Transfer danych osobowych

Jak robić to legalnie w ramach własnej organizacji ?

Transfer danych poza EOG. W psychoterapii mówi się, że pierwszym krokiem do wyzdrowienia jest uświadomienie sobie istnienia problemu. Przy wdrożeniach RODO jest bardzo podobnie.

Szczególnie widać w przypadku transferów danych osobowych poza Europejski Obszar Gospodarczy. Jest to każdy przypadek, gdy dane osobowe trafiają do państw trzecich.

Zaczyna się od fazy zaprzeczenia: „my nie transferujemy żadnych danych!”.

Idąc dalej – faza paniki i załamania: „dostaniemy karę albo zabijemy biznes!”.

Wreszcie akceptacja i działanie: management mobilizuje się i wdrożyć odpowiednie instrumenty.

Transfery wewnętrzne

Zagadnienie staje się jednak jeszcze bardziej skomplikowane, gdy przekazanie następuje w ramach jednej i tej samej organizacji. Dotyczy to np. sytuacji, gdy spółka przechowuje dane na serwerach znajdujących się poza obszarem EOG. Podobna sytuacja – spółka umożliwia dostęp do swoich baz danych pracownikom oddziału spółki spoza EOG (np. Ukraina, Mołdawii czy Dubaj). Każdy z tych przypadków jest inny, a rozwiązanie i podstawa prawna zależeć będzie od konkretnego przypadku i szeregu różnych okoliczności. Warto jednak przyjrzeć się w tym kontekście dostępnym instrumentom transferowym.

Transfer danych a standardowe instrumenty prawne. Dlaczego nie zawsze działają?

Mechanizmy RODO leglizujące transfer są nastawione raczej na transfery zewnętrzne. Zewnętrzne, a więc pomiędzy różnymi podmiotami prawa, np. od administratora do procesora lub pomiędzy administratorami. Co ważne, podmioty te powinny być samodzielne przynajmniej w sensie organizacyjnym i prawnym. W konsekwencji – mechanizmy RODO do transferu danych rzadko kiedy pasują one do transferów wewnętrznych.

BCR – Wiążące Regułu Korporacyjne

Wiążące reguły korporacyjne stanowią instrument znajdujący zastosowanie, zgodnie z definicją, w ramach grupy przedsiębiorstw. Możliwość zastosowania BCR w ramach jednej i tej samej organizacji nie jest zatem całkowicie jednoznaczna. Ze względów celowościowych zastosowanie tego instrumentu w ramach jednego przedsiębiorstwa powinno zostać uznane za dopuszczalne. Przykładem może być transfer danych, który trafia do innej jednostki organizacyjnej poza granicami EOG (np. oddziału czy przedstawicielstwa). Większe wątpliwości może budzić zastosowanie BCR do przypadków przetwarzania danych w państwie trzecimjedynie poprzez wykorzystanie zlokalizowanej tam infrastruktury. Wówczas nie mam mowy o żadnej odrębności organizacyjnej.

Co jednak ciekawe – także i w tych wypadkach praktyka dopuszczała oparcie się na wiążących regułach, jako na stosownym instrumencie transferowym.

SCC – Standardowe Klauzule Umowne

Z kolei standardowe klauzule umowne, z natury rzeczy znajdują zastosowanie w odniesieniu do relacji kontraktowych między dwoma samodzielnymi podmiotami i zaprojektowane są w celu zabezpieczenia relacji administrator-administrator lub administrator-procesor. Z tego względu instrument ten nie może być, jak się wydaje, wykorzystany przez przedsiębiorcę eksportującego dane w ramach jednej i tej samej organizacji (np. poza EOG do własnego oddziału lub przedstawicielstwa czy też na własny serwer.

To może kodeks?

Kodeks postępowania lub certyfikacja

RODO przewiduje możliwość eksportu danych także w przypadku stosowania kodeksu postępowania lub mechanizmu certyfikacji, zapewniającego nałożenie na odbiorcę danych w państwie trzecim wiążących i egzekwowalnych zobowiązań związanych z zapewnieniem odpowiednich zabezpieczeń. Powstaje zatem pytanie, czy możliwe będzie – oczywiście, gdy w państwach członkowskich zaczną funkcjonować powyższe rozwiązania – ich stosowanie do transferów danych również wewnątrz własnej organizacji.

Celowościowa wykładnia przepisów zdaje się potwierdzać powyższe – skoro odpowiednie stosowanie mechanizmu certyfikacji lub kodeksu postępowania uprawnia podmiot do przekazania danych administratorowi lub procesorowi w państwie trzecim pod warunkiem nałożenia na niego konkretnych zobowiązań kontraktowych, tym bardziej za dopuszczalne należałoby uznać przepływy danych w ramach tej samej organizacji, zapewniającej odpowiednie zabezpieczenia, wynikające ze stosowania powyższych mechanizmów prawnych.

Inne mechanizmy legalizujące

Kolejne zagadnienie wymagające rozstrzygnięcia, dotyczy rozwiązań jakimi dysponuje przedsiębiorstwo w przypadku, gdy – z różnych względów – nie ma możliwości skorzystania z mechanizmu certyfikacji ani oparcia się na kodeksie postępowania. Katalog wyjątków przewidziany przez RODO nie jest zbyt szeroki – należą do niego (przede wszystkim): wyraźna zgoda podmiotu danych, niezbędność przekazania do wykonania umowy oraz obwarowany szeregiem dodatkowych ograniczeń uzasadniony interes administratora. Skorzystanie z każdej z powyższych przesłanek wiąże się jednak z istotnymi komplikacjami, a możliwość ich zastosowania zależeć będzie oczywiście, od konkretnych okoliczności.

Zgoda podmiotu danych

Zgoda podmiotu danych jako podstawa prawna przekazania danych może sprawdzić się, jeżeli transfer danych jest okazjonalny. W odniesieniu do stosunków charakteryzujących się brakiem faktycznej równości stron (przede wszystkim stosunku pracowniczego) możliwość wyrażenia skutecznej zgody na transfer danych należy, co do zasady wykluczyć. Jak się wydaje, taką skuteczną zgodę można natomiast uzyskać w przypadku stosunków dwustronnie profesjonalnych (np. w przypadku, gdy przedsiębiorca przechowuje dane osobowe swoich kontrahentów na zagranicznych serwerach albo w chmurze). W praktyce jednak uzyskiwanie takiej zgody może okazać się wysoce niepraktyczne lub wręcz niemożliwe do biznesowego wdrożenia.

Niezbędność do wykonania umowy

Jak się wydaje, sama okoliczność zlokalizowania infrastruktury służącej do przetwarzania danych poza obszarem EOG nie może stanowić argumentu za uznaniem, że transfer danych jest niezbędny do wykonania umowy z podmiotem danych. W świetle stanowiska Grupy Roboczej Art. 29, przesłanka niezbędności powinna być interpretowana ściśle. Techniczne uwarunkowania po stronie administratora lub podmiotu przetwarzającego, mogą tymczasem stanowić raczej o przydatności transferu, niż jego niezbędności do wykonania umowy. Takie okoliczności nie będą także mogły uzasadnić transferu w przypadku wykonywania umów innych, niż zawartych z podmiotem danych lub w jego interesie.

Uzasadniony interes (własny czy cudzy?)

Pozostaje pytanie, czy uzasadniony interes administratora może stanowić podstawę przekazywania danych w ramach tej samej organizacji. RODO wyraźnie na to pozwala, gdy nie jest możliwe powołanie się na inne instrumenty legalizujące transfer., w tym na wiążące reguły korporacyjne. Wydawać by się zatem mogło, że ta przesłanka została zaprojektowana właśnie w celu zabezpieczenia tego rodzaju okoliczności. Niestety, możliwość jej użycia została ona ograniczona szeregiem dodatkowych warunków.

Najistotniejszym ograniczeniem jest zapewnienie, że transfer danych nie może mieć charakteru powtarzalnego (repetitive character).

To wymagałoby często swoistej gimnastyki retorycznej (ale czemu nie?). Przykładowo – powtarzalnego charakteru nie ma umożliwienie stałego dostępu do danych poza EOG. Dobrym przykładem jest zdalny dostęp do bazy danych zlokalizowanej w UE przez pracowników oddziału spółki w państwie trzecim. Taka ekwilibrystyka jest jednak bardzo ryzykowna i sprzeczna z sensem ograniczeń (zarzut próby obejścia prawa). Jeżeli jednak charakter powtarzalny dotyczy stricte tego znaczenia – jak najbardziej może być wykorzystywany.

Odrębne zezwolenie?

Powyższe ograniczenia i komplikacje prowadzą do swoistego patu. Warto rozważyć więc kolejny mechanizm: oparcie transferów o zezwolenie wydane przez właściwy organ nadzorczy w oparciu o art. 46 ust. 3 RODO. Przepis ten przewiduje możliwość zapewnienia przez administratora odpowiednich zabezpieczeń w inny sposób niż wymienione w przepisach Rozporządzenia.

„Jedynym” warunkiem jest uzyskania zezwolenia organu nadzorczego. Katalog wymaganych zabezpieczeń, o którym mowa w tym przepisie, wskazuje raczej na ich kontraktowy lub quasi-kontraktowy charakter. To z kolei wskazywałoby na możliwość ich stosowania w przypadku relacji co najmniej dwustronnych (a nie jednostronnych wewnętrznych). Jednocześnie nie istnieje wprost zakaz uzyskiwania takiej zgody. Wyliczenie ma charakter otwarty, a więc można bronić tezy o dopuszczalności określenia warunków i zasad transferu danych wewnątrz jednej organizacji.

Stosowna decyzja mogłaby mieć wówczas charakter warunkowy i wskazywałaby jasne granice legalności trasferu danych w ramach struktury organizacyjnej jednego podmiotu.

A może to po prostu nie jest transfer?

Wypada wreszcie nadmienić, że istnieje alternatywna – choć raczej ryzykowna i rekomendowana w bardzo nielicznych sytuacjach – ścieżka postępowania. Jest ona ryzykowna, ale bywa stosowana. Polega na przyjęciu, że pomimo przekroczenia przez dane granic EOG, takie przepływy wewnątrz jednej organizacji nie skutkują transferem danych w rozumieniu RODO.

Główny argument celowościowy za tym rozwiązaniem: powołanie się przede wszystkim na jednolicie obowiązujący w całej organizacji poziom zabezpieczeń danych osobowych. Taka interpretacja była jednak dotychczas konsekwentnie odrzucana w literaturze przedmiotu.

Argumentem przeciwnym było, że dla zaistnienia transferu wystarczy fakt dostępności danych poza konkretnie nakreślonymi granicami terytorialnymi. Nie ma wtedy znaczenia, czy do przekazania dochodzi w ramach organizacji czy też pomiędzy odrębnymi podmiotami.

O tym, które z powyższych ujęć przekona organ nadzorczy i sądy administracyjne, pewnie przyjdzie nam się przekonać w najbliższych latach….


Zobacz inne artykuły Małgorzaty Kurowskiej