Przekazywanie danych do państwa trzeciego

Postępująca globalizacja gospodarki światowej wpływa na wzrost transgranicznej wymiany danych osobowych. Przekazywanie danych osobowych do państw trzecich, w szczególności do takich, które nie zapewniają na swoim terytorium przynajmniej takich gwarancji ochrony danych osobowych, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, wiąże się z dużym ryzykiem naruszenia praw i wolności osób, których te dane dotyczą. Dlatego ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej jako ustawa; tekst jedn. Dz.U. z 2014 r., poz. 1182 z późn. zm.) obwarowuje przekazywanie danych osobowych do państw trzecich szczególnymi wymogami[1].

Zgodnie z art. 47 ust. 1 Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Ograniczenia dotyczące przekazywania danych osobowych do państw trzecich nie znajdują zastosowania do przekazywania danych osobowych w ramach EOG. Przekazywanie danych osobowych w ramach EOG traktowane jest tak samo jak każda inna postać przetwarzania danych i nie napotyka dodatkowych ograniczeń[2]. To zróżnicowanie zasad przekazywania danych wynika z faktu, że państwa należące do EOG implementowały dyrektywę 95/46/WE i na ich obszarze obowiązują jednakowe standardy ochrony danych osobowych[3].

Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę:

·       charakter danych,

·       cel i czas trwania proponowanych operacji przetwarzania danych,

·       kraj pochodzenia i kraj ostatecznego przeznaczenia danych,

·       przepisy prawa obowiązujące w danym państwie trzecim oraz

·       stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.

Powyższe przepisy nie mają zastosowania, jeśli przetwarzanie danych wynika:

·       z obowiązku nałożonego na administratora danych przepisami prawa lub

·       postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.

Przekazywanie danych do państwa trzeciego wymaga oprócz ogólnych wymogów ustawy o ochronie danych osobowych, dotyczących przetwarzania danych w Polsce i państwach członkowskich EOG, spełnienia obowiązków wymaganych przepisami rozdziału 7 ustawy – regulującymi przekazywanie danych osobowych do państwa trzeciego.

Jednakże ustawa dopuszcza, możliwość przekazywania danych do państwa trzeciego nawet jeśli nie zapewniają na swoim terytorium odpowiedniego poziomu ochrony danych osobowych.

Dane takie można przetwarzać jeśli:

·       osoba, której dane dotyczą, udzieliła na to zgody na piśmie;

·       przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;

·       przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;

·       przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;

·       przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;

·       dane są ogólnie dostępne.

Warto wspomnieć o tym, że Komisja Europejska może wydać decyzję stwierdzającą, że dane państwo trzecie zapewnia poziom ochrony danych adekwatny do poziomu przewidzianego w dyrektywie. Wydanie przez Komisję takiej decyzji pociąga za sobą dopuszczalność przekazywania danych osobowych z państw członkowskich do tego państwa trzeciego bez konieczności zapewnienia dodatkowej ochrony. Tego rodzaju decyzje wydane zostały w stosunku do Szwajcarii, Węgier (choć decyzja ta nie ma już praktycznego znaczenia w związku z przystąpieniem tego państwa do UE), Kanady, Argentyny, Guernsey, Jersey, Wysp Owczych, Andory, Wyspy Man, Izraela, Urugwaju i Nowej Zelandii.

Nieco inaczej kształtuje się praktyka przekazywania danych osobowych pomiędzy państwami członkowskimi EOG a podmiotami mającymi siedzibę na terytorium USA. Podstawowe znaczenie mają tu tzw. zasady bezpiecznego portu prywatności[4] (Privacy Shield).