Bazy danych mają często globalny charakter
2016-07-14
Istotnym elementem kooperacji firm jest wspólne przechowywanie danych osobowych kontrahentów lub pracowników, które administrowane są przez jednostki wyspecjalizowane w ramach grupy kapitałowej.
Referendum w Wielkiej Brytanii oraz łagodzące jego wynik dyskusje bezpośrednio po nim potwierdziły, że relacje ekonomiczne są silniejsze od politycznych. Jeżeli nawet Wielka Brytania opuści Unię Europejską, powiązania gospodarcze się utrzymać. Jest to konsekwencja globalizacji gospodarki, którą obserwujemy od lat. Jednym z przejawów tego zjawiska jest funkcjonowanie sieci powiązanych podmiotów gospodarczych nie tylko w różnych krajach, ale na różnych kontynentach, tj. w różnych obszarach prawnych i ekonomicznych świata. Więzy ekonomiczne wykształciły rozwiązania prawne na razie skuteczniejsze od traktatów politycznych. Poniżej omówione zostały przykład wskazania regulacji unijnej-dyrektywy, jako jednej (ale nie jedynej) z form współpracy polskich podmiotów z partnerami zagranicznymi.
Zarządzanie bazami
Sieci przedsiębiorców zatrudniają pracowników oraz współpracują ze swoimi kontrahentami, zarówno w Europie, jak i na innych kontynentach. Jednym z niezwykle istotnych elementów takiej kooperacji jest wspólne przechowywanie danych osobowych kontrahentów lub pracowników zatrudnionych, czy to w sieciach handlowych, czy zakładach produkcyjnych, administrowanych przez jednostki wyspecjalizowane w ramach grupy kapitałowej. Konsekwencją globalizacji jest bowiem specjalizacja w ramach grup kapitałowych polegająca na zarządzaniu bazami danych.
W Polsce ochrona danych osobowych uregulowana jest w ustawie z 29 sierpnia 1997 roku. Jedną z podstawowych regulacji uwzględniającej zjawisko globalizacji gospodarki jest jej rozdział siódmy poświęcony przekazywaniu danych osobowych do państwa trzeciego. Ustawa posługuje się dość ogólnym stopniem definicji zarówno danych osobowych (przez „zbiór danych osobowych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym”), jak i wprowadza bardzo ogólne pojęcie „odpowiedniego poziomu ochrony danych osobowych”. Precyzując przepisy ustawy w tej kwestii, wypowiedział się Naczelny Sąd Administracyjny w wyroku z 18 listopada 2009 r. (IOSK 667/09). Sędziowie NSA uznali, że: „Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, mieszczą bowiem się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do jakich dostęp mają osoby trzecie.”
Przepis krajowe i unijne
Art. 47 ustawy o ochronie danych osobowych równie generalnie reguluje kwestie przekazywania zbiorów danych osobowych poza granice Polski posługując się sformułowaniem, że: przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Ta ogólność definicji przełamana jest w art. 48 gdzie ustawa, wyłącza konieczność uzyskania zgody generalnego inspektora danych osobowych (GIDO) na ich przekazanie do państwa trzeciego, jeżeli administrator danych osobowych zapewni odpowiednie zabezpieczenie w zakresie ochrony prywatności praw i wolności osoby. Jednym z nich jest wprowadzenie standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję Europejską, zgodnie z art. 26 ust. 4 Dyrektywy 95/46/ WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, ze zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, ze zm.). Innymi słowy, poprzez odwołanie do dyrektywy polski ustawodawca wskazał minimalny poziom ochrony danych osobowych wymaganych przy przekazywaniu zbiorów danych do państwa trzeciego.
Odwołanie do dyrektywy ma także skutek w stosunku do państw członkowskich jako państw trzecich w rozumieniu ustawy. W myśl Traktatu o funkcjonowaniu UE Dz. Urz. UE 2012/C 326/02: „dyrektywa wiąże każde Państwo Członkowskie, do którego jest kierowana, w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków” (art. 288). Adresatem dyrektywy koncesyjnej jest Rzeczpospolita Polska, a sama dyrektywa nie stanowi, co do zasady źródła praw i obowiązków w Polsce. Zgodnie z wyrokiem ETS z 19 stycznia 1982 r. w sprawie 8/81 „jeśli przepisy dyrektywy z punktu widzenia ich treści wydają się bezwarunkowe i wystarczająco precyzyjne, to wobec braku w wyznaczonych terminach przepisów wykonawczych jednostka może się na nie powołać wobec wszelkich przepisów prawa krajowego niezgodnych z dyrektywą”. Wybór formy prawnej i odpowiednich środków realizacji dyrektywy należy do organów państwa. Ze względu na datę dyrektywy, państwa członkowskie UE implementowały ją do swoich porządków prawnych, natomiast przedsiębiorcy spoza UE muszą wykazać się indywidualnym wprowadzeniem zabezpieczeń równoważnych tym z dyrektywy.
Przekazanie danych
Warto się zastanowić, w jakich okolicznościach następuje przekazanie danych osobowych do państwa trzeciego? Warto zacząć od definicji ustawowych odnoszących się do poszczególnych czynności związanych z obsługą danych, i tak:
– przetwarzanie danych – to operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
– system informatyczny – to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
– zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
– usuwanie danych – to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
– administrator danych – to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.
Możliwe rozwiązania
Zatem czy przekazanie danych osobowych powiązane jest z czynnościami opisanymi powyżej? Może ono nastąpić bądź poprzez powierzenie administracji zbiorów danych osobowych podmiotowi zagranicznemu, bądź też umieszczenie tego zbioru danych na serwerze zlokalizowanym w państwie trzecim. Pojęcie przekazania danych osobowych do państwa trzeciego, o którym mowa w art. 47 ustawy o ochronie danych osobowych, nie było dotąd przedmiotem szczegółowej analizy i orzecznictwo polskie jest w tym zakresie skromne, jednak warto zwrócić uwagę na występujące w orzecznictwie europejskim rozbieżności interpretacyjne mające poważny wpływ na praktykę, a pojawiające się już na całkiem elementarnym poziomie. W wypadku tradycyjnych form komunikacji kwalifikacja tego zdarzenia nie nastręcza większych problemów i zachodzi np. w razie przesłania spisu danych osobowych zwykłym listem nadanym w Polsce i odebranym w USA. W wypadku elektronicznych środków przekazywania informacji (np. poczty elektronicznej) sprawa nie jest już tak jednoznaczna. Problem ten ilustruje różnica stanowisk Komisji Europejskiej oraz Europejskiego Trybunału Sprawiedliwości (ETS). Komisja uznała (pkt 10 preambuły decyzji KE 2002/16/ WE), że już samo ujawnienie danych osobowych przetwarzającemu dane, mającemu siedzibę poza obszarem Wspólnoty, jest międzynarodowym transferem danych osobowych. ETS w wyroku w sprawie Bodil Lindqvist stwierdził natomiast, iż samo zamieszczenie (ujawnienie) danych w internecie przy wykorzystaniu serwera znajdującego się w państwie należącym do EOG nie stanowi jeszcze międzynarodowego transferu danych. Transfer taki można już jednak byłoby stwierdzić, gdyby dane zostały zamieszczone (ujawnione) w internecie w celu ich udostępniania konkretnym odbiorcom, tj. gdyby internet stanowił technologiczną platformę komunikacji. Bliżsi tego drugiego poglądu są amerykańscy autorzy wskazujący, iż dla transgranicznego transferu danych konieczne jest nie samo ujawnienie danych w państwie trzecim, lecz dokonanie ich rzeczywistego przeniesienia z jednego miejsca w drugie. Wydaje się jednak, iż takie zawężające ujęcie problemu nie do końca przystaje do wirtualnej rzeczywistości i elektronicznych środków komunikacji.
Opisanie tematu transferu danych osobowych poza przedstawieniem tego zagadnienia miało też inny cel – wskazanie jak ławy jest obrót gospodarczy, szeroko rozumiany, pomiędzy państwami posiadającymi zbliżone porządki prawne. Pewne zjawiska takie jak wspomniana ochrona danych osobowych ma wymiar prawie automatyczny, nikt w Polsce nie zastanawia się, czy w Niemczech dane osobowe są odpowiednio chronione.
Zdaniem autora
Polska ustawa o ochronie danych osobowych nie rozróżnia państw trzecich według kryterium państwa członkowskiego Unii Europejskiej. Jednak dyrektywa z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych sugeruje, iż państwa członkowskie implementując ją, zapewniły minimalny poziom ochrony danych osobowych, zatem przekazanie bazy danych i dostępu do bazy danych do państwa członkowskiego nie wymaga zgody generalnego inspektora danych. Natomiast zlokalizowanie serwerów już poza obszarem unijnym, bądź w państwie, które nie implementowało przepisów unijnych, wymaga na przedsiębiorcy uzyskania zgody generalnego inspektora, lub wykazania się stopniem ochrony danych zbliżonym do obowiązujących na terenie EU. Bazami danych, które mogą być zarządzane zdalnie, są zarówno bazy danych dotyczące pracowników, kontrahentów, jaki i osób, z którymi przedsiębiorcy utrzymują kontakt w ramach doświadczeń i eksperymentów naukowych. Dotyczy to w szczególności firm farmaceutycznych posiadających ewidencje osób testujących określone substancje chemiczne.
Artykuł został opublikowany w dodatku do dziennika Rzeczpospolita „Dobra Firma” z dnia 6.07.2016 r.