Możliwe jest przekazywanie danych osobowych pracowników w ramach korporacji międzynarodowych

Korporacje międzynarodowe nie są organizacjami jednorodnymi. Z reguły w ich skład wchodzą odrębne jednostki (najczęściej spółki) działające zgodnie z przepisami poszczególnych krajów, połączone umowami współpracy. Tak więc z formalnego punktu widzenia dane osobowe przekazywane w ramach korporacji są przekazywane pomiędzy odrębnymi podmiotami.

Decydujące jest zapewnienie odpowiedniego stopnia ochrony przekazywanych danych. Dlatego państwa co do zasady podzielić można na takie, które zapewniają odpowiedni poziom ochrony danych, oraz takie, które tego poziomu nie zapewniają. Tym niemniej ani w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych, ani w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych nie zostały zawarte regulacje dotyczące oceny stopnia ich ochrony. W związku z tym wypracowano głównie w ramach Unii Europejskiej pewne rozwiązania umożliwiające taką weryfikację.

Z uwagi na fakt, że w państwach europejskiego obszaru gospodarczego system ochrony danych osobowych został zbudowany na podobnych zasadach, uznaje się, że transfer danych do tych państw powinien być traktowany jak przetwarzanie danych, które ma miejsce w Polsce. Tak więc pracodawca, przekazując dane do któregokolwiek z państw członkowskich Unii Europejskiej lub do Norwegii, Islandii albo Liechtensteinu, musi spełniać jedynie wymogi wynikające z ustawy z pominięciem zasad zawartych w jej rozdziale 7 dotyczącym przekazywania danych do państw trzecich. Dlatego w przypadku pracowników zatrudnionych w Polsce pracodawca na podstawie cytowanej ustawy oraz kodeksu pracy może przekazywać informacje zawarte w art. 22¹ k.p. do tych państw, bez konieczności spełniania dodatkowych obowiązków.

Nie budzi również wątpliwości możliwość przekazywania danych osobowych pracowników do państw, które w drodze decyzji wydanej przez Komisję Europejską na podstawie art. 25 Dyrektywy, zostaną uznane za spełniające odpowiedni stopień ochrony. Komisja Europejska wydała już takie decyzje w stosunku do Argentyny, Guernsey, Kanady, USA, Szwajcarii i wyspy Man. Wskazać przy tym należy, że decyzje te różnią się między sobą m.in. zakresem stosowania. Dla przykładu w przypadku USA uznano, że odpowiedni poziom ochrony danych zapewniają jedynie podmioty stosujące zasady uzgodnione pomiędzy Komisją Europejską i amerykańskim Departamentem Handlu, tzw. Safe HarborPrivacy Principles.

Dodatkowo, w wyniku prac Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, która została powołana na mocy art. 29 Dyrektywy, ustalono, że odpowiedni poziom ochrony danych może być zapewniony również przez państwa, w których obowiązują następujące zasady przetwarzania danych:

● zasada celowości, jakości danych i ich adekwatności,

● zapewnienie obowiązku informacyjnego,

● zapewnienie zabezpieczenia danych,

● zapewnienie prawa dostępu do danych, poprawiania oraz prawa sprzeciwu,

● zasada ograniczenia dalszego przekazywania danych.

Jednocześnie państwo docelowe powinno gwarantować skuteczne stosowanie powyższych zasad przez zapewnienie wysokiego poziomu zgodności przetwarzania danych ze wskazanymi zasadami, umożliwienie dochodzenia praw przez osoby, których dane są przetwarzane, oraz możliwość dochodzenia odszkodowania w przypadku naruszenia zasad ich przetwarzania.

Ocena, czy państwo, do którego dane mają zostać przekazane, zapewnia odpowiedni poziom ochrony, należy w każdym przypadku do pracodawcy, który jest jednocześnie administratorem danych.

Niezależnie od powyższego, przekazywanie danych osobowych pracowników jest możliwe także, gdy państwo docelowe nie może być uznane za gwarantujące odpowiedni poziom ochrony. Tak więc jeżeli pracodawca nie ma pewności co do tego, czy któreś z powyższych kryteriów zostało spełnione, powinien zapewnić, aby transfer danych odbywał się na podstawie którejś z poniższych przesłanek.

W myśl art. 47 ust. 2 ustawy przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ich ochrony, jest możliwe, gdy wynika to z wyraźnego obowiązku nałożonego na administratora przez przepisy prawa obowiązujące w Polsce lub przez ratyfikowane umowy międzynarodowe.

Natomiast zgodnie z art. 47 ust. 3 ustawy pracodawca może przekazać dane pracownika, który wyraził na to zgodę na piśmie, dane są ogólnie dostępne lub gdy przekazywanie danych:

● jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą,

● jest podejmowane na jej życzenie,

● jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem lub

● jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych albo jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.

W przypadku gdy żadna z powyższych przesłanek nie jest spełniona, pracodawca może wystąpić do Generalnego Inspektora Danych Osobowych o wydanie zgody na transfer danych. Pracodawca musi jednak zapewnić odpowiedni poziom ochrony i prywatności praw i wolności osoby, której dane dotyczą. Pracodawca może spełnić ten warunek przez wprowadzenie odpowiednich postanowień do umowy z podmiotem, któremu dane mają być przekazane. W szczególności mogą to być wzorcowe klauzule umowne lub wiążące reguły korporacyjne.

Decyzję stwierdzającą, że wskazane wzorce umowne zapewniają odpowiedni poziom ochrony danych ma prawo wydać Komisja Europejska (art. 26 ust. 1 Dyrketywy). Skutkiem wydania takiej decyzji jest obowiązek uznania przez państwa członkowskie, że rozwiązania przyjęte w klauzulach zapewniają odpowiedni poziom ochrony danych. Dotychczas Komisja wydała dwie decyzje, które zawierają wzorcowe klauzule umowne, mogące znaleźć zastosowanie przy przekazywaniu danych administratorowi z państwa trzeciego oraz jedną, która dotyczy powierzeni przetwarzania danych.

Oceny, czy przyjęte przez pracodawcę klauzule umowne odpowiadają klauzulom zawartym w decyzjach Komisji, dokonuje GIODO, przed wyrażaniem zgody na transfer danych.

Natomiast innym rozwiązaniem w stosunku do powyższych jest przekazywanie danych na podstawie wiążących reguł korporacyjnych (binding corporate rules BCR). Innowacyjność tego instrumentu polega na oderwaniu zasad przetwarzania danych od terytorialnych systemów prawa i zastąpieniu ich procedurami przyjętymi przez korporacje. Oczywiście również i w tym przypadku podstawową kwestią jest zapewnienie odpowiedniego stopnia ochrony przetwarzanych danych. Z tego względu Grupa Robocza przygotowała zestaw wytycznych, na podstawie których jest możliwa ocena, czy przyjęte rozwiązania można uznać za wystarczające. Dodatkowo BCR w każdym przypadku muszą być notyfikowane organowi nadzorującemu przetwarzanie danych któregoś z państw członkowskich. W ramach procedury współpracy weryfikuje on treść BCR razem z organami pozostałych państw członkowskich. Dopiero po przeprowadzeniu takiej procedury może zostać wyrażona zgoda na przesyłanie danych w ramach korporacji na podstawie BCR.

W każdym przypadku pracodawca musi pamiętać o dopuszczalnym zakresie przekazywanych danych, który to zakres wynika ze wskazywanego art. 22¹ k.p. oraz innych przepisów prawa.