Publicystyka - ngo.pl

Jesteśmy na etapie wyboru oprogramowania do zarządzania kontaktami z darczyńcami. Rozważamy różne narzędzia. Wiemy, że ważna będzie tu ochrony danych osobowych. W przypadku wykorzystywania rozwiązań chmurowych pojawia się kwestia lokalizacji serwerów: czy muszą się one znajdować na terenie EU, czy mogą być również w Kanadzie, USA? Co w przypadku Wielkiej Brytanii (która jest jeszcze w Unii, ale niedługo z niej wychodzi).

Dane osobowe w bezpiecznej przystani

O tym, czy dane państwo trzecie zapewnia odpowiedni poziom ochrony (a więc posiada status tzw. „safe harbour”; bezpiecznej przystani) decyduje Komisja Europejska. Na mocy art. 25 ust. 6 Dyrektywy 95/46/WE jest ona uprawniona do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji z Komisją Europejską, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

Na mocy wydanej w dniu 12 lipca 2016 roku decyzji wykonawczej 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Privacy Shield) możliwe jest przekazywanie danych osobowych do podmiotów mających siedziby w USA, którzy przystąpią do programu Privacy Shield (certyfikacja poprzez zgłoszenie do Federalnej Komisji ds. Handlu).

Na mocy decyzji wydanej z dniu 20 grudnia 2001 roku w sprawie odpowiedniej ochrony danych osobowych zapewnionej w kanadyjskiej ustawie o ochronie informacji osobowych i dokumentów elektronicznych (Personal Information Protection and Electronic Documents Act), możliwe jest przekazywanie danych osobowych do podmiotów mających siedzibę w Kanadzie.

Przekazywanie danych osobowych do Kanady jest jednak o tyle specyficzne, iż nie wszyscy usługodawcy (dostawcy usługi chmurowej) będą podlegali ustawie o ochronie informacji osobowych i dokumentów elektronicznych (np. przedsiębiorstwa mające siedziby w prowincji Québec oraz Albercie podlegają podobnemu, lecz odrębnemu ustawodawstwu). Jeżeli przekazanie danych miałoby nastąpić na rzecz podmiotu nie podlegającemu ustawie o ochronie informacji osobowych i dokumentów elektronicznych, zalecane jest podjęcie dodatkowych środków bezpieczeństwa.

Bardziej szczegółowe informacje w tym zakresie (jak również w zakresie państw, które zapewniają odpowiedni poziom ochrony) dostępne są na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych pod adresem http://giodo.gov.pl/163/id_art/1519/j/pl/.

Na początku 2017 r. Wielka Brytania cały czas jeszcze należy do UE i nie jest traktowana jako państwo trzecie. W chwilę obecną przekazywanie danych do tego państwa nie jest więc problemem.

Jednak po wyjściu Wielkiej Brytanii z UE konieczne będzie ustalenie nowych reguł współpracy w zakresie ochrony danych. Na dzień dzisiejszy te nowe reguły nie są jeszcze znane. Najprawdopodobniej zostaną tu zastosowane podobne założenia jak przy przekazywaniu danych osobowych do innych państw trzecich, tj. Komisja Europejska wyda stosowną decyzję uznającą Wielką Brytanię za państwo zapewniające odpowiedni poziom ochrony.

Nie jest również wykluczone, że Wielka Brytania zostanie członkiem Europejskiego Stowarzyszenia Wolnego Handlu (EFTA) i nie będzie traktowana, w myśl polskich przepisów, jako państwo trzecie. Na chwilę obecną udzielenie jednoznacznej odpowiedzi nie jest jednak możliwe.

Alternatywnie, jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony, dane osobowe mogą zostać przekazane do państwa trzeciego w przypadku, gdy osoba, której dane dotyczą, udzieli na to zgody na piśmie.

Jeżeli natomiast państwo trzecie nie zapewnia odpowiedniego poziomu ochrony i brak jest pisemnej zgody osoby, której dane dotyczą, przekazanie danych osobowych do takiego państwa możliwe jest po uzyskaniu zgody Generalnego Inspektora Ochrony Danych Osobowych.

zobacz w PORADNIK.NGO.PL:
Dane osobowe w organizacji pozarządowej

Więcej informacji: http://www.centrumprobono.pl/

Gide jako jedna z pierwszych międzynarodowych kancelarii otworzyła biuro w Polsce w 1991 r. Obecnie w warszawskim biurze kancelarii Gide pracuje około 40 adwokatów, radców prawnych i doradców podatkowych. Klientami warszawskiego biura kancelarii są między innymi instytucje finansowe, banki, firmy ubezpieczeniowe, inwestorzy zagraniczni, spółki i inne przedsiębiorstwa krajowe w tym spółki Skarbu Państwa oraz instytucje z sektora publicznego.

Prawnicy kancelarii mają rozległe doświadczenie w doradztwie w zakresie obowiązków administratorów danych osobowych oraz innych podmiotów przetwarzających dane osobowe i regularnie doradzają swoim klientom (mającym siedziby zarówno w państwach Europejskiego Obszaru Gospodarczego jak i w państwach trzecich) w sprawach z zakresu bezpieczeństwa danych osobowych, ich przetwarzania oraz udostępniania innym podmiotom.

Kancelaria Gide od lat angażuje się w działania pro bono.

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.