Transfer danych osobowych w usługach chmurowych w praktyce

Data: 16-01-2015 r.

Część dostawców świadczących usługi chmury obliczeniowej korzysta z urządzeń zlokalizowanych na terenie Unii Europejskiej. Niektórzy używają infrastruktury znajdującej się poza UE. Jednak nawet gdy same centra przetwarzania danych zlokalizowane są na terenie Unii, to realizacja umów może wymagać dostępu do danych osobowych z obszaru państw trzecich.

Aktywne przesłanie danych czy pobranie ich z terytorium UE/EOG traktuje się jako operacje przekazywania danych osobowych do państw trzecich (tzw. transfer danych). Zgodnie z ustawową definicją przez państwa trzecie rozumieć należy państwa nienależące do Europejskiego Obszaru Gospodarczego, takie jak np. USA, Japonia, Indie czy Singapur.

 

Z transferem danych do państwa trzeciego będziemy mieli do czynienia w szczególności wówczas, gdy „importerem” danych okaże się inny administrator danych. Przekazywanie zachodzi zarówno wtedy, gdy obaj administratorzy (eksporter oraz importer danych) nie są ze sobą powiązani, ale także gdy należą do jednej korporacji międzynarodowej. Z tym procesem będziemy mieli do czynienia również wtedy, gdy administratorzy formalnie nie stanowią odrębnych podmiotów gospodarczych i niezależnych administratorów danych (transfer w obrębie struktury organizacyjnej administratora danych), a jedynie wyodrębnione jednostki organizacyjne. Kluczowe w tym zakresie jest bowiem to, czy dane osobowe faktycznie „przekraczają” granice państw.

W odniesieniu do usług chmurowych kluczowe będą przypadki transferu danych w związku z powierzeniem ich przetwarzania podmiotowi z państwa trzeciego, który działa na zlecenie administratora danych (ang. data processor, tj. podmiot, o którym mowa w art. 31 uodo).

Przepisów regulujących przetwarzanie danych osobowych w ramach cloud computingu nie można stosować, gdy odbiorca danych (dostawca usługi) nie będzie mógł na ich podstawie zidentyfikować osoby, której dane dotyczą. Odnosi się to również do problematyki przekazywania danych do państw trzecich. Chodzi o sytuacje, gdy przekazywane są wyłącznie dane zanonimizowane, zagregowane lub zaszyfrowane. Szyfrowanie musi odbywać się po stronie klienta usługi (administratora danych), a klucz wymagany do ich odszyfrowania musi znajdować się pod jego kontrolą.

Państwa członkowskie muszą zagwarantować, że przekazywanie danych osobowych do państw trzecich będzie dopuszczalne wyłącznie wtedy, gdy dane państwo trzecie zapewnia na swym terytorium właściwy poziom ich ochrony. Taki obowiązek wynika z art. 25 ust. 1dyrektywynr 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Odpowiednikiem tego przepisu w polskim prawie jest art. 47 ust. 1 uodo, zgodnie z którym przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli zapewnia ono na swoim terytorium odpowiedni poziom ich ochrony. Poprzednia, nieprawidłowa wersja przepisu wymagała, aby państwo docelowe dawało „gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej”.

Artykuł 26 ust. 2 dyrektywy95/46/WE przewiduje z kolei, że państwo członkowskie może zezwolić na przekazywanie danych osobowych do państwa trzeciego, mimo że nie zapewnia ono odpowiedniego stopnia ochrony. Warunkiem jest, żeby administrator danych zalecił odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności jednostki oraz co do wykonywania przez nią przysługujących jej praw.

Dyrektywa wskazuje, że takie zabezpieczenia mogą wynikać w szczególności z odpowiednich klauzul umownych (ang. appropriate contractual clauses). W art. 26 ust. 2 dyrektywa stara się zapewnić niełatwą do osiągnięcia równowagę pomiędzy dwoma przeciwstawnymi tendencjami, z jakimi mamy do czynienia w odniesieniu do międzynarodowego transferu danych osobowych. Jedna z nich dąży do zapewnienia jak najwyższego poziomu ochrony praw obywateli w zakresie przetwarzania dotyczących ich informacji osobowych. Druga zaś zmierza do uelastycznienia ponadgranicznego transferu danych, czego wymaga w szczególności współczesna wymiana gospodarcza. W tym zakresie krajowym odpowiednikiem art. 26 ust. 2dyrektywy jest przepis art. 48 uodo Zgodnie z nim: „przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.”

Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 36392 )
Array ( [docId] => 36392 )