Strona główna Odpowiedzi na pytania dotyczące ustawy o ochronie danych osobowych
dotyczące ustawy o ochronie danych osobowych

Czy GIODO może wyrazić zgodę na przekazanie danych osobowych do państwa trzeciego (Republiki Korei), jeśli podmioty uczestniczące w tym przekazaniu zawarły umowę opartą o standardowe klauzule umowne, określone w jednej z decyzji Komisji Europejskiej?

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2010-01-15
Wprowadził informację: Rafał Kreusch2010-02-02 08:50:44

Odpowiedź

Tak, jeśli GIODO, porównując zapisy zawartej umowy z klauzulami umownymi zawartymi w decyzji Nr 2002/16/WE Komisji Europejskiej z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE, uzna, iż państwo trzecie (gdzie znajduje się odbiorca danych) zapewnia przekazywanym danym odpowiedni poziom ochrony.

Uzasadnienie

Pomiędzy podmiotami z branży elektronicznej – spółką z siedzibą w Polsce a spółką z siedzibą w Republice Korei – została zawarta umowa o globalnym przesyłaniu danych osobowych pracowników oraz partnerów biznesowych spółki. Dane te mają być przekazywane dla celów zatrudnienia, takich jak: zarządzanie czasem pracy, kontrola płac, organizacja szkoleń, czy zapewnienie pracownikom opieki zdrowotnej. Także dla celów wykonywania usług dla klientów, marketingu i reklamy. Tworząc zapisy umowy ww. podmioty wzorowały się na klauzulach umownych stanowiących załącznik do decyzji Nr 2002/16/WE Komisji Europejskiej z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE. Biorąc jednak pod uwagę, że odbiorcą danych osobowych ma być podmiot znajdujący się w państwie trzecim – Republice Korei, spółka z siedzibą w Polsce zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o udzielenie zgody na takie przekazanie danych osobowych.

Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazywanie danych do państwa trzeciego, ustala, czy administrator danych (tu są nim obie spółki) zapewnił odpowiedni poziom zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Sprawdza m.in., czy wykorzystywane do przekazywania danych osobowych systemy informatyczne spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych , jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ze względu na to, że zapewnienie odpowiedniego poziomu ochrony może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor dokonuje również analizy odpowiednich postanowień umownych w oparciu o standardowe klauzule umowne zawarte w decyzji Nr 2002/16/WE Komisji Europejskiej z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE. Według bowiem zapisów tej decyzji standardowe klauzule umowne powinny zawierać techniczne i organizacyjne środki bezpieczeństwa zapewniające poziom ochrony adekwatny do ryzyka, jakie niosą przetwarzanie i charakter danych podlegających ochronie, jakie musi zastosować odbiorca mający siedzibę w państwie trzecim. W załączniku do wspomnianej decyzji zawartych jest 11 standardowych klauzul umownych, z których mogą skorzystać podmioty zawierające umowę o przekazanie danych do państwa trzeciego. Są wśród nich m. in.: klauzula wymieniająca obowiązki przekazującego dane, klauzula wymieniająca obowiązki odbierającego dane, czy klauzula dotycząca mediacji i właściwości sądu. W tworzonej przez strony umowie dotyczącej przekazania danych do podmiotu mającego siedzibę w państwie trzecim ważne jest zatem, aby zawarte zostały w niej postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa przekazywanych danych.

Jeśli zatem zawarta pomiędzy podmiotami umowa o przekazaniu danych osobowych do państwa trzeciego nie narusza w żadnym punkcie ustalonych przez Komisję Europejską klauzul umownych, a GIODO uzna, że postanowienia zawartej umowy spełniają wymogi dotyczące technicznych i organizacyjnych środków bezpieczeństwa przekazywanych danych, wówczas wyraża zgodę na przekazanie danych osobowych do podmiotu znajdującego się w państwie trzecim.


TS v1109.