Sortuj wg
Najnowszej
Najpopularniejszej
Autorzy:

Jak legalnie transferować dane w ramach własnej organizacji

D

Data: 2018-03-14

W psychoterapii mówi się, że pierwszym krokiem do wyzdrowienia jest uświadomienie sobie istnienia problemu. Przy wdrożeniach RODO jest bardzo podobnie, co szczególnie widać w przypadku transferów danych osobowych poza Europejski Obszar Gospodarczy, a zatem każdego przypadku, gdy dane osobowe trafiają do państw trzecich. Od fazy zaprzeczenia („my nie transferujemy żadnych danych!”), poprzez fazę paniki i załamania („dostaniemy karę albo zabijemy biznes!”), kierownictwo mobilizuje się i decyduje się wdrożyć odpowiednie instrumenty. 

Zagadnienie staje się jednak jeszcze bardziej skomplikowane, gdy przekazanie następuje w ramach jednej i tej samej organizacji – a więc np. w przypadku gdy spółka przechowuje dane na serwerach znajdujących się poza obszarem EOG lub umożliwia dostęp do swoich baz danych pracownikom oddziału spółki, zlokalizowanego na Ukrainie czy Mołdawii. Oczywiście podstawa prawna takiego szczególnego rodzaju przekazania będzie za każdym razie zależeć od konkretnego przypadku i szeregu różnych okoliczności; warto jednak przyjrzeć się w tym kontekście dostępnym instrumentom transferowym. 

Dlaczego standardowe instrumenty transferowe mogą  nie zadziałać

Większość przewidzianych w RODO instrumentów legalizujących transfer poza Europejski Obszar Gospodarczy zostało zaprojektowanych, co do zasady, na przypadki przekazywania danych między odrębnymi podmiotami, samodzielnymi przynajmniej w sensie organizacyjnym i prawnym. 

Wiążące reguły korporacyjnestanowią instrument znajdujący zastosowanie, zgodnie z definicją, w ramach grupy przedsiębiorstw. Możliwość zastosowania BCR w ramach jednej i tej samej organizacji nie jest zatem całkowicie jednoznaczna. Jak się jednak wydaje, ze względów celowościowych zastosowanie tego instrumentu w ramach jednego przedsiębiorstwa powinno zostać uznane za dopuszczalne w przypadku transferu do jego jednostki organizacyjnej poza granicami EOG (np. oddziału czy przedstawicielstwa). Większe wątpliwości może budzić zastosowanie BCR do przypadków przetwarzania danych w państwie trzecim, jednak nie przez jednostkę organizacyjną, a jedynie poprzez wykorzystanie zlokalizowanej tam infrastruktury – niemniej także i w tych wypadkach praktyka dopuszczała oparcie się na wiążących regułach, jako na stosownym instrumencie transferowym. 

Z kolei standardowe klauzule umowne, z natury rzeczy znajdują zastosowanie w odniesieniu do relacji kontraktowych między dwoma samodzielnymi podmiotami i zaprojektowane są w celu zabezpieczenia relacji administrator-administrator lub administrator-procesor. Z tego względu instrument  ten nie może być, jak się wydaje, wykorzystany przez przedsiębiorcę eksportującego dane w ramach jednej i tej samej organizacji (np. poza EOG do własnego oddziału lub przedstawicielstwa czy też na własny serwer.

To może kodeks?

RODO przewiduje możliwość eksportu danych także w przypadku stosowania kodeksu postępowania lub mechanizmu certyfikacji, zapewniającego nałożenie na odbiorcę danych w państwie trzecim wiążących i egzekwowalnych zobowiązań związanych z zapewnieniem odpowiednich zabezpieczeń. Powstaje zatem pytanie, czy możliwe będzie – oczywiście, gdy w państwach członkowskich zaczną funkcjonować powyższe rozwiązania – ich stosowanie do transferów danych również wewnątrz własnej organizacji. Celowościowa wykładnia przepisów zdaje się potwierdzać powyższe – skoro odpowiednie stosowanie mechanizmu certyfikacji lub kodeksu postępowania uprawnia podmiot do przekazania danych administratorowi lub procesorowi w państwie trzecim pod warunkiem nałożenia na niego konkretnych zobowiązań kontraktowych, tym bardziej za dopuszczalne należałoby uznać przepływy danych w ramach tej samej organizacji, zapewniającej odpowiednie zabezpieczenia, wynikające ze stosowania powyższych mechanizmów prawnych. 

A jeśli nie kodeks, to co?

Kolejne zagadnienie wymagające rozstrzygnięcia, dotyczy rozwiązań jakimi dysponuje przedsiębiorstwo w przypadku, gdy – z różnych względów – nie ma możliwości skorzystania z mechanizmu certyfikacji ani oparcia się na kodeksie postępowania. Katalog wyjątków przewidziany przez RODO nie jest zbyt szeroki – należą do niego (przede wszystkim): wyraźna zgoda podmiotu danych, niezbędność przekazania do wykonania umowy oraz obwarowany szeregiem dodatkowych ograniczeń uzasadniony interes administratora. Skorzystanie z każdej z powyższych przesłanek wiąże się jednak z istotnymi komplikacjami, a możliwość ich zastosowania zależeć będzie oczywiście, od konkretnych okoliczności.

Zgoda podmiotu danych jako podstawa prawna przekazania danych może sprawdzić się w przypadku transferów okazjonalnych. W odniesieniu do stosunków charakteryzujących się brakiem faktycznej równości stron (przede wszystkim stosunku pracowniczego) możliwość wyrażenia skutecznej zgody na transfer należy, co do zasady wykluczyć. Jak się wydaje, taką skuteczną zgodę można natomiast uzyskać w przypadku stosunków dwustronnie profesjonalnych (np. w przypadku, gdy przedsiębiorca przechowuje dane osobowe swoich kontrahentów na zagranicznych serwerach albo w chmurze). W praktyce jednak uzyskiwanie takiej zgody może okazać się wysoce niepraktyczne lub wręcz niemożliwe do biznesowego wdrożenia. 

Jak się wydaje, sama okoliczność zlokalizowania infrastruktury służącej do przetwarzania danych poza obszarem EOG nie może stanowić argumentu za uznaniem transferu za niezbędny do wykonania umowy z podmiotem danych. W świetle stanowiska Grupy Roboczej Art. 29, przesłanka niezbędności powinna być interpretowana ściśle. Techniczne uwarunkowania po stronie administratora lub podmiotu przetwarzającego, mogą tymczasem stanowić raczej o przydatności transferu, niż jego niezbędności do wykonania umowy. Takie okoliczności nie będą także mogły uzasadnić transferu w przypadku wykonywania umów innych, niż zawartych z podmiotem danych lub w jego interesie. 

Pozostaje pytanie, czy uzasadniony interes administratora może stanowić podstawę przekazywania danych w ramach tej samej organizacji. RODO wyraźnie przewiduje, że może on znaleźć zastosowanie, gdy nie jest możliwe powołanie się na inne instrumenty legalizujące transfer, w tym na wiążące reguły korporacyjne. Wydawać by się zatem mogło, że ta przesłanka została zaprojektowana właśnie w celu zabezpieczenia tego rodzaju okoliczności. Niestety, została ona ograniczona szeregiem dodatkowych warunków, z których najistotniejszym jest zapewnienie, że transfer nie może mieć charakteru powtarzalnego (repetitive character). Do pomyślenia jest wprawdzie argumentacja, zgodnie z którą umożliwienie stałego dostępu do danych poza EOG (czy to przez zdalny dostęp do bazy danych zlokalizowanej w UE przez pracowników oddziału spółki w państwie trzecim, czy to przez zlokalizowanie danych na infrastrukturze posadowionej w państwie trzecim), nie ma charakteru powtarzalnego. Wydaje się jednak prawdopodobne zarzucenie takiemu rozumowaniu, że stanowi próbę obejścia regulacji, wprowadzającej raczej wyjątek od reguły, niż zasadę postępowania. Oczywiście, nie wyklucza to możliwości oparcia się na przesłance uzasadnionego interesu w innych, niż wskazane wyżej, przypadkach przekazywania danych wewnątrz organizacji. 

Odrębne zezwolenie?

Wobec powyższych ograniczeń i komplikacji, w szczególności tak długo, jak długo brak jest praktycznego wdrożenia instytucjonalnych rozwiązań w postaci kodeksów postępowania i mechanizmów certyfikacji, kolejnym możliwym do rozważenia jest oparcie transferów o zezwolenie wydane przez właściwy organ nadzorczy w oparciu  o art. 46 ust. 3 RODO. Przepis ten przewiduje możliwość zapewnienia przez administratora odpowiednich zabezpieczeń w inny sposób niż wymienione w przepisach Rozporządzenia, pod warunkiem uzyskania zezwolenia organu nadzorczego. Wprawdzie katalog zabezpieczeń, o którym mowa w tym przepisie, wskazuje raczej na ich kontraktowy lub quasi-kontraktowy charakter, co wskazywałoby na możliwość ich stosowania w przypadku relacji co najmniej dwustronnych. Jednocześnie z uwagi na otwarty charakter przedmiotowego wyliczenia, możliwe do obrony jest twierdzenie o dopuszczalności określenia warunków i zasad transferu danych wewnątrz jednej i tej samej organizacji, podlegającego zezwoleniu organu. Stosowna decyzja mogłaby mieć wówczas charakter warunkowy i wskazywałaby jasne granice, w jakich zezwolone jest przekazywanie danych osobowych do państwa trzeciego, w ramach struktury organizacyjnej jednego  podmiotu.    

A może to po prostu nie jest transfer?

Wypada wreszcie nadmienić, że alternatywną – choć raczej ryzykowną – ścieżką postępowania może być przyjęcie przez administratora (czy też podmiot przetwarzający), że przepływy danych wewnątrz jednej organizacji nie skutkują transferem danych w rozumieniu RODO, choćby w ich ramach dane faktycznie znalazły się poza Europejskim Obszarem Gospodarczym. Za takim podejściem można próbować formułować pewne argumenty, z celowościowym na czele (np. poprzez powołanie się przede wszystkim na jednolicie obowiązujący w całej organizacji poziom zabezpieczeń danych osobowych). Taka interpretacja była jednak dotychczas konsekwentnie odrzucana w literaturze przedmiotu, w której podkreślano kluczowy dla zaistnienia transferu fakt dostępności danych poza konkretnie nakreślonymi granicami terytorialnymi, niezależnie od tego, czy do przekazania dochodzi w ramach organizacji czy też pomiędzy odrębnymi podmiotami. 

O tym, które z powyższych ujęć przekona organ nadzorczy i sądy administracyjne, pewnie przyjdzie nam się przekonać w najbliższych latach….