Stanowisko Microsoftu odnośnie Safe Harbour

W odpowiedzi na medialny szum jaki wywołała decyzja Europejskiego Trybunału Sprawiedliwości dotycząca programu Safe Harbour oraz wątpliwości co do ustawy o sądowych środkach ochrony prawnej w Stanach Zjednoczonych (judicial redress act), Brad Smith z Microsoftu opublikowałam na swoim blogu znamienny wpis.

Niemniej kilka ogólnych słów wstępu. Program Safe Harbor umożliwiał amerykańskim firmom przetwarzanie danych klientów z Unii Europejskiej. TSUE uznał, że serwisy internetowe takie jak Facebook, Google czy Twitter nie mogą przesyłać danych Europejczyków na serwery w USA. Spowodowane jest to występowaniem incydentów godzących w prawo do poszanowania życia prywatnego i daleko idącą ingerencje w prawo do ochrony danych osobowych.

W pierwszych słowach czytamy, że konieczne jest stworzenie całościowej, kompleksowej rekomendacji wpisujące się w potrzebę stworzenia „nowych norm prawnych dostosowanych do nowego świata technologii”. Skąd taki postulat? Odpowiedź jest prosta. W dzisiejszych czasach prawo wydaje się nie nadążać za technologią.

Z rekomendacji Brada Smitha wypływają następujące wnioski:

  • Konieczność zwiększenia świadomości wśród obywateli państw członkowskich, że wraz z przekazywanymi danymi przekazywane są ich prawa takie jak prawo do prywatności, prawo do ochrony danych osobowych i prawo do ochrony dóbr osobistych
  • Należy skupić się nad stworzeniem systemu, który będzie dostarczał organom władzy rządowej informacji o przekazywanych danych. Organy te podlegałyby przepisom prawnym obowiązującym w kraju pochodzenia danej osoby
  • Należy również zapewnić odstępstwo od powyższej reguły. Wyjątek stanowi sytuacja, w której obywatel postanowi zmienić miejsce zamieszkania pomiędzy Stanami Zjednoczonymi ,a Europą.
  • Niezbędna jest regulacja zapewniająca, że dane dotyczące informacji biznesowych firmy będą pozyskiwane wyłącznie wtedy kiedy dane te dotyczą działalności firmy.
safe harbour
safe harbour

Należy wskazać, ze tło całej sprawy odnosi się do naruszenia fundamentalnych praw podstawowych zagwarantowanych w Karcie Praw Podstawowych Unii Europejskiej. Nie wchodząc w szczegóły, wskazano na naruszenie:

  • Prawa do poszanowania życia prywatnego i rodzinnego w związku z daleko idącą ingerencją służb specjalnych USA w aspekcie przekazywania danych
  • Prawa do wniesienia skutecznego środka prawnego w kontekście prawa do bycia wysłuchanym w związku z zatrzymaniem i kontrolowaniem danych osobowych
  • Zasady proporcjonalności rozumianą jako zakaz nadmiernej ingerencji. Amerykańskie służby specjalne sprawują stały, masowy i ukierunkowany nadzór nad przekazywanymi danymi osobowymi.

Czy przekazując dane osobowe do państwa trzeciego należy dopełnić obowiązku informacyjnego?

Ww. pytanie otrzymaliśmy na naszą skrzynkę mailową. Odpowiadając stwierdzić należy, że takiego obowiązku nie ma. Administrator danych, który decyduje się przekazać dane osobowe do państwa trzeciego jest obowiązany do stosowania względem ww. danych osobowych standardowych zasad ochrony danych osobowych, których poziom określa ustawa o ochronie danych osobowych wraz z aktami wykonawczymi. Transferując dane osobowe należy jednak pamiętać o specyfice takiego działania i szczególnych wymogach dotyczących legalności transferu danych. Chodzi tutaj o rozdział 7 ustawy o ochronie danych osobowych, a więc o art. 47 i 48.

Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
1a. Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.
3.
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,  Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6) dane są ogólnie dostępne.

 

Art. 48. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

 

Należy zwrócić uwagę, że przytoczone powyżej normy dotyczą tylko podstawy legalności transferu danych osobowych i nie regulują żadnych innych obowiązków administratora danych, które byłyby związane z transferem danych. Z punktu widzenia ustawodawcy, istotne było objęcie przekazania danych do państwa trzeciego taką regulacją, która w sposób generalny będzie mogła zapobiec przekazywaniu danych osobowych do państw, które nie zapewniają należytej ochrony danych osobowych. Oczywiście automatycznie pojawia się pytanie, jaki to jest ten należyty poziom ochrony danych osobowych i według naszej ustawy o ochronie danych osobowych jest to poziom określony przez … ustawą o ochronie danych osobowych. Koło się zamyka. Warto pewnie zastanowić się, czy ustawa faktycznie należycie chroni dane osobowe w czasie transferu poza EOG, ale zostawimy ten temat na któryś kolejny artykuł.

 

Zatem jeśli rozdział 7 nie reguluje kwestii związanych z obowiązkiem informacyjnym, odpowiedzi na pytanie naszego Czytelnika należy szukać w art. 24 lub 25 ustawy o ochronie danych osobowych. Ustawodawca dość sprytnie wkomponował instytucję transferu danych osobowych do państwa trzeciego w ramy „standardowych” obowiązków i narzędzi administratora danych. Sam transfer danych należy więc zawsze rozpatrywać w oparciu o jedną z dwóch instytucji przewidzianych przez ustawę o ochronie danych osobowych, a dotyczącą przekazywania danych osobowych. Transfer o którym mowa będzie zatem albo oparty o art. 31 ustawy o ochronie danych osobowych i będzie służył do realizacji zawartej umowy powierzenia przetwarzania danych osobowych, albo o art. 23 lub 27 ustawy o ochronie danych osobowych i w takim wypadku z kolei zastosowanie będzie miała instytucja udostępnienia danych osobowych.

 

Analizując pierwszą z wymienionych sytuacji, administrator danych nie ma obowiązku informować osoby, których dane osobowe, o tym, że przetwarzanie ich danych osobowych zostało powierzone na rzecz podmiotu trzeciego oraz, iż podmiot trzeci będzie przetwarzał dane osobowe w państwie trzecim. Jedynym wyjątkiem od ww. zasady jest rejestr zbiorów danych osobowych, w którym, jeśli administrator danych transferuje w ramach powierzenia przetwarzania dane osobowe ze zbioru danych podlegającemu obowiązkowi rejestracji, jest obowiązany w zgłoszeniu zbioru do GIODO, w odpowiedniej rubryce umieścić informację o procesorze oraz o państwie trzecim, do którego dane są transferowane.

 

Jeżeli dane osobowe przekazywane są z kolei w ramach instytucji udostępnienia danych osobowych, administrator danych również jest obowiązany w zgłoszeniu zbioru danych do GIODO, który podlega obowiązkowi rejestracji, zawrzeć informację na temat odbiorców danych oraz przekazywania danych do państw trzecich. W praktyce, jeśli podstawą udostępnienia danych osobowych będzie art. 23 ust. 1 pkt 1 lub art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych, osoba, której dane dotyczą, będzie wyrażała zgodę na udostępnienie danych, a zgoda na udostępnienie (przetwarzanie), powinna być zawsze oświadczeniem woli osoby, dobrze poinformowanej o skutkach złożonego oświadczenia. Będzie to z reguły oznaczało, że w przypadku udostępnienia danych, administrator danych powinien poinformować osobę, której dane dotyczą, o celu, zakresie i dokładnych informacjach rejestrowych dot. odbiorcy danych ulokowanego w państwie trzecim.

 

Analiza art. 24 i 25 ustawy o ochronie danych osobowych prowadzi z kolei do wnioski, że przepisy te mają zastosowanie tylko do sytuacji „zbierania danych” a niech późniejszego przekazywania i różnią się od siebie tylko momentem dopełnienia obowiązku informacyjnego (art. 24 – natychmiast po zebraniu , art. 25 – natychmiast po utrwaleniu danych).

 

Podsumowując, w przypadku przekazywania danych osobowych do państwa trzeciego administrator danych nie musi stosować art. 24 i 25 ustawy o ochronie danych osobowych (zakładając, że przekazywać będzie dane osobowe, które już wcześniej zebrał), jednak w przypadku udostępnienia i powierzenia przetwarzania, w przypadku obowiązku rejestracji zbioru danych, informacje na temat przekazywania danych do państwa trzeciego będą musiały zostać zawarte w zgłoszeniu zbioru danych. Należy również pamiętać, że w przypadku stosowania art. 23 ust. 1 pkt 1, art. 27 ust. 2 pkt 1 i art. 47 ust. 3 pkt 1 ustawy o ochronie danych osobowych, osoba wyrażająca zgodę na udostępnianie / przekazywanie danych, powinna być poinformowana o skutkach wyrażenia ww. zgody. Obowiązek przekazania informacji o transferze danych do państwa trzeciego (szczególnie w sytuacji, gdy mamy do czynienia z udostępnieniem danych), można wyinterpretować z ogólnych zasad dot. przetwarzania danych osobowych takich jak:
Art. 36.1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Każdy administrator danych powinien mieć również świadomość, że każda osoba której dane dotyczą, może zwrócić się z wnioskiem o uzyskanie informacji na temat sposobu przetwarzania danych osobowych w oparciu o art. 32 i 33 ustawy o ochronie danych osobowych i na tej podstawie żądać uzyskania od administratora danych określonych informacji na temat przekazywania danych m.in. do państwa trzeciego.