| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Kadry > Indywidualne prawo pracy > Ochrona danych osobowych > Transfer danych osobowych za granicę

Transfer danych osobowych za granicę

Wzrastająca liczba międzynarodowych korporacji powoduje, że dane pracowników często są transferowane do krajów trzecich. Taka sytuacja wymaga od pracodawców posiadania niezbędnych informacji dotyczących bezpiecznego przesyłania danych osobowych.

Dodatkowo pracodawca może przekazać dane osobowe do państwa trzeciego w sytuacji, gdy:

  • osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
  • przekazanie jest niezbędne do wykonania umowy między administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
  • przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a innym podmiotem,
  • przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
  • dane są ogólnie dostępne.

W każdym innym przypadku transfer danych jest dopuszczalny wyłącznie po uzyskaniu zgody GIODO.

Dyrektywa zastrzega, że w celu zapewnienia legalności operacji transferu danych osobowych nie wystarcza istnienie w państwie trzecim odpowiedniego stopnia ochrony. Dodatkowo pracodawca jako administrator danych jest zobowiązany zadbać o to, aby przekazywane dane były zgodne z odpowiednimi przepisami kraju pochodzenia danych. Oznacza to, że konieczne jest spełnienie nie tylko szczegółowych przesłanek transferu danych do państwa trzeciego (art. 47–48 ustawy), lecz także wszystkich wymogów ogólnych nałożonych ustawą (dane muszą być m.in. pozyskane i przetwarzane zgodnie z prawem).

Komisja Europejska uznała, że w przypadku transferu danych osobowych pracowników do podmiotu mającego swoją siedzibę na terenie USA, jeśli odbiorcą danych jest przedsiębiorca, który przystąpił do programu Safe Harbor, to transfer danych nie wymaga spełnienia dodatkowych wymogów.

Przykład

Pracodawca w celu ułatwienia pracy działom kadr i płac postanowił umieścić wszystkie dane pracowników na serwerze zewnętrznym. Zarówno serwer, jak i firma nim administrująca znajduje się na terenie USA. W takiej sytuacji pracodawca jako administrator danych osobowych pracowników powinien zadbać o to, aby dane te były wystarczająco dobrze chronione. Jeżeli firma administrująca serwerem przystąpiła do programu Safe Harbor, to pracodawca może uznać, że ochrona danych osobowych w tym przedsiębiorstwie spełnia minimalne wymagania, jakie są niezbędne do przetwarzania w Polsce. Natomiast jeżeli firma ta nie przystąpiła do wspomnianego wyżej programu, pracodawca–administrator danych musi zadbać o bezpieczeństwo transferowanych danych osobowych i wystąpić o odpowiednią zgodę do Generalnego Inspektora Ochrony Danych Osobowych.

Wiążące reguły korporacyjne (BCR)

Pewnym sposobem ułatwiającym transfer danych pracowników wewnątrz międzynarodowych korporacji, posiadających oddziały w różnych częściach świata, jest opracowanie wewnątrzkorporacyjnych przepisów zapewniających bezpieczeństwo przetwarzania danych (BCR – z ang. Binding Corporate Rulet). Zasada działania tego rozwiązania polega na takim ukształtowaniu reguł przetwarzania danych osobowych, aby były one oderwane od terytorialnych systemów prawa, jednak w każdym przypadku zasady te muszą gwarantować zapewnienie odpowiedniego stopnia ochrony przetwarzanych danych.

Przed zastosowaniem BCR muszą uzyskać pozytywną opinię GIODO. W ramach procedury współpracy weryfikuje on treść BCR razem z organami pozostałych państw członkowskich, na terenie których przedsiębiorstwo prowadzi działalność. Dopiero po przeprowadzeniu takiej procedury może zostać wyrażona zgoda na przesyłanie danych w ramach korporacji na podstawie BCR.

Podstawa prawna:

  • art. 47–48 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),
  • art. 25 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (DzUrz UE L 281 z 23.11.1995 r., s. 31, DzUrz UE Polskie wydanie specjalne 2004 r. rozdz. 13, t. 15, s. 355).
reklama

Narzędzia kadrowego

POLECANE

PRAWO PRACY DLA RODZICÓW

reklama

Ostatnio na forum

Fundusze unijne

WYDARZENIA

Eksperci portalu infor.pl

Bartosz Michałek

Ekspert w zakresie finansów osobistych.

Zostań ekspertem portalu Infor.pl »