1 / 31

Przekazywanie przez firmy leasingowe danych osobowych za granicÄ™

Przekazywanie przez firmy leasingowe danych osobowych za granicę. Dr Bogdan Fischer Kancelaria Prawna Chałas i Wspólnicy. Forum Leasingu 22 października 2008 r. Przykładowe cele przetwarzania danych przez firmy leasingowe. uzyskiwanie informacji o korzystającym od osób trzecich.

viet
Download Presentation

Przekazywanie przez firmy leasingowe danych osobowych za granicÄ™

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Przekazywanie przez firmy leasingowe danych osobowych za granicę Dr Bogdan Fischer Kancelaria Prawna Chałas i Wspólnicy Forum Leasingu 22 października 2008 r.

  2. Przykładowe cele przetwarzania danych przez firmy leasingowe • uzyskiwanie informacji o korzystającym od osób trzecich • przekazywanie danych do innych podmiotów prawnie lub strukturalnie powiązanych z finansującym • analiza sytuacji finansowej, zdolności kredytowej korzystającego, określenie limitów zaangażowania finansowego, a także analiz finansowych, jakości i zmian portfela leasingowego oraz oceny ryzyka związanego z finansowaniem korzystającego • cele archiwalne • przekazywanie danych osobowych do przetwarzania przez podmioty, którym finansujący zleca czynności niezbędne do zawarcia umowy • przekazywanie danych firmom windykacyjnym • HR

  3. Kraj trzeci Wejście Polski do UE wiązało się z istotnymi zmianami w ustawie o ochronie danych osobowych, w tym zdefiniowaniem pojęcia “kraju trzeciego” i wyłączeniem z jego zakresu, krajów EOG.

  4. Przedstawiciel Dla praktycznej realizacji przestrzegania praw i obowiązków w związku z przetwarzaniem danych na administratora z „państwa trzeciego”, który przetwarza dane osobowe na terytorium Polski nałożono obowiązek wyznaczenia swojego przedstawiciela w Polsce, aczkolwiek przedstawiciel nie ma w Ustawie wprost określonego statusu w tym zakresu swojej odpowiedzialności.

  5. Przekazanie danych osobowych Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

  6. Oceny dokonuje samodzielnie administrator Nie może przed rozpoczęciem transferu oprzeć się na żadnych zaświadczeniach wydanych w tym zakresie przez GIODO. W razie wątpliwości przy dokonywanej ocenie zgodnie ze stanowiskiem GIODO „(…) administrator danych zamierzający przekazywać dane do państwa trzeciego powinien legitymować się jedną z przesłanek określonych w art. 47 ust 2 i 3 lub art. 48 ustawy o ochronie danych osobowych”.

  7. Ogólna ocena wydawana przez GIODO miałaby ogromne znaczenie praktyczne • Uzyskanie generalnych wskazówek co do stanu prawnego w danym państwie, mogłoby stanowić wstępny etap poprzedzający ocenę szczegółową – uwzględniającą konkretne okoliczności transferu danych, zwłaszcza ryzyka związanego z transferem. Ta ostatnia ocena należałaby do administratora danych i to on ponosiłby za nią odpowiedzialność. • Polska ustawa nie wymienia również expressis verbis przesłanek, które należy uwzględnić przy dokonywaniu oceny.

  8. Problemy z oceną ma nawet Komisja Europejska Komisja Europejska w punkcie 4 preambuły do decyzji nr 2001/497/WE, wskazuje iż „jest mało prawdopodobne, aby Komisja, w krótkim lub średnim okresie, przyjęła decyzje, co do zapewnienia odpowiedniego poziomu ochrony zgodnie z art. 25 ust. 6, w odniesieniu do większej niż ograniczona liczba państw”.

  9. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli: • osoba, której dane dotyczą, udzieliła na to zgody na piśmie • przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie • przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem • przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą • dane są ogólnie dostępne

  10. Zgoda na piśmie Zgoda osoby której dane dotyczą. Art. 47 ust. 3 pkt 1 Ustawy różni się w tym względzie od Dyrektywy, która przewiduje jedynie, aby zgoda była „jednoznaczna”, bez względu na formę pisemną czy też jej brak. Pozorna oczywistość stwarzająca liczne praktyczne problemy. Istotnych wskazówek interpretacyjnych dostarczył dokument WP 114 z 25 listopada 2005 roku opublikowany przez Grupę Roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (dalej: Grupa Robocza).

  11. Zgoda na piśmie Zgoda dla swej skuteczności jako podstawy przekazywania danych do państwa trzeciego musi być: • swobodna • skonkretyzowana • wyrażona przy pełnej świadomości tego, na co się godzi dana osoba. W sytuacji gdy tych cech nie posiada, nie będzie można uznać udzielonej zgody za ważną.

  12. Przykładowe oświadczenie – zgoda korzystającego • Korzystający wyraża zgodę i upoważnia niniejszym Finansującego do przekazywania do Banku jak innych podmiotów prawnie lub strukturalnie powiązanych z Finansującym, zarówno w kraju jak i zagranicą, wszelkich informacji prawnych, gospodarczych lub ekonomiczno-finansowych o Korzystającym, które są lub znajdą się w posiadaniu Finansującego. Jednocześnie Korzystający upoważnia Finansującego do otrzymywania podobnych informacji o Korzystającym od ww. osób trzecich. Zgoda i upoważnienie powyższe nie jest ograniczone okresem obowiązywania Umowy Leasingu i może być realizowane bez odwołania. Ww. informacje mogą być wykorzystywane (przetwarzane) w celu analizy sytuacji finansowej, zdolności kredytowej Korzystającego, określenia limitów zaangażowania finansowego, a także analiz branżowych, jakości i zmian portfela leasingowego oraz oceny ryzyka związanego z finansowaniem Korzystającego w ww. podmiotach. • W związku z powyższym, Korzystający, za pośrednictwem Finansującego, upoważnia Bank do przekazywania Finansującemu wyżej wymienionych informacji, a w szczególności: informacji o zaangażowaniu Korzystającego (Klienta) w Banku z tytułu dokonanych czynności bankowych, o przyznanych limitach kredytowych, o stanie i obrotach na rachunkach bankowych, prawnych zabezpieczeniach kredytów, gwarancji oraz bankowych analiz Klienta. • Korzystający został poinformowany, że z uwagi na specjalizację w świadczeniu usług przez spółki leasingowe, wszelkie dotyczące go informacje, w tym jego dane osobowe, zawarte w dokumentach w związku z ubieganiem się o leasing mogą być przekazywane pomiędzy ww. podmiotami. Korzystający wyraża zgodę na przekazywanie tych danych.

  13. Zgoda powinna być wyraźna Por. w tym zakresie orzeczenie NSA z dnia 4 kwietnia 2003 roku. Jak nakazuje Ustawa - udzielona na piśmie, co oznacza m.in., iż nie jest możliwe jej wyrażenie np. poprzez kliknięcie odpowiedniego pola („okna zgody”) na stronie internetowej lub w aplikacji programu komputerowego…

  14. Zgoda w relacjach pracowniczych Liczne przykłady tego typu „wątpliwych” sytuacji mogą występować np. w relacjach pracowniczych. Dlatego też w odniesieniu do przetwarzania i transferu danych pracowniczych jedynie w wyjątkowych sytuacjach będzie można stwierdzić, że zgoda pracownika została udzielona w pełni swobodnie, bez nacisków (poleceń kierowniczych) czy sugestii ze strony przełożonych przy jednoczesnych gwarancjach dla pracownika co do możliwości zmiany lub wycofania zgody oraz wyeliminowaniu ujemnych konsekwencji (np. dyscyplinarnych).

  15. Art. 47 ust. 3 pkt.2 Dwie sytuacje, w których przy istnieniu umowy pomiędzy administratorem danych a osobą, której dane dotyczą może stanowić podstawę dla przekazania tych danych do państwa trzeciego.

  16. Pierwszy przypadek ma miejsce jeżeli przekazanie danych jest niezbędne do wykonanie tej umowy Transfer konkretnych danych musi więc być absolutnie konieczny dla realizacji celu umowy i ściśle z nim związany. Chodzi o wyłącznie taki zakres danych bez których istota umowy nie byłaby dochowana.

  17. Drugi przypadek - gdy przesyłanie danych następuje na życzenie osoby, której dane dotyczą Ustawa jest mniej precyzyjna od Dyrektywy. Dyrektywa- działania poprzedzające zawarcie umowy. Wydaje się, iż pomimo wyraźnego brzmienia Dyrektywy pierwsze zdanie przedmiotowego artykułu Ustawy opisującego wyłącznie stosunki umowne nie pozwala zastosować w tym przypadku szerszej interpretacji.

  18. Możemy wyróżnić jedynie różne inicjatywy przekazania Administrator przesyła dane do państwa trzeciego, gdy jest to niezbędne dla wykonania umowy lub może tego dokonać na życzenie jednostki której dane dotyczą niezależnie od takiej przyczyny. Jeżeli inicjatywa przekazania jest po stronie administratora, a konieczność taka nie wynika z umowy administrator powinien zwrócić się do osoby będącej stroną umowy o zgodę na przekazanie jej danych.

  19. Art. 47 ust. 3 pkt. 4 • Ustawa – względy publiczne • Dyrektywa – ważne względy publiczne Dodatkowo Grupa Robocza zawęziła „ważne względy publiczne” z Dyrektywy do sytuacji, gdy zostały one wyraźnie zidentyfikowane i zdefiniowane w ustawodawstwie wewnętrznym państwa.

  20. „Wykazanie zasadności roszczeń prawnych” • Dyrektywa mówi o „ (…) ustaleniu, wykonaniu lub ochronie roszczeń prawnych. • I tak też należałoby rozumieć zapis Ustawy.

  21. Dopuszczalność przekazywania danych Przyjęta przez Ustawę przesłanka dopuszczalności przekazywania danych, które są ogólnie dostępne (nieograniczony krąg odbiorców), potencjalnie może również rodzić zagrożenie i jest znacznie szersza aniżeli w Dyrektywie…

  22. Art. 26 ust. 1 pkt f) Dyrektywy „przekazywanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały spełnione” Przy takim zapisie Ustawy istnieje uzasadnione ryzyko, iż podmioty, które otrzymają w państwie trzecim takie zestawienia, będą chciały je wykorzystać w całości lub części w innym celu niż cel ich zgromadzenia w państwie pochodzenia.

  23. Co warunkuje wydanie przez GIODO zgody na transfer danych, w sytuacji gdy nie spełnione są przesłanki z art. 47 ust. 2 i 3 ustawy?

  24. Brzmienie przyjęte za rozwiązaniem z art. 26 ust. 2 Dyrektywy Wprowadza dodatkowo ogólny warunek zapewnienia przez administratora danych odpowiednich zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Art. 48 nie wyjaśnia jednak co to są „odpowiednie zabezpieczenia” ani nie wskazuje żadnych przesłanek zarówno pozytywnych jak i negatywnych, które powinny zostać uwzględnione przez GIODO w procesie podejmowanej decyzji.

  25. Decyzja GIODO jest uznaniowa Brak jest również wskazówek ustawowych, według których organ wykonuje swą władzę uznaniową. Pewne wskazania zawiera art. 25 ust. 2 Dyrektywy – odnosi się jednak do oceny poziomu ochrony w państwie odbiorcy danych (zwłaszcza regulacji prawnych tego państwa), natomiast ocena dokonywana w oparciu o art. 48 dotyczy skonkretyzowanego procesu transferu danych.

  26. Art. 26 ust. 2 Dyrektywy „kraje członkowskie mogą zezwalać na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby, oraz odnośnie wykonywania odpowiednich praw; takie środki zabezpieczające mogą wynikać w szczególności z odpowiednich klauzul umownych.”

  27. Decyzja GIODO W Ustawie nie wprowadzono wprost możliwości uznawania klauzul umownych a jedynie w ramach tzw. innych aniżeli kazuistycznie wymienionych przypadkach w drodze wyrażenia zgody przez GIODO. Brak odpowiednika regulacji Dyrektywy w Ustawie osłabia praktyczną łatwość korzystania z klauzul. Nie ma również wskazań dotyczących użycia wiążących reguł korporacyjnych.

  28. Wyrok Naczelnego Sądu Administracyjnego z dnia 16 kwietnia 2003 r. Przy udzielaniu zgody na przekazywanie danych osobowych za granicę organ (GIODO) powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu. Oceny dokonuje się zatem całościowo, zaś oparcie się na jednym, czy kilku tylko przesłankach (zwłaszcza na fakcie zawarcia umowy opartej o klauzule wzorcowe) nie obliguje Generalnego Inspektora do wyrażenia zgody na transfer danych.

  29. Wydaje się, że część „udogodnień” (wyjątków) wymienionych w Ustawie ze względu na możliwe zastrzeżenia nie pozwala na ich standardowe a jednocześnie pewne stosowanie w praktyce. Zwłaszcza liczne wątpliwości co do wyboru podstawy pojawiają się przy największych transferach dokonywanych przez korporacje.

  30. Dziękuję za uwagę

  31. www.chwp.pl ul. Świętojerska 5/7 00-236 Warszawa tel.: +48 22 860 03 10 faks: +48 22 860 03 11 e-mail: chwp@chwp.pl

More Related