Wraz z rozwojem sieci korporacji międzynarodowych pracodawcy coraz częściej spotykają się z koniecznością transferu danych osobowych pracowników za granicę. W praktyce wynika to z oddelegowania pracowników do pracy za granicą, bądź z przekazania ich danych do obsługi przez inną spółkę z grupy. Wymaga to dopełnienia niezbędnych obowiązków.
Dane osobowe pracowników podlegają ochronie wynikającej z przepisów ustawy o ochronie danych osobowych (dalej: uodo)1. Pracodawca zobowiązany jest przetwarzać je zgodnie z uodo. Oznacza to, że nie mogą być one udostępniane nieupoważnionym podmiotom i muszą być przekazywane za granicę zgodnie z zasadami uodo.
Ustawa przewiduje możliwość przekazywania danych pracowników za granicę. Pracodawca (ADO) zobowiązany jest jednak do zapewnienia kontroli nad tym, jakim podmiotom zostały one udostępnione.
Z transferem danych mamy do czynienia w sytuacji, gdy następuje ich przekazanie lub udzielenie możliwości dostępu do ich przetwarzania przez ADO, innym podmiotom.
Określenie obowiązków, które powinni dopełnić pracodawcy, zależy od kraju, do którego dane są przekazywane. W tym zakresie należy rozróżnić transfer danych osobowych do:
- państw EOG (tj. państwa Unii Europejskiej oraz Norwegii, Islandii i Lichtensteinu);
- państw trzecich (tj. niezapewniających odpowiednich gwarancji ochrony danych osobowych na swoim terytorium.
Transfer danych osobowych do państw EOG
Przepływ danych w obrębie EOG, a więc również pomiędzy Polską a innym państwem członkowskim EOG, traktowany jest tak samo jak transfer danych na terytorium RP.
W konsekwencji przekazywanie danych do państw EOG podlega ogólnym zasadom przetwarzania danych, a więc nie wymaga spełnienia dodatkowych wymogów wynikających z rozdziału 7 uodo („Przekazywanie danych osobowych do państwa trzeciego”).
Ten transfer jest łatwiejszy z punktu widzenia pracodawcy, bowiem jest on zobowiązany do dochowania tych samych obowiązków związanych z przetwarzaniem danych, bez znaczenia czy przekazuje je podmiotowi działającemu w Polsce, czy też w innym kraju EOG.
| Przykład 1 Podjęto decyzję o stworzeniu Shared Service Center na Słowacji w celu centralizacji zarządzania zasobami kadrowymi w jednym miejscu dla wszystkich spółek z grupy. Czy w świetle przepisów uodo polski pracodawca może przekazać dane pracowników na Słowację? Transfer danych pracowników może odbywać się bez przeszkód, gdyż Słowacja jest członkiem Unii Europejskiej. W celu zabezpieczenia swoich interesów administrator danych (pracodawca w Polsce) powinien z podmiotem ze Słowacji zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z art. 31 uodo. |
| Przykład 2 Agencja pracy z siedzibą w Polsce prowadzi rekrutację pracowników on-line na terenie innych państw EOG. Jakie wymagania ciążą na agencji? W takiej sytuacji agencja prowadząca rekrutację powinna wdrożyć środki techniczne i organizacyjne odpowiednie do zagrożeń i kategorii danych osobowych objętych ochroną tak, jak jest to wymagane od administratora danych osobowych. Należy również pamiętać, że agencja stanie się administratorem danych osobowych potencjalnych pracowników z terenu EOG i powinna stosować do nich zasady wynikające z uodo. Jeśli natomiast chodzi o kandydata do pracy/potencjalnego pracownika – to wymagane jest udzielenie przez niego zgody na przetwarzanie danych osobowych na potrzeby rekrutacji. W tym wypadku bez znaczenia jest, czy przekazuje on swoje dane osobowe potencjalnemu nowemu pracodawcy, czy też agencji rekrutacyjnej z kraju EOG. |
| Przykład 3 Spółka z siedzibą w Polsce – na prośbę spółki z grupy z siedzibą w Niemczech – postanowiła oddelegować swojego pracownika do pracy na terenie Niemiec. Jakich formalności powinna dopełnić polska spółka? Pracodawca polski powinien przekazać dane osobowe oddelegowanego pracownika podmiotowi niemieckiemu. Transfer danych osobowych nastąpi na zasadzie przekazania danych drugiemu administratorowi. W trakcie zatrudnienia w Niemczech niemiecki podmiot będzie pełnił funkcję administratora danych osobowych. Polski podmiot nie straci przymiotu administratora danych osobowych ze względu na kontynuację zatrudnienia. |
Transfer danych do państw trzecich (poza EOG)
Przekazywanie danych osobowych do państw trzecich, de facto poza EOG, wymaga zapewnienia odpowiedniego stopnia ochrony tych danych. Przekazywanie danych osobowych do państw trzecich, które nie zapewniają na swoim terytorium przynajmniej takich gwarancji ochrony danych osobowych, jakie obowiązują na terytorium Polski, wiąże się z dużym ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
W celu zminimalizowania tego ryzyka, przed dokonaniem transferu danych osobowych do takiego państwa, powinniśmy ustalić jaki poziom zabezpieczenia danych osobowych jest zapewniony w danym kraju.
W takim przypadku z pomocą przychodzi nam Komisja Europejska, która na podstawie art. 25 ust. 6 Dyrektyw 95/46/WE może wydać decyzję, że dane państwo zapewnia adekwatny poziom ochrony danych.
Jeżeli pracodawca zidentyfikuje, że państwo do którego zamierza przesłać dane, jest jednym z tych państw, które daje takie same gwarancje ochrony danych osobowych jak na terytorium Polski – wtedy dane osobowe pracowników mogą być przesłane i transfer taki można potraktować jak transfer w ramach EOG. Dlatego też, przed dokonaniem transferu, konieczne jest sprawdzenie zakresu decyzji Komisji Europejskiej.
Przykładowo, decyzja Komisji Europejskiej obejmuje Izrael, Nową Zelandię oraz Szwajcarię2. Natomiast w odniesieniu do Stanów Zjednoczonych Ameryki Północnej oraz innych państw trzecich możliwością legalnego transferu danych osobowych jest zawarcie z podmiotem, do którego przekazujemy dane osobowe umowy o przekazaniu danych osobowych. Umowa taka może być zawarta w oparciu o wzorcowe klauzule umowne, które zostały wydane przez Komisję Europejską3.
W takim wypadku, jeżeli strony zawarły umowę w oparciu o niezmienione wzorcowe klauzule umowne (tzn. w takim samym brzmieniu jak w decyzji Komisji Europejskiej), zgoda Generalnego Inspektora Danych Osobowych nie jest wymagana. Zgoda GIODO nie będzie również wymagana w przypadku, gdy uprzednio zatwierdził on w drodze decyzji administracyjnej wiążące reguły korporacyjne (tzw. BCR).
W pozostałych przypadkach, oczywiście poza uzyskaniem zgody podmiotu danych osobowych, konieczne będzie uzyskanie uprzedniej zgody GIODO na zawarcie umowy o przekazaniu danych osobowych zgodnie z rozdziałem 7 uodo.
| Przykład 4 Spółka z siedzibą w Polsce planuje oddelegować swojego pracownika do spółki z grupy z siedzibą w Indiach. Czy w takiej sytuacji potrzebna jest zgoda pracownika? Pracownik podpisując aneks do umowy o pracę związany z oddelegowaniem do Indii, powinien wyrazić zgodę na transfer danych osobowych do Indii pomiędzy administratorami danych osobowych (polskim pracodawcą oraz indyjskim pracodawcą). Jest to uzasadnione tym, że transfer danych osobowych odbywa się w celu wykonania umowy pomiędzy pracodawcą a pracownikiem. W takiej sytuacji, zgodnie z art. 47 ust. 3 pkt 1 uodo, zgoda pracownika sankcjonuje transfer danych do państwa trzeciego. |
| Przykład 5 Podjęto globalną decyzję korporacyjną o umieszczeniu danych osobowych wszystkich pracowników spółek z grupy na serwerze w Wietnamie. Jakie obowiązki w takiej sytuacji ciążą na polskim pracodawcy? W takiej sytuacji polski pracodawca, który jest administratorem danych osobowych powinien zawrzeć z podmiotem z Wietnamu umowę o przekazaniu danych osobowych, w oparciu o wzorcowe klauzule umowne. Istnieją dwa typy wzorcowych klauzul umownych. W zależności od charakteru relacji pomiędzy podmiotem z Wietnamu a polskim pracodawcą (wzorzec – administrator danych osobowych do administratora danych osobowych albo administrator danych osobowych do przetwarzającego dane osobowe). |
Niezależnie od wyżej przedstawionych regulacji dotyczących transferu danych osobowych w ramach EOG lub do państwa trzeciego, dobrą praktyką pracodawcy powinno być informowanie pracowników o transferze ich danych osobowych oraz zakresie, celach przekazania, odbiorcach danych oraz ich prawach (np. prawie do wyrażenia sprzeciwu, jeżeli dane osobowe zostały zebrane niezgodnie z prawem, lub ich poprawiania).
Aleksandra Mazur-Zych
radca prawny, Kancelaria Prawna EY Law, radca prawny w kancelarii prawnej stowarzyszonej z firmą doradczą EY (Ernst & Young Law Tałasiewicz i Wspólnicy)
Michał Balicki
adwokat, Kancelaria Prawna EY Law, adwokat w kancelarii prawnej stowarzyszonej z firmą doradczą EY (Ernst & Young Law Tałasiewicz i Wspólnicy)
1 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182. ze zm.).
2 Pełna lista dostępna jest m.in. na stronie internetowej Generalnego Inspektora Danych Osobowych http://www.giodo.gov.pl/163/id_art/1519/j/pl/.
3 Decyzja Komisji 2001/497/WE, Decyzja Komisji 2004/915/WE oraz Decyzja Komisji 2010/87/WE.
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r.; poz. 1182 ze zm.).
