jedynie należy, że przesłanki legalizujące przekazanie danych osobowych do państwa trzeciego, wymienione w art. 47 ust. 2 i 3 u.o.d.o., w pewnym zakresie pokrywają się z przesłankami legalności przetwarzania danych, wymienionymi w art. 23 ust. 1 i art. 27 ust. 2 u.o.d.o.6 .
Pierwszym etapem zmierzającym do zapewnienia legalności transferu danych zwykłych – a taki charakter mają dane niewymienione przez ustawodawcę w art. 27 ust. 1 u.o.d.o. (jak np. imię, nazwisko, adres zamieszkania, numer PESEL, numer telefonu), jest spełnienie jednej z przesłanek legalności wskazanych w art. 23 ust. 1 u.o.d.o. Dane poddane szczególnej ochronie7 mogą być przetwarzane, wówczas gdy zachodzi jedna z przesłanek wymienionych w art. 27 ust. 2 u.o.d.o.
Z odmienną sytuacją mamy do czynienia jedynie w przypadku przekazania danych osobowych do państwa trzeciego, w ramach powierzenia przetwarzania danych osobowych na zasadach określonych w art. 31 u.o.d.o. W tym przypadku brak jest obowiązku legitymowania się odrębną przesłanką legalności przetwarzania danych od tej, która uzasadnia ich przetwarzanie przez administratora. Należy jednak wypełnić wymogi określone w art. 31 oraz rozdziale 7 u.o.d.o.
Wśród innych obowiązków, które zobligowany jest spełnić administrator danych, a na które należy zwrócić uwagę, planując transfer danych do państw trzecich, jest obowiązek informacyjny. Ma to istotne znaczenie w przypadku transferu danych do państwa trzeciego w sytuacji, gdy transfer taki nie był pierwotnie planowany i np. dodatkowo zmienia (rozszerza) cel przetwarzania, a w konsekwencji osoba, której dane dotyczą, nie dysponuje wiedzą na ten temat. W takim przypadku bowiem dochodzi do zmiany okoliczności, a w związku z tym informacji, będącymi w dyspozycji osoba, której dane dotyczą. Oznacza to, że obowiązek informacyjny powinien być spełniony także na dalszym etapie ich przetwarzania, a brak realizacji tego wymogu może mieć wpływ na legalność tej operacji. Innym obowiązkiem administratora danych jest zapewnienie właściwego zabezpieczenia danych, w szczególności odpowiednich środków technicznych i organizacyjnych zgodnie z rozdziałem 5 u.o.d.o.
Wzorcem dla polskich regulacji dotyczących problematyki przekazywania danych do państwa trzeciego były przepisy powołanej na wstępie Dyrektywy 95/46/WE, stąd brzmienie polskich norm jest bardzo podobne.
Zgodnie z art. 47 u.o.d.o., przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.
Takie brzmienie polskiego przepisu jest lakoniczne, stąd może budzić uzasadnione wątpliwości. W pierwszej kolejności nasuwa się pytanie, co oznacza termin przekazanie danych. Dyrektywa nie definiuje wspomnianego pojęcia, nie uczynił tego również polski ustawodawca. Brak jest jednoznacznego stanowiska w literaturze przedmiotu. Wynika z niej, że przekazywanie danych do państwa trzeciego obejmuje:

  • udostępnienie danych przez administratora danych innemu administratorowi;
  • powierzenie przetwarzania danych przez administratora danych innemu podmiotowi, w ramach którego następuje przekazanie danych przetwarzającemu;
  • transfer danych wewnątrz struktury jednostki administrującej danymi8.

Zdaniem innych, pojęcie to jest oczywiste, jeżeli bierze się pod uwagę tradycyjne środki komunikacji, jak np. list. Nie jest to już tak jednoznaczne w wypadku elektronicznych środków przekazywania informacji (np. poczty elektronicznej)9 . Problem ten oddaje brak jednomyślności w stanowiskach KE oraz ETS. KE w pkt 10 preambuły decyzji o sygn. KE 2002/16/WE10 uznała, że już samo ujawnienie danych osobowych przetwarzającemu dane, mającemu siedzibę poza obszarem Wspólnoty, jest międzynarodowym transferem danych osobowych. Natomiast ETS w pierwszym swym wyroku dotyczącym ochrony danych osobowych w Internecie, w sprawie obywatelki Szwecji Bodil Lindqvist, która opublikowała w Internecie dane swoich znajomych, nie pytając ich o zgodę (sprawa o sygn. C-101/01), orzekł, iż samo zamieszczenie (ujawnienie) danych w Internecie przy wykorzystaniu serwera znajdującego się w państwie należącym do EOG nie stanowi jeszcze międzynarodowego transferu danych. Transfer taki można już jednak byłoby stwierdzić, gdyby dane zostały zamieszczone (ujawnione) w Internecie w celu ich udostępniania konkretnym odbiorcom, tj. gdyby Internet stanowił technologiczną platformę komunikacji11. Z jednej strony na taką wykładnię analizowanego problemu wskazują przepisy u.o.d.o., które mówią o przekazywaniu danych osobowych do państwa trzeciego, niemniej trudno nie zgodzić się z poglądem, w świetle którego takie zawężające ujęcie problemu nie do końca przystaje do wirtualnej rzeczywistości i elektronicznych środków komunikacji12 . Wydaje się zatem, że w obecnej sytuacji, tj. przy braku jednoznacznego uregulowania tej kwestii w przepisach prawa i braku wskazówek interpretacyjnych w tej sferze zarówno ze strony doktryny, organów nadzoru nad ochroną danych, jak i sądownictwa – a taki wniosek nasuwa się po analizie stanowiska KE i orzeczenia ETS, rozsądnym rozwiązaniem byłoby indywidualne podejście do rozpatrywanego, konkretnego przypadku i analiza celu, jakim kierował się podmiot, który dane udostępnił (przekazał). Przekazywanie danych jest bowiem operacją zbliżoną do udostępnienia danych, niejednokrotnie pojęcia te mogą być tożsamo tłumaczone, niemniej nie w każdych okolicznościach. Pojęcie przekazywania wydaje się być szersze w świetle definicji odbiorcy danych (art. 7 pkt 6 u.o.d.o.), z której można wnioskować, kiedy mamy do czynienia z udostępnieniem danych. Analiza taka pozwoli w konsekwencji ocenić, czy dany przypadek jest objęty zakresem stosowania rozdziału 7 u.o.d.o. traktującego o przekazywaniu danych osobowych do państwa trzeciego.

Wnioski końcowe

Transfer danych do państw trzecich jest obecnie zjawiskiem powszechnym. Wynika nie tylko z postępującej globalizacji. Na eskalację tego zjawiska ma również wpływ zwiększona współpraca między państwami na płaszczyźnie naukowej, kulturalnej, czy chociażby technicznej, co w konsekwencji wzmaga zainteresowanie omawianą problematyką. Kolejne nowelizacje u.o.d.o. miały z jednej strony dostosować polskie przepisy do wymogów europejskich, z drugiej zaś wprowadzić m.in. jasne zasady dotyczące przetwarzania danych osobowych oraz ich ewentualnego transferu poza granice Polski. Wprawdzie wydawać by się mogło, że w wyniku zmiany ustawy w 2004 r. zasady te zostały dość precyzyjnie określone – zawiera ona bowiem odrębny rozdział poświęcony wspomnianej problematyce – niemniej, mimo iż w takim kształcie obowiązują już kilka lat, nie są one do końca jasne i doprecyzowane, czego dowodzą wątpliwości przedstawione w treści artykułu. Rodzi to wątpliwości interpretacyjne, a także zagrożenie – z jednej strony dla praw osób, których takie dane dotyczą, z drugiej zaś dla administratorów ponoszących ryzyko związane z transferem danych.

Najważniejszym postulatem dotyczącym przekazywania danych osobowych do państwa trzeciego jest zaangażowanie GIODO w działania mające na celu ujednolicenie i uproszczenie praktyki w omawianym zakresie. GIODO, korzystając ze swoich ustawowych uprawnień, powinien przez akcję informacyjną i wydawanie odpowiednich decyzji uprościć i ujednolicić procedury przekazywania danych osobowych do państwa trzeciego. W obecnym stanie prawnym, niejasne i niekomplementarne przesłanki przekazywania danych osobowych do państwa trzeciego rodzą bowiem zasadne wątpliwości co do możliwości stosowania omawianych przepisów.

Autor: Ewa Łęcka

Artykuł pochodzi z książki „Ochrona danych osobowych – wybór zagadnień”


1. Szerzej o przekazywaniu danych w ramach EOG poniżej w części zatytułowanej Przekazywanie danych w ramach EOG.
2. Zostanie to omówione w dalszej części artykułu.
3. Pojęcie państwa trzeciego zostanie wyjaśnione w dalszej części.
4. Ustawą z dnia 22 stycznia 2004 o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.
5. W rozdziale 7 u.o.d.o. zastąpiono pojęcie za granicę sformułowaniem kraj trzeci. Ideą tej zmiany było zapewnienie swobodnego przepływu danych do krajów UE i krajów EEA spoza UE.
6. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz do art. 47 ustawy o ochronie danych osobowych, LEX, wyd. IV, 2007.
7. Ujawniające m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia.
8. A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, str. 267, za G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 203, str. 201.
9. B. Marcinkowski, Jeszcze o przekazywaniu danych za granicę, www.rp.pl „Prawo dla Ciebie” Dane osobowe.
10. Decyzja opublikowana na stronie http://eur-lex.europa.eu.
11. Porównaj B. Marcinkowski, Jeszcze…, jw.
12. Tamże.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.