GoldenLine
Zaloguj się
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Czy dobrze rozumiem, że "analizując" możliwości przekazania danych osobowych do państwa trzeciego należy:
- sprawdzić czy państwo docelowe zapewnia "gwarancje ochrony" (art. 47 ust.1) a jeśli nie
- znaleźć przesłankę z art. 47 ust. 3 (np. zgoda osoby), a jeśli nie
- GIODO musi wyrazić na to zgodę (przy zastosowaniu np. standardowych klauzul umownych lub BCR).

Zastanawiam się, czy wystarczające jest uznanie ocen grupy art. 29 które państwa zapewniają odpowiedni poziom ochrony (http://ec.europa.eu/justice/policies/privacy/workinggr....

Czy mając "w ręku" opinię grupy roboczej można bez żadnego problemu powierzyć np. przetwarzanie danych osobowych podmiotowi z Kanady? Czy też należałoby spełnić jeszcze jakieś dodatkowe warunki?
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Leszek K.:
Czy dobrze rozumiem, że "analizując" możliwości przekazania danych osobowych do państwa trzeciego należy:
- sprawdzić czy państwo docelowe zapewnia "gwarancje ochrony" (art. 47 ust.1) a jeśli nie
- znaleźć przesłankę z art. 47 ust. 3 (np. zgoda osoby), a jeśli nie
- GIODO musi wyrazić na to zgodę (przy zastosowaniu np. standardowych klauzul umownych lub BCR).

Uważam, że dobrze Pan rozumie, choć pełniejszy jest opis w artykule 47 ustawy.
Tak więc - jeśli nie mamy odnośnej decyzji na temat danego państwa, i przekazanie danych nie jest obowiązkiem ADO na podstawie przepisów prawa, to potrzebna jest przesłanka, np:

- zgoda osoby na piśmie, albo
- przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie, albo - inne (więcej: http://www.giodo.gov.pl/163/id_art/1519/j/pl/)

Jeśli żadna z tych przesłanek nie zachodzi i nie ma obowiązku przekazania danych na podstawie prawa, występujemy o zgodę do GIODO, opisując sytuację i zastosowane środki dla bezpieczeństwa.
Jednak BCR i standardowe klauzule umowne w naszym systemie to tylko (i aż) przykłady. Ich ewentualnym niezastosowaniem GIODO nie jest związany przy podejmowaniu decyzji, tak samo jak ich zastosowaniem (aczkolwiek byłby sprzeczny z tym, co twierdzi, gdyby miał odmówić podmiotowi stosującemu te zapisy).
Zastanawiam się, czy wystarczające jest uznanie ocen grupy art. 29 które państwa zapewniają odpowiedni poziom ochrony (http://ec.europa.eu/justice/policies/privacy/workinggr....

Po coś nasz GIODO jest członkiem tej Grupy Roboczej...
Czy mając "w ręku" opinię grupy roboczej można bez żadnego problemu powierzyć np. przetwarzanie danych osobowych podmiotowi z Kanady? Czy też należałoby spełnić jeszcze jakieś dodatkowe warunki?

W decyzji dotyczącej Kanady odnajdujemy Art. 3:

1. Nie naruszając kompetencji właściwych władz w Państwach Członkowskich do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego, przyjętych na mocy przepisów innych niż art. 25 dyrektywy
95/46/WE, władze te mogą wykonywać przysługujące im uprawnienia do zawieszenia przekazywania danych do odbiorców w Kanadzie...
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Ja nie jestem pewien czy opinia grupy wystarczy do przekazania danych.

Ocena grupy nie jest wykładnią prawa w Polsce. Można jedynie sugerować się brzmieniem Dyrektywy UE choć i w niej jest zapis, że każdy z członków Uni może stosować ostrzejsze kryteria niż zapisane w dyrektywie. Tak jest nap. w przypadku Węgier i Polski. Tak więc jeżeli nie mamy zgody osoby której dane dotyczą to raczej zwróciłbym się do GIODO. Tym bardziej, że w konkretnym przypadku uzyskanie zgody jest uzależnione od tego jakie dane chcemy przekazywać.

W przypadku Kanady proszę nie zapominać, że nie jest ona członkiem UE więc jej prawodawstwo być może nie spełnia w pełni wymagań nie tyle Dyrektywy UE co naszej uodo.
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Oczywistym jest, że najbezpieczniej spytać GIODO albo mieć zgodę osoby. Wtedy się wątpliwości nie ma.

Uważam jednak, że takie opinie jak Grupy Roboczej mają jakiś cel. Oczywistym jest, że stwierdzają zgodność z Dyrektywą, a nie z prawodawstwem wszystkich krajów członkowskich UE. Ale nie jest to opinia dwudziestu panów Kowalskich, to przecież poważne ciało. I można - moim zdaniem - podejmując decyzję o przekazaniu danych - oprzeć się na takiej decyzji.

Spodziewam się, że niektórzy strzegący litery prawa za chwilę mnie zlinczują, ale ilekroć bywam na spotkaniach przez GIODO organizowanych, tyleż razy spotykam się z szerokimi horyzontami myślowymi wykraczającymi poza literę prawa, a wskazującymi na racjonalność przepisów, ratio legis. Tak było chociażby podczas sympozjum na temat Wiążących Reguł Korporacyjnych.
I chcę też podkreślić, że daleko mi do uwielbienia wszystkich decyzji GIODO i że za pisanie tego typu komentarzy GIODO mi nie płaci :-).

PS.
W przypadku Kanady proszę nie zapominać, że nie jest ona członkiem UE
Szanowny Panie, to da się zauważyć po fakcie, że tym krajem zajęła się Grupa Robocza.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Jacku,

Ma Pan rację. Ale musi Pan przyznać, że jak sam Pan zauważył, Grupa wypowiada się w imieniu UE. Nie zamierzam absolutnie podważać jej powagi. Znając jednak rozbieżności pomiędzy prawodawstwem w poszczególnych krajach uważam, że o ile w przypadku krajów samej UE można się oprzeć na jej opiniach to jeżeli chodzi o pozostałe kraje to wymaga to już sprawdzenia jakie dane są przekazywane i lokalnych aktów prawnych.

Sama Dyrektywa, a tym samym i decyzje Grupy okeślają minimalny poziom bezpieczeństwa jaki jest zagwarantowany we wszystkich krajach UE. Proszę zauważyć że mówimy tu o poziomie minimalnym a nie adekwatnym do obowiązujących w danym kraju przepisów. Ochrona danych osobowych to nie tylko uodo. To również inne akty prawne. W przypadku Polski np. trzeba wziąść pod uwagę między innymi ustawę o informacji nie jawnej, ustawę o bankowości, ustawę o świadczeniu usług elektronicznych. Pozornie akty te nie dotyczą uodo ale faktycznie niektóre ich zapisy służą właśnie ochronie danych osobowych. Stąd w przypadku przekazywania danych poza Unię i braku zgody osoby której dane dotyczą moja wątpliwość.

Problem znam z autopsji ponieważ kilka lat dyskutowałem z kolegami z Niemiec na temat przekazywania danych osobowych. Chcieli oni wdrożyć standard korporacyjny na terenie Europy w zakresie danych osobowych. Niestety nie udało się. Okazało sie że są za duże rozbieżności chociażby w kwesti odpowiedzialności za przetwarzanie danych osobowych i właśnie w związku z lokalnym prawodawstwem w poszczególnych krajach. Jako ciekawostkę podam, że jednym z największych wyzwań było prawo antymafijne we Włoszech.

Dlatego podtrzymam swoją opnię, że w przyapdku braku zgody na przekazywanie danych za granicę lepiej dmuchać na zimen. Ponieważ można się sparzć i to nawet w samej Uni.

Osobiście zgadzam się z Panem, że trzymanie się stricte litery prawa nie zawsze jest najlepszym wyborem, ponieważ życie wielokrotnie stwarza sytuacje o której prawnikom nawet w snach sie nie śniło. Szczególnie, że technika przetwarzania i przesyłania informacji rozwija sie o wile szybciej niż dostosowanie zapisów prawa do jej poziomu. Jednak prawo jakie jest takie jest i należy go przestrzegać. Lub, co wielokrotnie robiłem znaleźć takie rozwiązania by wilk był syty i owca cała.

Jest jeszcze jedna sprawa. Proszę nie zapominać o ryzyku biznesowym. Jeden niezadowolony klient, mający realne podstawy do swoich pretensji może doprowadzić firmę do bakructwa. Prawnik powie, że nic się nie stanie i pójdziemy do sądu. Zgoda, on wygra sprawę i weźmie honorarium tylko klienci w tym czasie odejdą i firma zostanie z "ręką w nocniku".
Link do wypowiedziLink
Wojciech Rafał Wiewiórowski

Wojciech Rafał Wiewiórowski Zastępca
Europejskiego
Inspektora Ochrony
Danych i Adiunk...

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Tylko jedna drobna podpowiedź :)

Z poradnika ze strony GIODO

"Komisja Europejska na mocy art. 25 ust. 6 dyrektywy 95/46/WE jest uprawniona do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony danych, co wynika z jego prawa krajowego lub przyjętych przezeń zobowiązań międzynarodowych, szczególnie po zakończeniu negocjacji z Komisją Europejską, w zakresie ochrony życia prywatnego oraz podstawowych praw i wolności osób fizycznych. Uznanie przez Komisję Europejską danego państwa za zapewniające właściwą ochronę danych osobowych oznacza, że daje ono takie same gwarancje ochrony jak na terytorium Rzeczypospolitej Polskiej. Decyzje w sprawie przekazywania danych osobowych wydane dotychczas przez Komisję mają zróżnicowany charakter i zakres zastosowania. "

Tak więc nie chodzi o opinię Grupy art 29, ale o decyzję, czyli o akt prawny UE. Opinia jest tylko dokumentem prowadzącym do wydania decyzji

WW
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Mamy więc dwa dokumenty.Opinię Grupy i Decyzję UE. Jak wynika z wypowiedzi p. Wojtka status aktu prawnego ma Decyzja UE. Cyzli jeżeli możemy się powołać to na Decyzję UE w sprawie stopnia ochrony danych w państwie Trzecim. Są to jednak dwa różne akty prawne i na podstawie opinni Komisja Europejska może ale nie musi wydać Decyzję Art. 31 Dyrektywy 95/46WE (to tak jak z opiniamy Komisji do Ustaw w polskim Sejmie).

Ponadto w przypadku braku zgody nadal podtrzymam swoją opinię że nawet Decyzja bez potwierdzenia ze strony GIODO nie wystarczy do przekazania danych do Państwa Trzeciego. Proszę zwrócić uwagę na Art. 25 pkt. 1 i 2 Dyrektywy. Oprócz spectrum przepisów jakie trzeba zbadać przed stwierdzeniem że państwo "Trzecie" jest bezpieczne to jeszcze jest wskazane wyraźnie, że każdy z Członków Unii może uznać, że nie można przekazywać danych do knkretnego Państwa.

Jak widać każde Państwo Członkowskie Unii jest zgodnie z tymi przepisami samodzielne w decyzji czy dany kraj jest "bezpieczny" z punktu widzenia ochrony danych osobowych czy nie. Ponadto w przypadku zmiany decyzji jednego z Państw mamy do czynienia z "dziurą czasową" ponieważ z punkty widzenia UE dane Państwo jest bezpieczne a z punktu widzenia danego Kraju nie. Stąd opieranie się przy braku agody osób od których zbieramy dane na przekazywanie ich do państwa Trzeciego wyłącznie na podstawie Decyzji UE moż być ryzykowne. Ponadto, sytuacja może czysto teoretyczna ale jednak możliwa, co w przypadku zmiany Decyzji UE z pozytywnej na negatywną.
Link do wypowiedziLink

konto usunięte

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Roman Janas:

W przypadku Kanady proszę nie zapominać, że nie jest ona członkiem UE więc jej prawodawstwo być może nie spełnia w pełni wymagań nie tyle Dyrektywy UE co naszej uodo.

W stosunku do Kanady została wydana decyzja z dnia 20 grudnia 2001 r., 2002/2/WE, Dz. Urz. WE L 2/13. W decyzji uznano, że Kanada gwarantuje adekwatny poziom ochrony danych osobowych. Oznacza to, że transfer danych do Kanady jest zgodny z europejskim i polskim prawem i dla swojej legalności nie wymaga zgody osób, których dane dotyczą.
Link do wypowiedziLink

konto usunięte

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Roman Janas:
>
Ponadto w przypadku braku zgody nadal podtrzymam swoją opinię że nawet Decyzja bez potwierdzenia ze strony GIODO nie wystarczy do przekazania danych do Państwa Trzeciego. Proszę zwrócić uwagę na Art. 25 pkt. 1 i 2 Dyrektywy. Oprócz spectrum przepisów jakie trzeba zbadać przed stwierdzeniem że państwo "Trzecie" jest bezpieczne to jeszcze jest wskazane wyraźnie, że każdy z Członków Unii może uznać, że nie można przekazywać danych do knkretnego Państwa.

Decyzja KE jest wystarczająca dla legalizacji transferu. Stanowisko Komisji zawarte w decyzjach ma charakter wiążący dla państw członkowskich Unii Europejskiej, w tym dla krajowych organów ochrony danych osobowych. Oczywiście więc, że można wystąpić o zgodę do GIODO - pytanie tylko, po co, skoro skutek i tak wynika z decyzji KE.
Link do wypowiedziLink
Wojciech Rafał Wiewiórowski

Wojciech Rafał Wiewiórowski Zastępca
Europejskiego
Inspektora Ochrony
Danych i Adiunk...

Temat: Przekazywanie danych do państwa trzeciego - możliwości

W sprawie krajów "z decyzją o adekwatności" umarzamy postępowanie

WW
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Pawle,

Nie zgodzę się co do Pana stanowiska w sprawie decyzji KE. By nie byc gołosłownym zacytuję dosłownie (z polskiego tłumaczenia) fragment Dyrektywy

"Artykuł 25

Zasady

1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności
z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony.

2. Odpowiedni stopień ochrony danych zapewnianej przez
państwo trzecie należy oceniać w świetle wszystkich okoliczności
dotyczących operacji przekazania danych lub zbioru takich
operacji; szczególną uwagę zwracać się będzie na charakter
danych, cel i czas trwania proponowanych operacji przetwarzania
danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i branżowe,obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie.

3. Państwa Członkowskie i Komisja będą informować się
wzajemnie o przypadkach, kiedy uznają, że państwo trzecie
nie zapewnia odpowiedniego stopnia ochrony w znaczeniu
ust. 2."

KE wyraźnie wskazuje, że każdy z członków Wspólnoty ma prawo niezależnie podejmować, oczywiści w opraciu o rzeczywiste a nie urojone przesłanki czy dane państwo Trzecie zapewnia czy nie odpowiedni stopień ochrony w stosunku do prawa krajowego.

Temat przepisów unijnych i to nie tylko w zakresie ochrony danych to odrębny temat. Nie możemy się jednak bezkrytycznie zgadzać, że to co proponuje Unia jest dobre. Jest na pewno ale dla całej (tutaj nie jestem tego taki pewien) Uni ale nie musi być dla poszczególnych jej członków czego przykłady możemy znaleźć nawet wśród członków "starej" Uni. Dla przykładu wieczne problemy z rolnictwem w kontekście Niemcy - Francja. Myślę że Art. 25 pkt. 3 jest tego odzwirciedleniem. Ludzie którzy pisali ten tekst byli świadomi, że nawet w tym przypadku nie da się pogodzć wszystkich członków Uni. Ponadto potwierdza to moją tezę, że Decyzje KE nie są aktami nadrzędnymi dla regulacji krajowych. Mogą służyć jedynie jako przesłanka do wydania zgody.Roman Janas edytował(a) ten post dnia 11.09.11 o godzinie 19:14
Link do wypowiedziLink

konto usunięte

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Romanie,

Nie bardzo rozumiem, o co chodzi. W przypadku powołanego przez Pana przepisu dyrektywy chodzi o wymianę informacji pomiędzy państwami i państwami a Komisją. I oczywiście, że państwa same podejmują decyzje - po czy jak uznają, że jakieś państwo nie spełnia wymogów adekwatności ochrony, informują się o tym wzajemnie. I tyle.
Ale decyzje Komisji, o których pisałem wyżej, wiążą państwa członkowskie. I jeżeli taka decyzja zostanie wydana to nie ma już nie ma miejsca na ocenę przez państwo - organ ochrony danych w państwie jest związany stanowiskiem KE. Co zresztą w praktyce potwierdził dr Wiewiórowski pisząc, że w przypadku, gdy wpłynie wniosek dot. państwa objętego decyzją, postępowanie jest umarzane. Tak więc mam wrażenie, że pisze Pan całkowicie o czymś innym.Paweł Litwiński edytował(a) ten post dnia 11.09.11 o godzinie 19:19
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Wojciechu,

Bardzo mie cieszy, że umarzacie Państwo postępowanie. Nie jestem za zbytnią biurokracją.

Jest tutaj coś o czym nie mówiliśmy. Macie Państwo przynajmniej dokumentację kto i co transmituje lub chce transmitować do państw Trzecich. Jeżeli przyjmiemy stanowisko jest Decyzja KE nie jest potrzeba zgoda osoby której dane transitujemy ani pytać GIODO o zgodę to nawet takim rejestrem nie będziemy dysponować. Czyli praktycznie jedno z główncy założeń ochrony danych osobowych obywateli po prostu "bierze w łep". Ponieważ praktycznie każdy zbiór danych można przesłać za granicę. A dane osobowe to wbrew pozorom bardzo dobry biznes.
Link do wypowiedziLink

konto usunięte

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Roman Janas:
Jeżeli przyjmiemy stanowisko jest Decyzja KE nie jest potrzeba zgoda osoby której dane transitujemy ani pytać GIODO o zgodę to nawet takim rejestrem nie będziemy dysponować. Czyli praktycznie jedno z główncy założeń ochrony danych osobowych obywateli po prostu "bierze w łep". Ponieważ praktycznie każdy zbiór danych można przesłać za granicę.

Jeżeli to będzie powierzenie danych do przetwarzania, wymaga umowy na piśmie oraz - jeżeli zbiór podlega rejestracji - zawiadomienia GIODO. Czyli zawsze przy powierzeniu jakiś ślad zostaje. Jeżeli to jest udostępnienie danych, b. często odbiorca podlega odnotowaniu jako odbiorca danych w rozumieniu art. 7 uodo. Czyli prawie zawsze przy udostępnieniu jakiś ślad zostaje. Nie przesadzałbym więc z tym "braniem w łeb" ;-)
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Pawle,

Nie zgodzę się z Pana interpretacją tego punktu.

Według mnie jeżeli jakiś członek Uni podejmie decyzję, że nie uznaje konkretnego Państwa, z konkretnych powodów jako stronę zaufaną to informuje o tym Komisję i Komisja ponownie rozpatruje decyzję (tak rozumiem pkt. 4 Art. 25 i kolejne). Do momentu wydania nowej decyzji Państwo trzecie może być traktowane przez Unie jako zaufana strona ale przez Państwo które zgłosiło zastrzeżenia nie.

Ponadto proszę zwrócić uwagę na końcowy akapit Art. 25 "Państwa Członkowskie podejmują środki niezbędne w celu wykonania decyzji Komisji". Jest to oczywista furtka. Jeżeli z jakichś powodów któreś z Państw nie jest zainteresowane przesyłaniem z automatu danych do innego Państwa to takie "podejmowanie środków" może trawć stosownie długo.

Ponadto jak Pan na pewno wie w Uni (również w "starej") są równi i rówiejsi. Przykład, który nas bezpośrednio dotycz to sprawa gazociągu "bałtckiego". Dla nas to "kiepski biznes" dla innych złoty interes. Dlatego jestem przeciwnikiem podejścia, że jeżeli Unia podejmuje decyzje to my je bezkrytycznie realizujemy. Jak już pisałem Dyrektywa UE w zakresie ochrony danych wyraźnie mówi o minimalnym poziomie bezpieczeństwa. W tym samy dokumencie autorzy piszą, że każde z Państw członkowskich może wdrożyć przepisy ostrzejsze niż wskazane w Dyrektywie. Nie ma tutaj więc żadnego automatu. Jest jedynie podstawa do zminimalizowanie zakresu koniecznej do wykonania pracy.

Jeżeli jest Dyrektywa która mówi że dane państwo Trzecie jest zaufaną stroną to musimy jedynie sprawdzić, czy jeżeli przepisy krajowe są ostrzejsze (a tak jest w przypadku Polski) lub ma dodatkowe regulacje dotyczące ochrony danych zapisane w innych dokumentach (to również ma miejsce w naszym kraju) czy dane Państwo Trzecie spełnia te warunki.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Pawle,

Chyba obaj siedzimy przy komputerze i śledzimy ten wątek.

Zgadzam się z Panem, że fakt przekazania danych bardzo bardzo często (z tym zawsze bym nie przesadzał) odnotowany w takiej lub innej formie. Jest tylko jedno ale. Najczęściej jest odnotowany w dokumentach firmowych a nie rządowych. Czyli Państwo za pośrednictwem swoich organów w sytuacji o której rozmawiamy nie ma informacji jakie dane i gdzie są przekazywane.

A jeżeli już opieramy się o zapisy uodo to tekst ustawy w Art. 47 wyraźnie mówi "Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo
docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej". Czyli nie ma tutaj mowy o Uni. Jest wyraźnie napisane że Państwo Trzecie musi spełniać gwarancje takie jakie są na terenie Rzeczypospolitej Polskiej.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Rzeczywiście - opinie grupy roboczej to opinie, a decyzję podejmuje m.in. Komisja.

Swoim charakterem odpowiadają decyzjom wydawanym w polskim porządku prawnym. Adresatami decyzji są przede wszystkim państwa członkowskie dla których mają one charakter wiążący. Jeżeli decyzja jest adresowana do wszystkich państw członkowskich, wówczas publikowana jest w Dzienniku Urzędowym UE (taki nasz dziennik ustaw :-). -> http://ec.europa.eu/eu_law/introduction/what_decision_... oraz http://ec.europa.eu/civiljustice/glossary/glossary_pl...., gdzie napisano
W prawie wspólnotowym decyzja to dokument legislacyjny wiążący w całosci dla wszystkich podmiotów, do których jest skierowany. Decyzję może przyjąć zgodnie z Traktatem WE albo Parlament Europejski i Rada, albo Rada albo Komisja. Decyzje rzadko wykorzystuje się w dziedzinie współpracy sądowej w sprawach cywilnych. Europejską Sieć Sądową w sprawach Cywilnych i Handlowych ustanowiono decyzją Rady.

Zatem należy zgodzić się z GIODO - skoro jest decyzja, to ona dla Polski jest wiążąca.

Zgadzam się z Panem Pawłem - dane zazwyczaj przekazuje się na jakiejś podstawie. A więc jeśli to będzie powierzenie - będzie umowa (bo musi być), jeśli udostępnienie (najczęściej chodzi o handel danymi) - odnotowanie udostępnienia, jedyny przypadek kiedy śladu może nie być to przekazanie danych w ramach korporacji, ale tu także widziałbym umowy powierzenia - bo spółki grupy to najczęściej odrębne podmioty. Nie mam pewności jak traktować oddziały firmy, być może podobnie.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Panie Leszku,

Decyzja jest wiążca w dla GIODO w zakresie minimalnego poziomu ochrony a nie poziomu adekwatnego dla polskich przepisów.

Jeżeli chodzi o kwestię oddziału firmy w przypadku państwa Trzeciego reguluje uodo w Art. 31a. Dla firm "Unijnych" nie ma tutaj, o ile wiem, żadnych regulacji.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Ja to rozumiem tak, że jeśli chodzi o same "gołe" dane osobowe, to decyzja jest wiążąca :-). Jeśli dane będą "ubrane" w np. tajemnice bankową - podlegają silniejszej ochronie, a tu ustawa w art. 5 określa, że

Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.Leszek K. edytował(a) ten post dnia 11.09.11 o godzinie 22:03
Link do wypowiedziLink

konto usunięte

Temat: Przekazywanie danych do państwa trzeciego - możliwości

Roman Janas:
>
A jeżeli już opieramy się o zapisy uodo to tekst ustawy w Art. 47 wyraźnie mówi "Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo
docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej". Czyli nie ma tutaj mowy o Uni. Jest wyraźnie napisane że Państwo Trzecie musi spełniać gwarancje takie jakie są na terenie Rzeczypospolitej Polskiej.

Z chwilą przystąpienia Polski do Unii Europejskiej, w systemie prawa Rzeczypospolitej Polskiej pojawiły się pewne nowe elementy. Mam na myśli prawo Unii Europejskiej, pierwotne (traktaty) i wtórne (stanowione na podstawie traktatów). To prawo korzysta z pierwszeństwa przed prawem krajowym i jest to jedna z fundamentalnych zasad prawa wspólnotowego. Tak więc mimo tego, że w uodo nie ma mowy o decyzjach, to są one wiążące dla swoich adresatów (w tym wypadku: Państw) i korzystają z pierwszeństwa przed prawem krajowym.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Przekazywanie danych do kra...




Wyślij zaproszenie do
Anuluj