NSA o przekazywaniu danych osobowych za granicę

Generalny inspektor ochrony danych osobowych uznaniowo udziela zgody na przekazanie naszych danych za granicę

STAN FAKTYCZNY

R.D.P. sp. z o.o. zwrócił się do Generalnego inspektora ochrony danych osobowych o wyrażenie zgody na przekazywanie danych osobowych do USA. Wniosek uzasadnił potrzebą scentralizowanego przetwarzania danych w specjalnie utworzonym w tym celu Globalnym Centrum Danych. Przekazywanie danych miało odbywać się na podstawie umowy świadczenia usług, która przewidywała zasadę ochrony danych według prawodawstwa polskiego.

Inspektorzy GIODO ustalili, że do przekazania danych osobowych ma być wykorzystywany system informatyczny SCS +. Ponieważ jednak system taki nie został jeszcze wdrożony, nie było możliwości dokonania oceny jego zgodności z wymaganiami prawa polskiego.

W wyniku postępowania GIODO odmówił wyrażenia zgody na przekazanie danych osobowych. W uzasadnieniu stwierdził, że spółka nie zapewniła dostatecznych gwarancji bezpieczeństwa operacji transferu danych do USA. Podkreślił też, że w polskiej ustawie o ochronie danych osobowych zastosowanie odpowiednich klauzul umownych nie jest jedną z przesłanek dopuszczenia przekazania danych za granicę.

Z UZASADNIENIA

Przekazywanie danych osobowych za granicę może nastąpić zgodnie z art. 47 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) jedynie wtedy, gdy kraj docelowy daje danym osobowym na swoim terytorium przynajmniej takie gwarancje ochrony, jak obowiązujące na terytorium Rzeczypospolitej Polskiej. Pomiędzy stronami nie ma sporu co do tego, iż gwarancji takich nie dają Stany Zjednoczone.

 

Przekazanie danych osobowych za granicę do kraju, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody GIODO. Jest to przepis uznaniowy i nie zawiera kryteriów udzielania bądź odmowy wyrażenia takiej zgody. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego bez konieczności uzyskania takiej zgody tylko wtedy, gdy przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. Podobnie będzie wówczas, gdy przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą.

Wyrażając zgodę na przekazywanie danych osobowych za granicę, generalny inspektor powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić odpowiadający ustawodawstwu polskiemu stopień ochrony tych danych. W rozpatrywanej sytuacji słusznie uznał, że brak jest tego typu gwarancji. Strona skarżąca powoływała się co prawda na zawartą wzorcową umowę świadczenia usług przetwarzania danych osobowych, która zawierała wyraźne postanowienie, że ochrona danych będzie dokonywana według ustawodawstwa polskiego, ale zawarcie takiej umowy nie jest w świetle prawa polskiego autonomiczną przesłanką udzielenia zgody.

GIODO widział jako zabezpieczenie odpowiedniego poziomu ochrony zastosowanie systemu Safe Harbor. Program ten został opracowany przez Deparlament Handlu Stanów Zjednoczonych we współpracy z Komisją Europejską. Gwarantuje on stałą kontrolę przestrzegania zasad ochrony danych osobowych, w tym zasad dotyczących ich bezpieczeństwa. Członkostwo w nim zobowiązuje firmy uczestniczące do zapewnienia właściwej ochrony danych osobom pochodzącym z UE. Spółka nie brała udziału w tym programie.

Adam Makosz

Wyrok Naczelnego Sądu Administracyjnego, sygn. akt II SA 3878/2002