Przekazywanie danych osobowych do państwa trzeciego

W przypadku administratorów danych działających w obrocie międzynarodowym, żywotnego znaczenia nabiera kwestia możliwości przekazywania danych osobowych odbiorcom w innych państwach.
Art. 47 uodo stanowi zbiór przesłanek umożliwiających dokonanie przekazania danych osobowych do państwa trzeciego.

Na początku warto zastanowić się, jakie państwa są państwami trzecimi a jakie nie. Częściowo odpowiedź na to pytanie znajdujemy w art. 7 pkt. 7 uodo.

Poprzez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego.
Warto zaznaczyć, że poza krajami Unii Europejskiej do EOG należą również: Islandia, Liechtenstein oraz Norwegia.

Ponadto w/w zestaw państw możemy poszerzyć o kraje względem których Komisja Europejska wydała decyzję stwierdzającą, iż gwarantują one odpowiedni poziom ochrony wymagany przez art. 25 ust. 2 dyrektywy 95/46/WE. Decyzje takie wydane zostały w stosunku do: Szwajcarii, Kanady, Argentyny, wysp Guernsey, wyspy Man.

Warto dodać, że wszystkie firmy ze Stanów Zjednoczonych spełniające i uznające tzw. Safe harbour pivacy principles, również będą traktowane jak podmioty działające w ramach EOG.

W przypadku przekazywania danych osobowych do wszystkich w/w kategorii państw odbiorców (państw nie będących państwami trzecimi), stosujemy przepisy ustawy o ochronie danych osobowych.

W przypadku chęci przekazania danych do Państwa trzeciego, konieczne jest spełnienie jednej z przesłanek art. 47 uodo:

1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.
3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,\
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6) dane są ogólnie dostępne.

Na początku zajmijmy się przesłanką umożliwiającą przekazywanie danych osobowych w przypadku, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych co najmniej takie, jak na terytorium Rzeczpospolitej Polskiej.
Oczywiście powstaje tu zasadniczy problem – czym kierować się przy ocenie tego czy państwo docelowe daje takie gwarancje ochrony danych osobowych jak Rzeczpospolita Polska. Dyrektywa 95/46/WE daje w tej kwestii pewne wskazówki, w myśl art. 25 ust. 2 należy brać pod uwagę przede wszystkim: typ przekazywanych danych, cel ich przekazywania, okres planowanego przetwarzania, państwo pochodzenia danych i państwo docelowe, obowiązujące w państwie normy prawne, w tym także o charakterze branżowym, jak również obowiązujące reguły zawodowe (kodeksy etyczne). Ponadto według NSA należy uwzględnić także klauzule umowne pozwalające zapewnić stopień ochrony odpowiadający ustawodawstwu polskiemu.

Powyższa przesłanka nie znajduje zastosowania (tym samym możliwe jest przekazywanie danych osobowych do państwa trzeciego nawet jeśli państwo docelowe gwarantuje niższe standardy ochrony danych osobowych) jeśli przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa (np. przepisy zobowiązujące organy Policji do przekazywania zakładom ubezpieczeń informacji niezbędnych do ustalenia okoliczności wypadków) lub postanowieniami ratyfikowanej umowy międzynarodowej.

Ponadto, zgodnie z art. 47 pkt. 3 istnieje jeszcze 6 dodatkowych przesłanek umożliwiających przekazanie danych osobowych do państwa trzeciego. Wszystkie te przesłanki powinny być traktowane wyjątkowo a korzystanie z nich w myśl art. 26 ust 2 Dyrektywy 95/46/WE jest możliwe jedynie gdy niemożliwe lub bardzo utrudnione jest wprowadzenie przepisów umownych lub korporacyjnych zapewniających odpowiedni poziom zabezpieczenia danych osobowych.
Wspomniane wyżej przesłanki to:

1) Zgoda osoby, której dane będę przekazane do państwa trzeciego. Nie ma wymogu aby zgoda taka była wyrażona na piśmie, jednakże ze względów dowodowych jest to wysoce wskazane.

2) Przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. W praktyce obrotu gospodarczego z tej przesłanki korzystają często biura podróży, przekazując do państw trzecich dane osobowe klientów. W doktrynie podkreśla się, iż korzystanie z tej przesłanki jest możliwe jedynie w przypadku danych osobowych absolutnie niezbędnych do wykonanie umowy.

3) Przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem. Powołanie się na tą przesłankę jest możliwe w przypadku zawarcia umowy w której stroną nie jest osoba udostępniająca dane osobowe. Na tę przesłankę może się powołać np. organizator turystyki w związku z wykonaniem umowy zawartej z przedsiębiorcą prowadzącym hotel w państwie trzecim.

4) Przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych. Klauzula generalna dobra publicznego zgodnie z twierdzeniami doktryny obejmuje sytuacje przekazania danych osobowych przez służby podatkowe, celne lub w ramach przeciwdziałania praniu brudnych pieniędzy.
Druga z przesłanek powinna być interpretowana bardzo wąsko. Dla przykładu, jeśli pracownik pozwie spółkę zależną pracodawcy, znajdującą się w państwie trzecim to możliwe jest przekazywanie danych osobowych pracownika między spółkami. Nie jest jednak dozwolone przekazanie danych osobowych wszystkich pracowników w celu przygotowania się spółki na ewentualne odparcie kolejnych roszczeń.

5) Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą. Przyjmuje się, iż za „żywotne interesy osoby, której dane dotyczą” – uznaje się interesy związane z ochroną zdrowia, życia i bezpieczeństwa osobistego. Warto nadmienić, iż chodzi jedynie o sytuacje dotyczące indywidualnej osoby.

6) Dane są ogólnie dostępne. Wszystkie dane znajdujące się w ogólnodostępnych zbiorach i rejestrach mogą być na podstawie tej przesłanki przekazywane do państwa trzeciego. Oczywiście jeśli dane zostały ujawnione bezprawnie – również przekazanie danych na podstawie w/w przesłanki byłoby bezprawne.

Poza w/w przesłankami jest jeszcze jedna możliwość przekazania danych do państwa trzeciego. Chodzi mianowicie o indywidualną zgodę GIODO. Zgoda taka może być udzielona tylko w przypadku gdy administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą oraz gdy żadna z poprzednio wymienionych przesłanek nie może zostać spełniona.

Przepis ten jest również odstępstwem od zasad ogólnych i przesłanki gwarancji ochrony danych osobowych na poziomie co najmniej takim jak na terytorium RP. Dopiero jeśli nie jest możliwe (lub jest wysoce utrudnione) skorzystanie ze standardowych klauzul umownych i przepisów korporacyjnych administrator danych może zwrócić się z wnioskiem do GIODO o udzielenie zgody na przekazanie danych osobowych do państwa trzeciego.