Karwala Damian, Komercyjne transfery danych osobowych do państw trzecich

Współczesny świat w zakresie współpracy gospodarczej, ale również współpracy politycznej, społecznej czy kulturalnej, przeżywa prawdziwą „eksplozję informacyjną”. Ilość danych przetwarzanych, analizowanych, jak również przekazywanych pomiędzy przedsiębiorstwami, podmiotami publicznymi, organizacjami międzynarodowymi oraz poszczególnymi państwami stale rośnie. Przyczynia się do tego wiele czynników, wśród których najważniejsze wydają się być: postępująca globalizacja, rozwój technologiczny (m.in. usługi chmurowe, cloud computing), w tym rozwój środków nowoczesnej komunikacji (komunikatory internetowe itd.), zjawisko określane mianem cyfrowej transformacji (digital transformation), wreszcie zwiększone zaangażowanie w transgraniczne operacje na danych ze strony przedsiębiorców oraz jednostek, co ma związek m.in. z rozwojem handlu elektronicznego, mediów społecznościowych czy tzw. platform cyfrowych. W tych realiach kluczowe są, z jednej strony, zdolność do nieskrępowanego przekazywania danych pomiędzy granicami państw, jak również możliwość dostępu do danych bez względu na ich lokalizację. Z drugiej strony pamiętać należy o zobowiązaniu Unii Europejskiej do właściwego zabezpieczenia sfery prywatności obywateli unijnych, co nieuchronnie wpływa na swobodę w zakresie międzynarodowych przesyłów danych. Na te sprzeczne tendencje nakłada się zmieniający się kształt operacji transferowych: o ile bowiem przed kilkunastu jeszcze laty operacje ponadgranicznych przesyłów danych, w tym danych osobowych, miały stosunkowo prostą konstrukcję, przebiegając zasadniczo pomiędzy jednym a drugim punktem (np. pomiędzy pojedynczymi przedsiębiorstwami), o tyle obecnie operacje te są o wiele bardziej skomplikowane, uwzględniają one udział licznych urządzeń oraz podmiotów, których prawna kwalifikacja powoduje niespotykane dotąd wątpliwości i pytania. Wszystko to sprawia, że problematyka transgranicznego przekazywania danych osobowych stanowi jedno z większych wyzwań pod względem regulacyjnym oraz teoretycznoprawnym.

Praca koncentruje się wokół prawnych zagadnień związanych z przekazywaniem danych osobowych do państw trzecich, czyli poza terytorium Unii Europejskiej (czy szerzej – Europejskiego Obszaru Gospodarczego). Prowadzone rozważania ograniczają się przy tym do operacji transferu danych osobowych o charakterze komercyjnym, mieszczących się w zakresie przedmiotowym dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych . Poza zakresem zainteresowania pozostawione zostały te operacje przekazywania danych osobowych poza obszar UE, które związane są m.in. z bezpieczeństwem publicznym (bezpieczeństwem państwa), obronnością czy działalnością państwa w obszarze prawa karnego. Poruszana w niniejszej pracy problematyka stanowi istotną część unijnej regulacji procesów przetwarzania i ochrony danych osobowych. Rozwiązania koncentrujące się wokół międzynarodowych przepływów danych, które są elementem tej szerszej regulacji, wypełniają jedno z podstawowych w tym zakresie zobowiązań UE, jakim jest podjęcie wszelkich niezbędnych kroków pozwalających na zapewnienie, że prawa unijnych obywateli – w tym ich prawo do prywatności oraz ochrony ich danych osobowych – będą przestrzegane, bez względu na to, gdzie (w jakiej lokalizacji) dane ich dotyczące są przetwarzane.

Zagadnienia będące przedmiotem pracy były dotychczas analizowane w krajowej literaturze przedmiotu, jednakże w większości przypadków wyłącznie w kontekście krajowej regulacji, tj. przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych . Do rzadkości zaliczyć należy próby podejmowania problematyki przekazywania danych osobowych do państw trzecich w szerszym kontekście, w świetle przepisów prawa unijnego . Tematyka ta nie spotkała się także z szerokim zainteresowaniem – również w doktrynie zagranicznej – w kontekście przepisów rozporządzenia 2016/679.

Analiza unijnej regulacji transgranicznego przekazywania danych osobowych została przedstawiona w ujęciu nowatorskim, nieobecnym dotychczas w krajowym piśmiennictwie, w oparciu o podstawowy podział, jaki występuje w zakresie podejścia do tej problematyki w skali świata, tj. z uwzględnieniem podziału na tzw. podejście terytorialne (territorial-based approach) oraz tzw. podejście organizacyjne (organizational-based approach). Pierwsze z nich, za cel stawiając sobie ochronę sfery prywatności jednostek przed zagrożeniami, jakie stwarzają państwa trzecie, nienależące do „bezpiecznego” obszaru, koncentruje się na czynniku geograficznym oraz na porównaniu standardu ochrony danych osobowych w poszczególnych państwach (lokalizacjach) i uzależnia dopuszczalność transferu danych od spełnienia przez państwo docelowe określonego (np. „równoważnego”, „adekwatnego”) poziomu ochrony danych. Drugie z podejść, określane mianem organizacyjnego, uwypukla specyfikę przekazywania danych pomiędzy określonymi podmiotami (organizacjami). W ramach instrumentów prawnych właściwych dla tego podejścia nie wykazuje kluczowego znaczenia poziom ochrony występujący na określonym terytorium, lecz relacje zachodzące pomiędzy podmiotami przekazującymi (eksporterami danych) i odbierającymi dane (importerami danych), w szczególności relacje umowne.

Rozdział pierwszy pracy ma charakter wprowadzający, koncentruje się on na przedstawieniu przyczyn przyjmowania regulacji ochronnych w zakresie międzynarodowych transferów danych. W rozdziale tym wyjaśniona została również istota podejścia terytorialnego oraz podejścia organizacyjnego, w oparciu o ten podział prowadzone są dalsze rozważania. Kolejna część rozdziału pierwszego zawiera uwagi historyczne pozwalające na przedstawienie szerszego kontekstu dla znajdującej się w centrum zainteresowania regulacji unijnej (wcześniej – wspólnotowej). Zaproponowane tu ujęcie – uwzględniające odpowiedni kontekst historyczny, jak również określone założenia teoretyczne – pozwalają na pełniejsze ukazanie i zrozumienie poszczególnych instrumentów transferowych wykorzystywanych w praktyce, w szczególności obrotu gospodarczego. Kontekst historyczny pozwala dodatkowo na przedstawienie rozwiązań przyjętych w przepisach rozdziału V ogólnego rozporządzenia jako przykładu na ewolucyjny (nie zaś – rewolucyjny) rozwój unijnego prawa o ochronie danych osobowych, przynajmniej w obszarze ponadgranicznych transferów danych.

W rozdziale drugim podjęto próbę zdefiniowania kluczowych dla transferowej regulacji ochronnej pojęć, w tym w szczególności takich jak „państwo trzecie” oraz „przekazywanie danych osobowych do państwa trzeciego”. W odrębnych podrozdziałach uwaga skoncentrowana została na istotnych dla praktyki instytucjach, takich jak: tranzyt danych osobowych przez państwo trzecie, tzw. reeksport (zwrotne przekazywanie) danych osobowych oraz operacje tzw. transferów dalszych (onward transfers). W rozdziale drugim analizie poddana została również problematyka związana z zakresem podmiotowym stosowania unijnej regulacji dotyczącej ponadgranicznych transferów danych. W ostatnim z podrozdziałów poruszona została równie istotna dla praktyki kwestia kwalifikacji operacji przekazywania danych osobowych do państw trzecich jako operacji przetwarzania danych oraz wynikające z tego konsekwencje.

Rozdział trzeci poświęcony został podejściu terytorialnemu, występującemu jako zasada unijnej regulacji transferowej, przyjętej w dotychczasowych przepisach prawa unijnego dotyczącego ochrony danych osobowych, tj. przepisach dyrektywy 95/46. Zasadniczy fragment rozdziału trzeciego koncentruje się na analizie konstrukcji adekwatności ochrony danych w państwie trzecim, w tym na próbie zdefiniowania oraz uchwycenia charakteru prawnego warunku adekwatnej ochrony. Istotne miejsce zajmuje tu analiza decyzji Komisji Europejskiej w sprawie adekwatności państw trzecich (adequacy findings) jako podstawowego instrumentu właściwego dla podejścia terytorialnego. W rozdziale tym przedstawiony został również – pomimo stwierdzenia nieważności decyzji stanowiącej podstawę jego funkcjonowania – program tzw. Bezpiecznej Przystani, jako przykład szczególnie interesującego z punktu widzenia prowadzonych rozważań rozwiązania „hybrydowego”, łączącego elementy właściwe dla podejścia terytorialnego oraz organizacyjnego.

W rozdziale czwartym scharakteryzowane zostały instrumenty właściwe dla podejścia organizacyjnego, w szczególności te, które znajdują swe umocowanie w przepisach dyrektywy 95/46, na gruncie jej art. 26 ust. 2, wprowadzającego konstrukcję „odpowiednich zabezpieczeń” jako podstawy przekazywania danych osobowych do państw trzecich. Przyjęta struktura pracy pozwala na ukazanie sposobu, w jaki doszło do uzupełnienia regulacji art. 25 dyrektywy 95/46, właściwej podejściu terytorialnemu, o rozwiązania charakterystyczne dla podejścia organizacyjnego. Istotna część rozdziału czwartego poświęcona jest analizie umów transferowych, ze szczególnym uwzględnieniem tzw. modelowych klauzul umownych (model contractual clauses). Odrębne rozważania poświęcone zostały wiążącym regułom korporacyjnym (binding corporate rules), stanowiącym instrument nieprzewidziany w przepisach dyrektywy 95/46, lecz wykształcony w praktyce, z kluczowym udziałem Grupy Roboczej Art. 29. Prowadzona analiza pozwala na wskazanie elementów właściwych dla podejścia organizacyjnego (ale również dla podejścia terytorialnego) w kontekście poszczególnych instrumentów transferowych analizowanych w tym rozdziale. W ostatnim z podrozdziałów omówione zostały wyjątki od zakazu transferu danych, określone w art. 26 ust. 1 dyrektywy 95/46. Zastosowana w odniesieniu do tychże wyjątków metoda regulacji opartej na ryzyku (risk-based regulation) pozwala na zaliczenie ich do grupy instrumentów właściwych dla podejścia organizacyjnego, choć – co należy zauważyć – nietypowych dla niego, jako że nie wymagają one od organizacji przekazujących dane podejmowania żadnych szczególnych środków.

Ostatni, piąty rozdział poświęcony jest reformie unijnego prawa w zakresie międzynarodowych transferów danych osobowych. Zasadnicza jego część koncentruje się na analizie przyjętych na gruncie rozporządzenia 2016/679 rozwiązań, z wyodrębnieniem mechanizmów transferowych właściwych dla podejścia terytorialnego oraz dla podejścia organizacyjnego. W odrębnym podrozdziale szczegółowej analizie poddany został wyrok TS w sprawie Maximillian Schrems przeciwko Data Protection Commissioner wraz z wynikającymi z tego rozstrzygnięcia skutkami, w tym związanymi z wprowadzeniem programu Tarcza Prywatności UE–USA, który zastąpił program Bezpiecznej Przystani. Ten ostatni, niezwykle istotny wątek pozwala na ukazanie w sposób całościowy zmian zachodzących w ramach unijnej transferowej regulacji ochronnej, których nie sposób odnosić wyłącznie do zmian wprowadzanych na podstawie przepisów rozporządzenia 2016/679.

Monografia stanowi zmodyfikowaną i uaktualnioną wersję rozprawy doktorskiej obronionej przeze mnie z wyróżnieniem na Wydziale Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w lutym 2018 r. W tym miejscu chciałbym wyrazić wielką wdzięczność wszystkim osobom, dzięki którym praca w ogóle powstała oraz przybrała taki, a nie inny kształt. Największa w tym zasługa mojego promotora – Pana dr. hab. Pawła Fajgielskiego, prof. KUL, który okazał mi wielką życzliwość i wsparcie. Za szczególnie cenne uwagi dziękuję recenzentom pracy: Panu dr. hab. Jackowi Janowskiemu, prof. Politechniki Warszawskiej, oraz Panu dr. hab. Mariuszowi Jagielskiemu z Uniwersytetu Śląskiego. Podziękowania należą się również Panu dr. Bogdanowi Fischerowi, który zainteresował mnie tematyką transferową zarówno w wymiarze naukowym (pierwsze publikacje), jak i praktycznym (pierwsze projekty międzynarodowe), oraz Panu adw. Xaweremu Konarskiemu, dzięki któremu skala wyzwań w ramach projektów związanych z ochroną danych osobowych, w tym projektów międzynarodowych, dodatkowo wzrosła, dając satysfakcję w obu tych wymiarach.

W pracy uwzględniony został stan prawny na dzień 1.06.2018 r.