Przekazywanie danych do państw trzecich – czy jest potrzebna zgoda GIODO?

Styczniowa nowelizacja Ustawy o ochronie danych osobowych poza nowym określeniem zadań administratora bezpieczeństwa informacji, nad którego powołaniem musi zastanowić się obecnie każdy przedsiębiorca, wprowadziła istotne zmiany w zakresie przekazywania danych osobowych do państw trzecich. 

Do końca 2014 r. za każdym razem, kiedy dane osobowe były przekazywane z Polski do państwa nienależącego do Europejskiego Obszaru Gospodarczego (czyli np. do USA), przedsiębiorca był zobowiązany uzyskać zgodę GIODO na taki transfer danych. Uzyskanie takiej zgody konieczne było także w sytuacji zawarcia przez administratora i odbiorcę danych umowy zawierającej standardowe klauzule umowne, które – na mocy decyzji Komisji Europejskiej – mają przymiot instrumentu prawnego chroniącego w odpowiednim stopniu prawa i wolności osoby.

Nowelizacja zwalnia administratora danych dokonującego transferu danych przy zastosowaniu niezmodyfikowanych standardowych klauzul umownych z obowiązku występowania do GIODO z wnioskiem o wyrażenie zgody na przekazanie danych. W ten sposób GIODO nie będzie musiał ponownie badać zasad przekazywania i ochrony danych osobowych wcześniej zatwierdzonych przez Komisję Europejską w ramach standardowych klauzul umownych.

Wyłączenie spod kontroli GIODO transferu danych na podstawie standardowych klauzul umownych nie oznacza oczywiście, że administrator zwolniony jest z innych wymogów prawnych dotyczących ochrony danych osobowych. Nie zmienia to również konieczności zapewnienia legalności przetwarzania danych przez ich zagranicznego odbiorcę, jeżeli ma on pełnić rolę administratora tych danych.

Dodatkowo, jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.

Tekst standardowych klauzul umownych można znaleźć na: 

• umowa do zastosowania w przypadku transferu danych administrator - administrator
• alternatywna wersja umowy do zastosowania w przypadku transferu danych administrator – administrator
• umowa do zastosowania w przypadku transferu danych administrator – przetwarzający
  (w rozumieniu art. 31 Ustawy o ochronie danych osobowych).

Zmiany pozwalają również na to, aby GIODO zatwierdzał tzw. wiążące reguły korporacyjne tj. wewnętrzne zasady postępowania w zakresie ochrony danych osobowych przyjmowane w ramach międzynarodowych korporacji.

Przyjęcie takich reguł do stosowania przez całą korporację będzie oznaczało, że wszyscy administratorzy danych należący do tej grupy kapitałowej będą mogli przekazywać między sobą dane osobowe bez uzyskiwania odrębnych zgód GIODO, jeżeli stosują te reguły.

Z uwagi na fakt, że rozwiązanie takie znane jest w innych krajach członkowskich UE, ustawa przewiduje, że GIODO przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa, GIODO może uwzględnić to rozstrzygnięcie, co zapewne istotnie ułatwi zatwierdzenie w Polsce reguł uprzednio zatwierdzonych w innym kraju UE.