Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Offshoring usług IT a ochrona danych osobowych

Dane osobowe 01.08.2016

Usługi IT są jednym z najpopularniejszych przedmiotów outsourcingu, zwłaszcza w jego odmianie zwanej offshoringiem, w którym określone procesy biznesowe przedsiębiorstwa przenoszone są do innego kraju. Sprzyja temu rozwój technologii internetowych, umożliwiających świadczenie usług w formie outsourcingu (w tym offshoringu) online, takich jak choćby rozwiązania oparte na VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna). Od ponad 20 lat na rynku amerykańskim działają platformy internetowe, które pośredniczą w oferowaniu usług w ramach outsourcingu online (np. firma Upwork, powstała z połączenia konkurencyjnych spółek Elance i oDesk). IT offshoring przybiera najrozmaitsze formy: od pośredniczenia w realizacji usług IT, przez tworzenie zagranicznych filii, po zlecanie międzynarodowego podwykonawstwa podmiotom niezwiązanym kapitałowo. Usługi świadczone w formie outsourcingu online mogą być realizowane tak przez wyspecjalizowane firmy, jaki również przez indywidualnych dostawców usług internetowych (Service Providers) działających jako freelancerzy. We wszystkich tych przypadkach może jednak pojawić się problem przetwarzania danych osobowych.

 

Istotą usług IT jest przetwarzanie informacji, w tym danych osobowych. Wszelkie tworzone lub obsługiwane w ramach outsourcingu systemy informatyczne, służące wspomaganiu przedsiębiorstw, w tym przede wszystkim systemy zarządzania przedsiębiorstwem (ang. enterprise resource planning – ERP), zarządzania relacjami z klientami (ang. customer relationship management, CRM), zarządzania procesami biznesowymi (ang. business process management, BPM), planowania zapotrzebowania materiałowego (ang. material requirements planning, MRP), bazują na gromadzeniu danych oraz wykonywaniu operacji na zebranych danych, w tym przede wszystkim danych osobowych. Zatem zlecając usługi IT, w zdecydowanej większości przypadków w sposób nieunikniony dochodzi do przetwarzania danych osobowych przez usługodawcę. Zgodnie z definicją polskiej ustawy o ochronie danych osobowych („UODO”), przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Jeżeli usługodawca realizuje usługi poza terytorium RP, wówczas mamy do czynienia z przekazywaniem danych osobowych za granicę, które w zdecydowanej większości przypadków objęte będzie regulacją polskiej UODO. Przepisy tej ustawy mają zastosowanie do podmiotów przetwarzających dane osobowe w związku z działalnością zarobkową lub zawodową, które mają siedzibę albo miejsce zamieszkania na terytorium RP, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski. Wyjątkiem jest sytuacja, w której podmiot z państwa trzeciego wykorzystuje środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych, czyli transferu danych przez terytorium RP (tranzyt danych bez jakichkolwiek innych operacji na nich).

LOKALIZACJA ŚRODKÓW TECHNICZNYCH SŁUŻĄCYCH PRZETWARZANIU DANYCH

Przepisy UODO nie określają, czy na terytorium Polski muszą być zlokalizowane wszystkie środki techniczne używane do przetwarzania danych osobowych w danym przypadku. Ustawa będzie miała zastosowanie, gdy choćby część środków technicznych jest zlokalizowana na obszarze Polski (o ile nie służą jedynie do tranzytu danych). Nie ma znaczenia kwestia własności środków technicznych wykorzystywanych do przetwarzania danych. Mogą to być zarówno środki własne administratora danych (podmiotu zlecającego usługę), jak też środki należące podmiotu przetwarzającego dane osobowe na zlecenie (usługodawcy)1. W przypadku systemów informatycznych, które ze swej istoty zlokalizowane są na obszarach różnych krajów, mamy do czynienia z wieloma sytuacjami „granicznymi”, których rozstrzygnięcie może budzić wątpliwości co do stosowania przepisów UODO. Przykładem jest sytuacja, gdy dany serwer, na którym zgromadzone są dane osobowe, położony jest na terytorium RP, a dostęp online do niego możliwy jest z terytorium różnych państw, w tym Polski. Rodzi się wątpliwość, czy środki techniczne służące do komunikacji z takim serwerem, zlokalizowane w państwie trzecim, wykorzystywane są wyłącznie do celów transferu danych, co wyłączałoby zastosowanie przepisów ODO. Przyjmuje się, że jeżeli takie środki techniczne położone na terytorium państwa trzeciego, dają choćby potencjalną możliwość dostępu do danych z terytorium państwa trzeciego, ich wprowadzenia, aktualizowania, modyfikacji, itp. w systemie informatycznym, a więc dokonywania za pośrednictwem tego środka technicznego jakichkolwiek operacji na danych osobowych, to przepisy UODO będą miały zastosowanie. Przepisy UODO nie będą stosowane wówczas, gdy wszystkie środki techniczne zostaną zlokalizowane za granicą (przez podmiot mający siedzibę w państwie trzecim albo w państwie z terenu EOG), zaś operacje w ramach przetwarzania danych osobowych będą polegały na pozyskiwaniu danych obywateli polskich (np. serwis WWW należący do zagranicznego przedsiębiorcy, przeznaczony dla obywateli RP).

PRZEKAZANIE DANYCH DO PAŃSTWA NALEŻĄCEGO DO EOG

UODO definiuje „państwo trzecie” jako państwo nienależące do Europejskiego Obszaru Gospodarczego (EOG to kraje Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein). W konsekwencji, przepisów UODO nie stosuje się do podmiotów mających siedzibę na terytorium państw należących do EOG. Zakłada się, że w tych państwach doszło do harmonizacji prawa ochrony danych osobowych, czyli ustawy krajowe zapewniają odpowiedni poziom ochrony danych oraz zawierają zasady przetwarzania danych osobowych, takie jak przewidziane w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z dnia 24 października 1995 r. (Dz. Urz. UE.L Nr 281, str. 31). Do tych podmiotów nie będą się stosowały przepisy UODO także w przypadku, gdy będą one przetwarzać (zbierać, zestawiać, przechowywać) dane osobowe na terytorium Polski, wykorzystując w tym zakresie znajdujące się na terytorium RP środki techniczne. Tytułem przykładu, przepisy UODO nie znajdą zastosowania w przypadku zbierania (drogą elektroniczną lub w tradycyjny sposób) przez podmioty z obszaru EOG danych osobowych obywateli polskich. W takich sytuacjach GIODO ma np. obowiązek odmówić zarejestrowania zbioru danych osobowych obywateli polskich, którego administratorem danych jest podmiot z siedzibą w kraju z EOG.

PRZEKAZANIE DANYCH DO PAŃSTWA TRZECIEGO

Z uwagi na korzyści wynikające z niższych kosztów pracy, najpopularniejszymi kierunkami outsourcowania usług IT przez przedsiębiorców z Europy i USA są przede wszystkim kraje azjatyckie, takie jak Indie, Filipiny i Malezja (państwa trzecie w rozumieniu UODO). Inaczej niż przy przekazywaniu danych osobowych do państwa członkowskiego EOG, możliwość przekazania danych osobowych do państwa trzeciego jest uzależniona od spełnienia warunków wskazanych w rozdziale 7 UODO. Warunki te można uszeregować kaskadowo, tzn. w razie niespełnienia pierwszego warunku, należy zweryfikować możliwość spełnienia drugiego i tak dalej.

  1. Pierwszym i podstawowym warunkiem przekazania danych osobowych do państwa trzeciego jest to, aby państwo to zapewniało na swoim terytorium odpowiedni poziom ochrony danych osobowych. Opisane w UODO kryteria są na tyle ogólne, że ich zastosowanie w konkretnym przypadku może budzić wiele wątpliwości. Z pomocą przychodzi Komisja Europejska, która na mocy upoważnienia z art. 25 ust. 6 Dyrektywy 95/46/WE ma prawo stwierdzania w drodze decyzji, że określone państwo gwarantuje adekwatny poziom ochrony danych osobowych. Niestety, żadna z decyzji wydanych w tym trybie przez KE nie dotyczy wspomnianych wyżej Indii, Filipin, czy Malezji. Z ostrożności, należy przyjąć, że wymienione kraje nie zapewniają odpowiedniego poziomu ochrony danych osobowych.
  2. W braku spełnienia pierwszego warunku, administrator danych może przekazać dane osobowe do państwa trzeciego, o ile:
    1. osoba, której dane dotyczą, udzieliła na to zgody na piśmie
      W praktyce sytuacja taka ma miejsce bardzo rzadko.
    2. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie
      Niezbędność przekazania danych oznacza, że wykonanie umowy nie jest możliwe bez przekazania danych. Co istotne, chodzi o umowę pomiędzy administratorem danych (usługobiorcą) a osobą, której dane dotyczą, a nie osobą trzecią (usługodawcą).
    3. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem
      W tym przypadku stroną umowy zawartej z administratorem danych jest osoba trzecia (np. usługodawca), a nie podmiot danych. Przekazanie danych ma miejsce w interesie osoby, której dane dotyczą. Warunkiem koniecznym jest, aby przekazanie danych osobowych – następujące w interesie podmiotu danych – było niezbędne do wykonania umowy zawartej w interesie takiej osoby. Chodzi zatem o sytuację, w której wykonanie wspominanej umowy nie jest możliwe bez przekazania danych osobowych.
    4. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą
      Żywotne interesy osoby, której dane dotyczą, należy rozumieć jako interesy niezbędne dla zachowania życia tej osoby, a zatem, co do zasady poza zakresem tego pojęcia znajdują się interesy ekonomiczne.
    5. dane są ogólnie dostępne
      Dane ogólnie dostępne to takie, do których dostęp ma nieograniczona liczba osób. Zatem w praktyce chodzi zazwyczaj o danych pochodzące z publicznych zbiorów lub rejestrów.
    Analiza powyżej przytoczonych przypadków wskazuje, że jedynie w niewielkim procencie sytuacji znajdą one zastosowanie. W zdecydowanej większości typowych umów outsourcingowych żaden z tych warunków nie będzie spełniony, a zatem podstaw do przekazania danych osobowych trzeba będzie szukać gdzie indziej.
  3. Jeżeli nie zostały spełnione wymagania wskazane w pkt 2 powyżej, a państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce po uzyskaniu zgody Generalnego Inspektora Danych Osobowych. Rozpoczęcie przekazywania danych osobowych do państwa trzeciego, dopuszczalne jest dopiero po wydaniu pozytywnej decyzji przez GIODO. Decyzja ta nie legalizuje bowiem wcześniejszego przekazywania danych osobowych. Procedura uzyskania zgody GIODO jest dość długotrwała (zwykle co najmniej kilka miesięcy), co może zniechęcić przedsiębiorców, którzy nie mogą czekać z realizacją umowy outsourcingowej.
  4. Zgoda GIODO nie jest jednak wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, poprzez skorzystanie z jednego z dwóch instrumentów:
    1. standardowych klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską zgodnie z art. 26 ust. 4 Dyrektywy 95/46/WE
      W przypadku zamiaru przekazania danych osobowych do państwa trzeciego, administrator danych może zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE. W takim przypadku, tj. w sytuacji gdy administrator danych osobowych posłuży się w obrocie umową opartą o zatwierdzone przez Komisję Europejską klauzule umowne, nie jest wymagana zgoda GIODO na transfer danych do państwa trzeciego. Jak dotychczas Komisja Europejska wydała trzy decyzje obejmujące trzy różne zbiory modelowych klauzul umownych. Dwie pierwsze (15.6.2001 roku2 oraz z 27.12.2004 roku3) zawierają klauzule, które mają zastosowanie do przekazywania danych pomiędzy administratorami danych (controller to controller). Trzecia decyzja (z 5.2.2010 roku4) obejmuje klauzule znajdujace zastosowanie przy przekazywaniu danych podmiotowi przetwarzającemu dane osobowe na zlecenie (controller to processor).
    2. wiążących reguł korporacyjnych, które zostały zatwierdzone przez GIODO
      Wiążące reguły korporacyjne (ang. binding corporate rules) to prawnie wiążące reguły lub polityki ochrony danych osobowych przyjęte w ramach grupy przedsiębiorców (najczęściej powiązanych kapitałowo lub osobowo), służące uregulowaniu przekazywania danych osobowych pomiędzy podmiotami z tej grupy, z których podmiot otrzymujący dane ma siedzibę w państwie trzecim. W przypadku, gdy administrator danych osobowych dokona transferu danych na podstawie zatwierdzonych przez GIODO wiążących regułach korporacyjnych, wówczas nie jest wymagana zgoda GIODO na transfer danych do państwa trzeciego. Wiążące reguły korporacyjne powinny zostać przedłożone GIODO w języku polskim albo w wersjach dwujęzycznych (w tym w wersji polskiej). Posiadanie wiążących reguł korporacyjnych, zatwierdzonych przez inny krajowy organ ochrony danych osobowych niż GIODO, nie uprawnia jednak do zwolnienia z obowiązku ubiegania się o zgodę GIODO na przekazanie danych osobowych do państwa trzeciego.

PODSUMOWANIE

Aby móc w pełni legalnie, bez ryzyka narażenia się na kary administracyjne ze strony GIODO lub odpowiedzialność cywilną wobec Klienta, powierzyć dane osobowe podmiotom z państw trzecich, świadczących na naszą rzecz usługi IT, powinniśmy spełnić jeden z opisanych wyżej w pkt 1-4 warunków. Biorąc pod uwagę wskazane wyżej ryzyka oraz czas potrzebny na spełnienie poszczególnych warunków, wydaje się, że najprościej i najbezpieczniej jest powołać się na podstawę prawną wskazana w punkcie 4.a. powyżej, tj. zawrzeć z usługodawcą z państwa trzeciego umowę transferową, która będzie zawierała standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską.
W przypadku międzynarodowych grup kapitałowych, których członkowie często współpracują w sposób wymagający przekazywania sobie danych osobowych, atrakcyjną alternatywą dla wspomnianych wyżej umów transferowych może być skorzystanie z możliwości opisanej w punkcie 4.b. powyżej. Uzyskanie zatwierdzenia GIODO dla wiążących reguł korporacyjnych daje spółce polskiej komfort większej elastyczności, swobody wielokrotnej wymiany danych pomiędzy innymi spółkami z grupy kapitałowej, które raz zaakceptowały reguły korporacyjne.

1 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, 2004, s. 348.
2 decyzja Nr 2001/497/WE (Dz.Urz. WE L Nr 181, s. 19 ze zm.), dostępna pod adresem:
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=en
3 decyzja Nr 2004/915/WE (Dz.Urz. WE L Nr 385, s. 74), dostępna pod adresem:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF
4 decyzja Nr 2010/87/UE (Dz.Urz. UE L Nr 39, s. 5), dostępna pod adresem:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF