Co i jak przekazywać

Skoro już wiemy, że będziemy mieli do czynienia z danymi osobowymi, a dane będą przetwarzane przez spółkę nie tylko w celu wystawienia faktury, ale na przykład w celu przygotowania oferty, zrealizowania zamówienia wraz z serwisem gwarancyjnym, świadczenia usługi call center, marketingu, to polska spółka musi uzyskać zgodę od składającego zamówienie na przetwarzanie jego danych osobowych. Zgoda powinna m.in. zawierać informację, że dane będą udostępniane podmiotom trzecim, czyli w omawianym przypadku wskazywać nazwy oraz siedziby spółek z Chin, Indii, Czech i Stanów Zjednoczonych.

Kolejną kwestią wartą zastanowienia jest, czy dane rzeczywiście muszą być przekazywane do wszystkich wspomnianych wyżej spółek, czy nie można zamówień zanonimizować (tzn. usunąć z nich dane osobowe i opatrzyć je jedynie numerem identyfikacyjnym klienta, a pozostałe dane pozostawić wyłącznie do wiadomości polskiej spółki). W tym ostatnim przypadku problem przesyłania danych osobowych przestałby istnieć, bowiem zanonimizowane zamówienie nie zawierałoby już danych osobowych, a pozostałe spółki nie posiadałyby danych umożliwiających zidentyfikowanie zamawiającego.

W przypadku, gdy przekazywanie całości danych osobowych byłoby jednak niezbędne, konieczne staje się przeanalizowanie, do jakiego państwa dane są przesyłane i czy państwo to daje gwarancje ochrony danych osobowych. O ile UoDO zezwala wprost na transfer danych osobowych do państw Europejskiego Obszaru Gospodarczego na takich samych zasadach jak transfer danych w Polsce, o tyle w odniesieniu do państw spoza EOG Komisja Europejska zdecydowała, że większość z nich, w tym Chiny, Indie i Stany Zjednoczone, nie daje gwarancji ochrony danych. W odniesieniu do Stanów Zjednoczonych, Komisja stosuje jednak wyjątek - o ile uznano, że Stany wymogów nie spełniają, to indywidualne podmioty mogą zostać uznane za zapewniające odpowiednią ochronę danych osobowych, jeżeli są uczestnikiem programu Safe Harbour. A zatem, jeżeli amerykańska spółka jest uczestnikiem tego programu, to polska spółka, po zawarciu z nią umowy o przetwarzanie danych osobowych, będzie mogła przekazać tej spółce bezpiecznie dane. W przeciwnym razie, do spółki amerykańskiej będą miały zastosowanie te same zasady co do spółek w Chinach i w Indiach.

Transfer danych do Chin i Indii będzie możliwy jedynie w przypadkach przewidzianych w ustawie, m. in., gdy osoba fizyczna wyrazi pisemną zgodę na transfer swoich danych do tego kraju lub gdy przekazanie danych jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. Jeżeli żadna z przesłanek ustawowych nie będzie miała zastosowania, to transfer danych może być dokonany wyłącznie po uprzednim wyrażeniu zgody na taki transfer przez GIODO.

W przypadku naruszenia przepisów ustawy o ochronie danych osobowych, zarząd oraz administrator bezpieczeństwa informacji polskiej spółki, może podlegać odpowiedzialności karnej, administracyjnej oraz cywilnej.

Agata Ambroziewicz jest prawnikiem w kancelarii CMS Cameron McKenna Dariusz Greszta Spółka Komandytowa.