Firmy łamią prawo, nawet o tym nie wiedząc

Smartfony już dawno przestały służyć jako telefony. To przenośne komputery, w których przechowuje się i przetwarza dane. W przypadku przedsiębiorców nierzadko także dane osobowe klientów.

Coraz więcej usług związanych ze smartfonami wykonywanych jest w tzw. chmurze. Mówiąc w pewnym uproszczeniu, jakąś operację wykonuje nie sam smarfon, lecz komputery rozrzucone po świecie, a dane nie są przechowywane w telefonie, tylko na dysku oddalonym nierzadko o tysiące kilometrów.

Co to oznacza w praktyce? Otóż jeśli przedsiębiorca ma kopię zapasową bazy adresowej z klientami i trzyma ją w chmurze, to prawdopodobnie przekazał dane osobowe do państw trzecich, czyli poza Unię Europejską. A skoro tak, to złamał ustawę o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926). Zgodnie z jej art. 48 przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ich ochrony przynajmniej takich, jakie obowiązują w Polsce, wymaga uzyskania zgody gneralnego inspektora ochrony danych osobowych. Tymczasem - jak się okazuje - nawet państwa takie jak USA, wydawałoby się, że bezpieczne, nie są za takie uznawane.

To przykład ze smartfonem, ale to samo dzieje się podczas pracy na komputerze. Korzystając z darmowych programów biurowych Google, przedsiębiorca trzyma dane gdzieś na zewnętrznym dysku. Tak naprawdę nie za bardzo wie, gdzie fizycznie one się znajdują. Może w USA, może w Singapurze, a może jeszcze gdzie indziej. Znów więc powinien złożyć wniosek do GIODO.

Absurd? Wydaje się, że w dzisiejszych czasach już tak. Wspomniany przepis dotyczy klasycznego eksportu danych (gdy przedsiębiorca przesyła pakiet tych danych, np. do firmy zajmującej się budową bazy i przetwarzaniem). Tymczasem przy usługach związanych z cloud computingiem do transferu danych dochodzi niejako przy okazji, często w sposób rozproszony, a nawet bez świadomości samego przedsiębiorcy.

Pojawiła się szansa, że przepisy te, bez wątpienia nieprzystające do dzisiejszej rzeczywistości, za jakiś czas zostaną zmienione. Rząd kończy właśnie prace nad założeniami do tzw. deregulacji 2.0. I jedną z propozycji jest właśnie uelastycznienie zasad transferu danych osobowych do państw trzecich.

Propozycja jest taka, by zatwierdzenie standardowych klauzul umownych przez Komisję Europejską pozwalało na przekazywanie transferu danych do państw trzecich bez konieczności uzyskiwania zgody GIODO. Innymi słowy jeśli reguły stosowane przez daną firmę zostałyby uznane za bezpieczne, to nie miałoby już znaczenia, czy państwo to zapewnia poziom bezpieczeństwa taki jak Polska.

Dodatkowe ułatwienia przewidziano dla firm działających w ramach grupy przedsiębiorstw. Otóż mogłyby one przygotować wiążące reguły korporacyjne. Po zaakceptowaniu ich przez GIODO firmy nie musiałyby już uzyskiwać kolejnych zgód na eksport danych do państw trzecich.

Bez wątpienia propozycje rządowe zmierzają w dobrym kierunku. Pytanie tylko, czy to wystarczy. Wszystko powinno zadziałać, jeśli dostawcy usług cloud computingu spoza UE będą zgłaszać do akceptacji standardowe wzory umowne. Wówczas korzystający z nich przedsiębiorcy nie będą musieli się zastanawiać, dokąd wędrują ich dane.

Gorzej, gdy dostawcy usług nie będą mieli akceptacji KE. Wówczas przedsiębiorcy nadal nie powinni przekazywać im danych bez wcześniejszego uzyskania zgody. Obawiam się jednak, że poza dużymi korporacjami mało kto będzie się tym przejmował. I nadal będziemy mieć do czynienia z fikcją prawną. Przepisy nakładają jakiś obowiązek, a wszyscy albo go ignorują, albo zwyczajnie nie mają pojęcia o jego istnieniu.

@RY1@i02/2013/069/i02.2013.069.21500020a.802.jpg@RY2@

Sławomir Wikariak dziennikarz Dziennika Gazety Prawnej

Sławomir Wikariak

dziennikarz Dziennika Gazety Prawnej