Styczeń 2016 issn 2391-5781 nr 2 OCHRONA DANYCH OSOBOWYCH Aktualności, Orzecznictwo, Studia przypadków, Opracowania Transfer danych do USA po wyroku ws. Schrems Standardowe klauzule umowne i prawnie wiążące reguły Transfer danych osobowych do państwa trzeciego w rodo
SPIS TREŚCI Spis treści TEAMT NUMERU Transfer danych do USA po wyroku w sprawie Schrems....................... 4 Xawery Konarski AKTUALNOŚCI Sytuacja po wyroku w sprawie przekazywania danych do USA.................. 7 Michał Bienias Przekazywanie danych do państw trzecich wprowadzenie................... 10 Grzegorz Sibiga Standardowe klauzule umowne i prawnie wiążące reguły..................... 13 dr Jan Byrski Dozwolony transfer danych do państw trzecich przykłady................... 17 Leszek Sytniewski Transfer danych osobowych do państwa trzeciego w rodo.................... 20 Michał Bienias OCHRONA DANYCH OSOBOWYCH 141 STYCZEŃ 2016
LIST OD REDAKTORA Drodzy Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W kolejnym numerze specjalnym miesięcznika Ochrona danych osobowych prezentujemy Państwu omówienia najważniejszych kwestii związanych z aktualnymi tematami z zakresu ochrony danych osobowych przygotowane przez ekspertów z Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy. Tematem przewodnim tego wydania są konsekwencje prawne wyroku Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie Maximiliana Schrems przeciwko Data Protection Commissioner (C-362/14). Trybunał stwierdził w nim nieważność decyzji Komisji Europejskiej w sprawie tzw. bezpiecznej przystani. Oznacza to poważne konsekwencje dla administratorów danych osobowych, którzy dokonują transferu danych osobowych do państw trzecich. Eksperci z Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy analizują m.in., jakie w obecnej sytuacji są legalne możliwości przekazania danych osobowych do państwa trzeciego. Doktor Jan Byrski przedstawia temat standardowych klauzul umownych i wiążących reguł korporacyjnych, które po wyroku Trybunału Sprawiedliwości UE są najszybszym sposobem transferu danych osobowych do Stanów Zjednoczonych, a dodatkowo nie wiążą się z żadnymi obowiązkami publicznoprawnymi. W ostatnim artykule omówiony został też transfer danych osobowych do państw trzecich w projektowanym ogólnym rozporządzeniu Parlamentu Europejskiego i Rady o ochronie danych osobowych, które przewiduje nowe rozwiązania w tej sprawie. Życzę owocnej lektury! PATRONAT MERYTORYCZNY XAWERY KONARSKI DR GRZEGORZ SIBIGA adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska adwokat w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie OCHRONA DANYCH OSOBOWYCH 142 STYCZEŃ 2016
WWW.ODO.WIP.PL Przekazywanie danych osobowych do państw trzecich Xawery Konarski adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska DR Grzegorz Sibiga adwokat w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie Znajdujący się przed Państwem numer czasopisma został w całości poświęcony przekazywaniu danych osobowych do państw trzecich. Stało się tak z trzech powodów, które znajdują odzwierciedlenie w problematyce poruszanej w tekstach. Pierwszym jest przełomowy wyrok Trybunał Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362/14). Stwierdzono w nim nieważność decyzji Komisji Europejskiej z 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w programie bezpiecznej przystani przez USA. Poza tym wskazano uprawnienia organów państw członkowskich UE w ramach mechanizmów legalizujących ponadgraniczny transfer danych. W numerze szczegółowo omawiamy ten temat, m.in. przedstawiając okoliczności sprawy, uzasadnienie i znaczenie wyroku oraz sytuację prawną po jego wydaniu. Drugim powodem zajęcia się tą problematyką są istotne zmiany w zasadach przekazywania danych osobowych do państwa trzeciego zawartych w ustawie o ochronie danych osobowych po jej nowelizacji z 7 listopada 2014 r. Do polskiego porządku prawnego bezpośrednio wprowadzono standardowe klauzule umowne określone decyzjami Komisji Europejskiej oraz wiążące reguły korporacyjne i polityki ochrony danych osobowych. Wreszcie nowe zasady przekazywania danych osobowych do państw trzecich ustala się w pakiecie reformującym ochronę danych osobowych w Unii Europejskiej. Dlatego też w numerze przedstawiliśmy regulacje zaproponowane w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych). Biorąc pod uwagę wspomniane trzy aspekty, staraliśmy się zaprezentować w numerze możliwe, jak najbardziej kompleksowe wyjaśnienia obecnego stanu prawnego dotyczącego transgranicznego transferu danych. Zapraszamy do lektury! OCHRONA DANYCH OSOBOWYCH 143 STYCZEŃ 2016
WWW.ODO.WIP.PL Transfer danych do USA po wyroku w sprawie Schrems 6 listopada 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok (C-362/14) w związku z zapytaniem prejudycjalnym skierowanym przez sąd irlandzki rozpatrujący spór pomiędzy Maximilianem Schremsem a irlandzkim organem do spraw ochrony danych osobowych. Z uwagi na unieważnienie mechanizmu Safe Harbor ( bezpieczna przystań ), ma on fundamentalne znaczenie dla podmiotów dokonujących w oparciu o tę podstawę prawną transferów danych osobowych do USA. Safe Harbor podstawą transferu danych do USA Podstawową przesłanką legalizującą przekazanie danych osobowych do państwa trzeciego jest zapewnienie, aby państwo docelowe zapewniało na swoim terytorium odpowiedni poziom ochrony (art. 47 ust. 1) 1. Z punktu widzenia minimalizacji ryzyka prawnego przez administratora danych osobowych, najbezpieczniejsze jest przekazanie danych osobowych do państwa, w którym adekwatność ochrony została potwierdzona decyzją Komisji Europejskiej 2. Decyzje takie wiążą bowiem organy ochrony danych osobowych w poszczególnych państwach członkowskich 3. Podstawą materialnoprawną ich wydania jest art. 25 ust. 6 Dyrektywy 95/46/ WE. Procedura ich podejmowania jest natomiast określona w art. 31 ust. 2 dyrektywy. Do chwili obecnej Komisja Europejska ( KE ) wydała 12 decyzji potwierdzających adekwatność ochrony danych osobowych w państwie trzecim. Spośród nich największe znaczenie 1 W przepisie art. 47 ust. 1 wprowadzono wymóg adekwatności ochrony (adequate protection) w państwie trzecim. Odróżnić należy od niego wymóg adekwatności zabezpieczeń (adequate safeguards) w państwie trzecim niespełniającym wymogu adekwatności ochrony. 2 W świetle przepisów dyrektywy istnieje możliwość wydania zarówno pozytywnych (tzw. whitelisting), jak i negatywnych decyzji (tzw. blacklisting). Jak do tej pory Komisja Europejska nie skorzystała jednak z tej drugiej możliwości. 3 Tak również przyjął Generalny Inspektor Ochrony Danych Osobowych. Por. wyjaśnienia Generalnego Inspektora Ochrony Danych Osobowych zawarte w dokumencie Zasady przekazywania danych osobowych do państw trzecich. XAWERY KONARSKI adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska praktyczne odgrywała decyzja nr 520/2000/EC z 26 lipca 2000 r. dotycząca transferu danych osobowych do Stanów Zjednoczonych. Jej wydanie było konieczne, ponieważ Stany Zjednoczone nie mają jednego systemu ochrony danych osobowych 4. Brak jest więc możliwości uznania adekwatności ochrony z uwagi na przepisy prawa obowiązujące w tym państwie. Z tych względów ustanowiono system dobrowolnego zobowiązania się przez odbiorców danych ze Stanów Zjednoczonych do przestrzegania podstawowych zasad ochrony danych osobowych określonych w Dyrektywie 95/46/WE. Zgodnie z powyższą decyzją Komisji Europejskiej, ich przestrzeganie zapewnia adekwatną ochronę w rozumieniu art. 25 dyrektywy. Zasady te zostały ujęte w wypracowanym przez Komisję Europejską oraz Departament Handlu Stanów Zjednoczonych dokumencie określanym jako tzw. zasady bezpiecznej przystani (safe habour privacy principles) 5. Organizacje ze Stanów Zjednoczonych, które chcą skorzystać z takiego potwierdzenia adekwatności, powinny zobowiązać się do przestrzegania zasad bezpiecznej przystani 6. Zobowiązanie to odbywa się poprzez oficjalne powiadomienie Departamentu Handlu Stanów 4 Ochrona ta jest zapewniana poprzez różnego rodzaju regulacje sektorowe czy też samoregulacje. 5 Zasady te zostały skonkretyzowane w kolejnym dokumencie określanym jako Frequent Asked Questions (FAQ), któremu towarzyszy memorandum wyjaśniające stosowanie (wdrożenie) tych zasad. 6 Dobrodziejstwo adekwatności ochrony nie dotyczy więc generalnie transferu danych osobowych do Stanów Zjednoczonych, ale tylko przekazywania danych osobowych do podmiotów, które zobowiązały się do przestrzegania zasad bezpiecznej przystani. OCHRONA DANYCH OSOBOWYCH 14 STYCZEŃ 2016