Jak spółki IT mogą bezpiecznie przekazywać dane innym spółkom

Prowadzenie działalności przez spółki IT wiąże się z przetwarzaniem danych osobowych m.in. klientów, dostawców, podmiotów współpracujących. Bez tych danych nie da się zrealizować zamówień. W dobie globalizacji zamówienia składane w jednej spółce IT niejednokrotnie są realizowane przez lub we współpracy z innymi spółkami, w tym ze spółkami w innych państwach. W takim przypadku spółka przyjmująca zamówienie - administrator danych osobowych (decydujący o celach i środkach przetwarzania zawartych w zamówieniach danych osobowych) - musi zapewnić, że przetwarzanie tych danych będzie się odbywało zgodne z przepisami ustawy o ochronie danych osobowych (dalej u.o.d.o.), aktami wykonawczymi do tej ustawy oraz przepisami szczególnymi innych ustaw.

Załóżmy przykładowo, że polska spółka IT, będąca częścią międzynarodowej grupy kapitałowej, ma zamiar przyjmować online zamówienia na sprzęt IT, którego podzespoły będą produkowane przez inną spółkę z grupy kapitałowej w Chinach. Rozliczenia księgowe zamówień będą dokonywane na serwerach należących do innej spółki w Stanach Zjednoczonych, reklamacje sprzętu będą realizowane na zlecenie polskiej spółki przez spółkę w Czechach, a obsługą klienta będzie się zajmować call center w Indiach.

W takiej sytuacji polska spółka powinna ustalić przed rozpoczęciem przetwarzania danych osobowych, czy, jakie i w jaki sposób dane osobowe zawarte w zamówieniach będą przetwarzane, na jakiej podstawie prawnej, czy wszystkie dane osobowe muszą koniecznie zostać udostępnione poszczególnym spółkom w Chinach, Indiach, Czechach i Stanach Zjednoczonych oraz na jakiej podstawie prawnej ww. spółki będą te dane przetwarzać.

Przetwarzaniem danych osobowych w rozumieniu u.o.d.o. jest jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza wykonywana w systemie informatycznym. Zatem zbieranie przez polską spółkę IT danych osobowych online będzie stanowiło przetwarzanie danych osobowych w rozumieniu ustawy.

Polska spółka powinna na samym początku zidentyfikować, które dane będą danymi osobowymi. Zgodnie z u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zatem przykładowo, jeżeli składającym zamówienie będzie osoba fizyczna, która poda imię, nazwisko, telefon, adres, NIP, e-mail i zostanie jej nadany numer identyfikacyjny w systemie IT spółki, to wszystkie te dane łącznie będą danymi osobowymi.

Skoro już wiemy, że będziemy mieli do czynienia z danymi osobowymi, a dane będą przetwarzane przez spółkę IT nie tylko w celu wystawienia faktury, ale na przykład w celu przygotowania oferty, zrealizowania zamówienia wraz z serwisem gwarancyjnym, świadczenia usługi call center, marketingu, to polska spółka musi uzyskać zgodę od składającego zamówienie na przetwarzanie jego danych osobowych. Zgoda powinna m.in. zawierać informację, że dane będą udostępniane podmiotom trzecim, czyli w omawianym przypadku wskazywać nazwy oraz siedziby spółek z Chin, Indii, Czech i ze Stanów Zjednoczonych.

Kolejną kwestią wartą zastanowienia jest, czy dane rzeczywiście muszą być przekazywane do wszystkich wspomnianych wyżej spółek, czy też nie można zamówień zanonimizować (tzn. usunąć z zamówień dane osobowe i opatrzyć je jedynie numerem identyfikacyjnym klienta, a pozostałe dane klienta pozostawić wyłącznie do wiadomości polskiej spółki). W tym ostatnim przypadku problem przesyłania danych osobowych przestałby istnieć, bowiem przesyłane zanonimizowane zamówienie nie zawierałoby już danych osobowych, a pozostałe spółki nie przetwarzałyby danych umożliwiających zidentyfikowanie zamawiającego.

W przypadku gdy przekazywanie całości danych osobowych byłoby jednak niezbędne, konieczne staje się przeanalizowanie, do jakiego państwa dane są przesyłane i czy państwo to daje gwarancje ochrony danych osobowych. O ile u.o.d.o. zezwala wprost na transfer danych osobowych do państw Europejskiego Obszaru Gospodarczego na takich samych zasadach jak transfer danych w Polsce, zatem w omawianym przykładzie przesłanie danych do spółki czeskiej byłoby dozwolone po zawarciu z nią jedynie umowy o przetwarzanie danych osobowych, o tyle w odniesieniu do państw spoza EOG Komisja Europejska zdecydowała, że większość z nich, w tym Chiny, Indie i Stany Zjednoczone, nie daje gwarancji ochrony danych. W odniesieniu do Stanów Zjednoczonych, Komisja stosuje jednak wyjątek, który polega na tym, iż o ile uznano, że Stany wymogów nie spełniają, to indywidualne podmioty mogą zostać uznane za zapewniające odpowiednią ochronę danych osobowych, jeżeli są uczestnikiem programu Safe Harbour. A zatem, jeżeli amerykańska spółka jest uczestnikiem tego programu, to polska spółka, po zawarciu z nią umowy o przetwarzanie danych osobowych, będzie mogła przekazać tej spółce bezpiecznie dane. W przeciwnym razie do spółki amerykańskiej będą miały zastosowanie te same zasady jak do spółek w Chinach i Indiach.

Transfer danych do Chin i Indii będzie możliwy jedynie w przypadkach przewidzianych w ustawie, m.in. gdy osoba fizyczna wyrazi pisemną zgodę na transfer swoich danych do tego kraju lubgdy przekazanie danych jest niezbędne do wykonania umowy między administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. Jeżeli żadna z przesłanek ustawowych nie będzie miała zastosowania, to transfer danych może być dokonany wyłącznie po uprzednim wyrażeniu zgody na taki transfer przez GIODO.

W przypadku naruszenia przepisów ustawy o ochronie danych osobowych zarząd oraz administrator bezpieczeństwa informacji polskiej spółki może podlegać odpowiedzialności karnej, administracyjnej oraz cywilnej

@RY1@i02/2010/189/i02.2010.189.087.006a.001.jpg@RY2@

Agata Ambroziewicz

Agata Ambroziewicz

prawnik, Kancelaria CMS (dawniej CMS Cameron McKenna)

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.)