Od 1 stycznia 2015 r. na mocy art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662, dalej zwanej ustawą) weszły w życie zmiany art. 48 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182, z późn. zm., zwanej dalej u.o.d.o), dotyczące zwolnienia z obowiązku uzyskania zgody GIODO na przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, gdy ich przekazywanie odbywa się na podstawie standardowych klauzul umownych albo wiążących reguł korporacyjnych.

Nowelizacja wprowadziła instytucję wiążących reguł korporacyjnych oraz określiła tryb ich zatwierdzenia przez GIODO. Przyjęte rozwiązania mają na celu przygotowanie administratorów danych do unormowań zapowiadanych w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych osobowych) [COM(2012) 11, Dz. Urz. UE C 102 z dnia 5 kwietnia 2012 r., s. 24].

 

CZY ZGODA GIODO NA PRZEKAZYWANIE DANYCH JEST ZAWSZE POTRZEBNA?

Zgoda nie będzie wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenie danych, poprzez:

a) standardowe klauzule umowne ochrony danych osobowych zatwierdzone przez Komisję Europejską;
b) prawnie wiążące reguły lub polityki ochrony danych osobowych, tzw. wiążące reguły korporacyjne.

 

STANDARDOWE KLAUZULE UMOWNE

Zgodnie z art. 26 ust. 4 dyrektywy 95/45/WE będzie można stosować w umowach z podmiotami z państw trzecich standardowe klauzule umowne.

 

Immanentne w tym zakresie są 3 decyzje wydane przez Komisję Europejską:

a) 2001/497/WE w sprawie wzorcowych klauzul umownych w związku z przekazywaniem danych osobowych do państw trzecich na podstawie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 181/19, z 4.07.2001) z dnia 15 czerwca 2001 r. Wprowadzone niniejszą decyzją standardowe klauzule umowne mają zastosowanie do przekazywania danych osobowych do administratora danych w państwie trzecim.
b) 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz. Urz. WE L 385/19, z 29.12.2004) z dnia 27 grudnia 2004 r. Powołana decyzja wprowadziła zestaw alternatywnych klauzul umownych, które administrator danych może wykorzystać w przypadku przekazywania danych do innego administratora danych w państwie trzecim.
c) 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L 39 s. 5 z 12 .02.2010) z dnia 5 lutego 2010 r. Wprowadzone niniejszą decyzją standardowe klauzule umowne mają zastosowanie do przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych.

 

WIĄŻĄCE REGUŁY KORPORACYJNE

Wiążące reguły korporacyjne dotyczą podmiotów należących do tej samej grupy przedsiębiorców (tej samej grupy kapitałowej). Mogą być stosowane dopiero po ich zatwierdzeniu przez GIODO (w drodze decyzji administracyjnej), po przeprowadzeniu nieobowiązkowych konsultacji z organami ochrony danych osobowych państw Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do ww. grupy. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia ww. organu ochrony danych, GIODO będzie mógł je uwzględnić.

 

ZGODA A POZOSTAŁE OBOWIĄZKI

Administrator danych ma (poza szczególnymi obowiązkami opisanymi wyżej) również obowiązki dotyczące spełnienia wszystkich obowiązków nałożonych przez ustawę. Musi posiadać podstawę prawną do przetwarzania określonych kategorii danych, zapewnić by zakres przetwarzanych danych był dopuszczalny w świetle przepisów prawa a także musi być spełniona choćby jedna z przesłanek legalności przetwarzania danych z art. 23 ust. 1 lub art. 27 ust. 2 ustawy.

 

ZMODYFIKOWANE KLAUZULE UMOWNE

Niestety modyfikacja przez Administratora danych klauzul umownych odbiera im przymiot standardowych klauzul umownych w rozumieniu Dyrektywy 95/46/WE (decyzja Komisji Europejskiej). Wymagane jest uprzednie uzyskanie zgody GIODO na przekazanie danych osobowych do państw trzecich, które nie zapewniają należytego poziomu ochrony danych osobowych.
Możliwe są takie modyfikacje klauzul umownych, które nie naruszą gwarancji ochrony praw i wolności osób, których te dane dotyczą.

Podsumowanie

Niniejszy artykuł miał na celu wskazać najważniejsze informacje, jakie mogą być pomocne w dostosowaniu się Administratorów danych do nowej sytuacji prawnej obowiązującej od 1 stycznia 2015 r. w sytuacji przekazywania danych do państw trzecich.

W wyniku tej nowelizacji wprowadzono wyłączenie określające sytuacje, zgodnie z którym uzyskanie zgody GIODO na przekazywanie danych do państw trzecich nie będzie już wymagane a także nowy instrument w postaci wiążących reguł korporacyjnych, który zapewni odpowiednie gwarancje praw i wolności osób, których przekazywane dane dotyczą.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?