Nowe Rozporządzenie UE o ochronie danych osobowych – Rozdział V (odc. 6/10)

Komentarzy (0) Biznes, porady ekspertów

Prezentujemy Państwu kolejną część analizy Rozporządzenia Parlamentu i Rady UE 2016/679 ujednolicającego zasady ochrony danych osobowych w Unii Europejskiej (General Data Protection Resolution; GDPR). W niniejszym cyklu chcielibyśmy zaprezentować kluczowe regulacje objęte tym aktem prawnym, gdyż już od maja 2018 roku każdy administrator danych osobowych będzie zobowiązany stosować je bezpośrednio, niezależnie od postanowień aktów prawa krajowego.

Rozdział V GDPR zawiera omówienie problematyki związanej z przekazywaniem danych osobowych do państw trzecich lub organizacji międzynarodowych. Rozdział ten, oprócz ogólnych zasad przekazywania danych, zwraca uwagę na szczególne rodzaje podstaw do powierzenia informacji innemu podmiotowi. W niniejszym opracowaniu postaramy się omówić jak Rozporządzenie GDPR ogranicza ujawnianie oraz przekazywanie danych osobowych do „państw trzecich”, tj. poza Europejski Obszar Gospodarczy, i do organizacji międzynarodowych.

Tytułem wstępu należałoby przypomnieć, iż Rozporządzenie wprowadza szereg przepisów, które w dużym skrócie można określić jako zapewniające bezpieczeństwo przetwarzania danych osobowych, kształtując przede wszystkim uprawnienia po stronie osób fizycznych. Stąd też ustawodawca bezpośrednio w art. 44 GDPR wskazuje, iż wszystkie przepisy rozdziału V należy stosować z myślą o zagwarantowaniu pewnego stopnia ochrony danych osób fizycznych, bezpośrednio wskazanych w GDPR. Z całą pewnością chodzi tutaj przede wszystkim o główną zasadę przetwarzania danych, zgodnie z którą, proces ten ma być prowadzony „rzetelnie i w sposób przejrzysty”.

Od momentu wejścia GDPR Komisja będzie miała prawo stwierdzić, że konkretne państwo trzecie, terytoria lub sektory tego państwa albo organizacja międzynarodowa zapewniają odpowiedni stopień ochrony przekazywania danych.

Komisja, dokonując takiej oceny, będzie uwzględniała przede wszystkim następujące elementy:

  • praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe;
  • istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych;
  • międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.

Po dokonaniu oceny Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że odpowiedni system ochrony jest zapewniony przez dany podmiot. W tego typu akcie przewidziany będzie mechanizm okresowego przeglądu (przynajmniej raz na cztery lata), podczas którego uwzględnione będą wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej.

Komisja od teraz będzie pełniła wiele funkcji. Rozpoczynając od bieżącego monitoringu zmian w państwach lub organizacjach międzynarodowych, dla których wydała pozytywną decyzję, poprzez uchylenie, zmianę lub zawieszenie decyzji, a kończąc na podejmowaniu konsultacji w celu sanacji sytuacji w określonym podmiocie.

Komisja publikuje w Dzienniku Urzędowym UE i na swojej stronie internetowej wykaz państw trzecich, co do których podjęła decyzje stwierdzające odpowiedni stopień ochrony. Obecnie na liście krajów spełniających wskazane wymogi znajdują się m.in. Andora, Argentyna, Australia, Izrael, Kanada, Nowa Zelandia. Warto w tym miejscu wspomnieć, iż nie obowiązuje już zatwierdzony poprzednio przez Komisję amerykański program „Safe Harbor”, a w jego miejsce powołano program „Privacy Shield”, który ma umożliwić wysyłanie danych do USA.

W przypadku braku decyzji, o której mowa powyżej, przekazywanie danych będzie nadal możliwe, jednak wyłącznie pod warunkiem zapewnienia odpowiednich zabezpieczeń oraz obowiązywania egzekwowalnych praw osób, których dane dotyczą. Rozporządzenie precyzuje w jaki sposób państwa trzecie lub organizacje międzynarodowe mogą zapewnić taką ochronę.

Zgodnie z treścią kolejnego artykułu GDPR, grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą może korzystać z zatwierdzonych wiążących reguł korporacyjnych. Niezwykle istotne jest, że po raz pierwszy wiążące reguły mogą zostać zastosowane wobec podmiotów, które nie należą do grupy kapitałowej, a podejmują wspólne działania gospodarcze. Wiążące reguły muszą ujmować wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia, szczegółowo scharakteryzowane w Rozporządzeniu.

Przekazanie danych osobowych do państwa trzeciego w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń będzie nadal możliwe. Rozporządzenie przyzwala na taki transfer w szczegółowo opisanych, wyjątkowych okolicznościach.

Z treści GDPR możemy odczytać następujące przesłanki tego typu rozdysponowania danymi, jak: zgoda na ryzyko, niezbędność do wykonania zawartej umowy (z osobą, której dane dotyczą, a także w jej interesie), niezbędność ze względu na ważny interes publiczny, niezbędność ze względu na posiadane roszczenia, niezbędność do ochrony żywotnych interesów oraz przekazanie z publicznego rejestru, dostępnego po wykazaniu interesu prawnego.

Dodatkowo, samo przekazanie danych na takich warunkach będzie następowało wyłącznie w ściśle wskazanych przypadkach. Będzie to miało miejsce, gdy przekazanie: nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez Administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności podmiotu danych, a Administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Wskazane wyżej przesłanki rodzą po stronie Administratora Danych liczne obowiązki. Będzie on bowiem obowiązany poinformować organ nadzorczy o przekazaniu danych. Podczas tej procedury, oprócz standardowych obowiązków informacyjnych, Administrator będzie musiał podać podmiotowi danych informacje dotyczące przekazania i o ważnych, prawnie uzasadnionych interesach realizowanych przez niego.

Administrator Danych lub podmiot przetwarzający musi dokumentować ocenę oraz odpowiednie zabezpieczenia danych osobowych w tzw. „rejestrach czynności przetwarzania”.

Co więcej, w razie braku decyzji stwierdzającej odpowiedni stopień ochrony prawo Unii lub prawo państwa członkowskiego może, z uwagi na ważne względy interesu publicznego, nakładać ograniczenia na przekazywanie konkretnych kategorii danych osobowych. Co ważne, państwa członkowskie muszą powiadomić Komisję o takich przepisach, co świadczy o szerokim zakresie kontroli prowadzonej przez instytucje UE.

Przechodząc zaś do ostatniego artykułu niniejszego rozdziału, poświęcony jest on międzynarodowej współpracy na rzecz ochrony danych osobowych pomiędzy Komisją i organami nadzorczymi wobec państw trzecich i organizacji międzynarodowych. Celem działania wyżej wskazanych instytucji ma być wypracowanie mechanizmów ułatwiających skuteczne egzekwowanie przepisów o ochronie danych osobowych, zapewnienie wzajemnej pomocy międzynarodowej, włączenie stosownych podmiotów w dyskusję, a także upowszechnienie wymiany i dokumentowania przepisów i praktyk w dziedzinie ochrony danych osobowych, w tym konfliktów jurysdykcyjnych z państwami trzecimi.

Podsumowując, należy wskazać, że obecnie obowiązujące regulacje w zasadzie pozostaną w mocy. Obecnie wszystkie państwa członkowskie gwarantują swoim obywatelom pewien minimalny poziom ochrony danych, ale warto pamiętać, że ten „minimalny poziom” jest z dużym prawdopodobieństwem najwyższym z obecnie stosowanych na świecie. Europejski ustawodawca zdawał sobie już wcześniej sprawę, że dane obywateli UE i tak będą trafiały do krajów o niższym standardzie ochrony prywatności, stąd tak wiele miejsca poświęca skonkretyzowaniu wymagań, jakie stawia się państwom trzecim oraz organizacjom międzynarodowym.

W następnej odsłonie omówimy Rozdział VI Rozporządzenia, dotyczący niezależnych organów nadzorczych w zakresie egzekwowania ochrony danych osobowych. W razie jakichkolwiek pytań lub gdyby byli Państwo zainteresowani uzyskaniem bardziej szczegółowych informacji o problematyce ochrony danych osobowych w przedsiębiorstwach, zapraszamy do kontaktu z prawnikami Putz | Skrobich Kancelarii Prawnej.

Roksana Lejpamer

Putz | Skrobich Kancelaria Prawna

ul. Ofiar Oświęcimskich 17, p. II, 50-069 Wrocław, Poland

tel. 71 780 01 75 | 516 822 671

www.ps-legal.pl

Udostępnij...Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *