GIODO: transfer danych poza UE uciążliwy dla korporacji
Aby przesyłać dane osobowe do państw, które znajdują się poza UE, korporacja międzynarodowa musi uzyskiwać każdorazowo pozwolenie inspektora ochrony danych osobowych kraju, z którego je wysyła, co jest mało praktyczne - ocenia GIODO Wojciech Wiewiórowski.
Jak mówił na wtorkowej konferencji prasowej Generalny Inspektor Ochrony Danych Osobowych (GIODO) Wojciech Wiewiórowski, rozwiązaniem tego problemu może być procedura uznawania przez co najmniej trzech inspektorów ochrony danych osobowych z UE tzw. Wiążących Reguł Korporacyjnych, czyli zbioru opracowanych reguł dotyczących ochrony i transferu danych osobowych.
- Obecnie, jeśli Wiążące Reguły Korporacyjne zostaną uznane nawet przez kilkunastu Generalnych Inspektorów Ochrony Danych Osobowych w UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. To rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów - powiedział Wiewiórowski.
Zaznaczył, że obecnie część korporacji przygotowuje takie Wiążące Reguły Korporacyjne. - Ale niestety nie zwalnia ich to od konieczności każdorazowego uzyskiwania decyzji ze strony Generalnego Inspektora Danych Osobowych, ponieważ tak przewiduje prawo. Nam wydaje się, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli takie Wiążące Reguły Korporacyjne zostaną przygotowane i zostaną przez co najmniej trzech innych Generalnych Inspektorów Ochrony Danych w Europie uznane za wystarczające - zaznaczył.
- Chodzi o sytuację, w której na przykład irlandzki, szwedzki i maltański Generalny Inspektor Ochrony Danych Osobowych uzna, że dana firma przygotowała prawidłowo skonstruowane Wiążące Reguły Korporacyjne. Umożliwiłoby to tej firmie przekazywanie danych również z terenu Polski do swoich centrów przetwarzania danych, które znajdują się poza terenem UE - wyjaśnił.
Przyznał, że Wiążących Reguł Korporacyjnych nie przewiduje unijna dyrektywa z 1995 roku o ochronie danych osobowych. - Ale w różnego rodzaju dokumentach interpretacyjnych do tej dyrektywy zaczęła pojawiać się koncepcja tworzenia rozwiązań wewnątrz dużych korporacji międzynarodowych, które ułatwiałyby przekazywanie danych osobowych z obszaru UE do krajów (poza Europejskim Obszarem Gospodarczym - PAP), w których dane te są przetwarzane przez te korporacje - powiedział na konferencji.
Zaznaczył, że rozwój Wiążących Reguł Korporacyjnych to wyjście na przeciw środowiskom biznesowym, które chciałyby, żeby istniał swobodny rynek przekazywania danych osobowych do bezpiecznych centrów przetwarzania danych i chciałyby, żeby nie trzeba było każdorazowo uzyskiwać decyzji ze strony organów ochrony danych osobowych przy wysyłaniu takich danych poza EOG.
- Z drugiej strony jest o tyle interesujące dla samych organów ochrony danych osobowych, że umożliwia zastosowanie bezpiecznych rozwiązań również w krajach, które znajdują się poza Europą. W praktyce wygląda to w ten sposób, że jeżeli jedna korporacja ma swoje przedstawicielstwa na terenie Europy, ale np. również w USA, na Seszelach, w Wietnamie, czy Egipcie, wówczas po uzyskaniu jednorazowej zgody ze strony organów ochrony danych osobowych w UE na przekazanie danych do tych krajów, transfer będzie mógł być prowadzony w przyszłości - zaznaczył.