Przekazywanie przez firmy leasingowe danych

osobowych za granicę

Dr Bogdan FischerKancelaria Prawna Chałas i Wspólnicy

Forum Leasingu 22 października 2008 r.

uzyskiwanie informacji o korzystającym od osób trzecich

 

przekazywanie danych do innych podmiotów prawnie lub strukturalnie powiązanych z finansującym

analiza sytuacji finansowej, zdolności kredytowej korzystającego, określenie limitów zaangażowania finansowego, a także analiz finansowych, jakości i zmian portfela leasingowego oraz oceny ryzyka związanego z finansowaniem korzystającego

cele archiwalne

przekazywanie danych osobowych do przetwarzania przez podmioty, którym finansujący zleca czynności niezbędne do zawarcia umowy

przekazywanie danych firmom windykacyjnym

HR

Przykładowe cele przetwarzania danych przez firmy leasingowe

Wejście Polski do UE wiązało się z istotnymi zmianami w ustawie o ochronie danych osobowych, w tym zdefiniowaniem pojęcia “kraju trzeciego” i wyłączeniem z jego zakresu, krajów EOG.

Kraj trzeci

Dla praktycznej realizacji przestrzegania praw i obowiązków w związku z przetwarzaniem danych na administratora z „państwa trzeciego”, który przetwarza dane osobowe na terytorium Polski nałożono obowiązek wyznaczenia swojego przedstawiciela w Polsce, aczkolwiek przedstawiciel nie ma w Ustawie wprost określonego statusu w tym zakresu swojej odpowiedzialności.

Przedstawiciel

Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

Przekazanie danych osobowych

Nie może przed rozpoczęciem transferu oprzeć się na żadnych zaświadczeniach wydanych w tym zakresie przez GIODO.

W razie wątpliwości przy dokonywanej ocenie zgodnie ze stanowiskiem GIODO „(…) administrator danych zamierzający przekazywać dane do państwa trzeciego powinien legitymować się jedną z przesłanek określonych w art. 47 ust 2 i 3 lub art. 48 ustawy o ochronie danych osobowych”.

Oceny dokonuje samodzielnie administrator

Uzyskanie generalnych wskazówek co do stanu prawnego w danym państwie, mogłoby stanowić wstępny etap poprzedzający ocenę szczegółową – uwzględniającą konkretne okoliczności transferu danych, zwłaszcza ryzyka związanego z transferem. Ta ostatnia ocena należałaby do administratora danych i to on ponosiłby za nią odpowiedzialność.

Polska ustawa nie wymienia również expressis verbis przesłanek, które należy uwzględnić przy dokonywaniu oceny.

Ogólna ocena wydawana przez GIODO miałaby ogromne znaczenie praktyczne

Komisja Europejska w punkcie 4 preambuły do decyzji nr 2001/497/WE, wskazuje iż „jest mało prawdopodobne, aby Komisja, w krótkim lub średnim okresie, przyjęła decyzje, co do zapewnienia odpowiedniego poziomu ochrony zgodnie z art. 25 ust. 6, w odniesieniu do większej niż ograniczona liczba państw”.

Problemy z oceną ma nawet Komisja Europejska

osoba, której dane dotyczą, udzieliła na to zgody na piśmie

 

przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie

przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem

przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych

przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą

dane są ogólnie dostępne

Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:

Zgoda na piśmie

Zgoda osoby której dane dotyczą. Art. 47 ust. 3 pkt 1 Ustawy różni się w tym względzie od Dyrektywy, która przewiduje jedynie, aby zgoda była „jednoznaczna”, bez względu na formę pisemną czy też jej brak.

Pozorna oczywistość stwarzająca liczne praktyczne problemy.

Istotnych wskazówek interpretacyjnych dostarczył dokument WP 114 z 25 listopada 2005 roku opublikowany przez Grupę Roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (dalej: Grupa Robocza).

Zgoda dla swej skuteczności jako podstawy przekazywania danych do państwa trzeciego musi być:

Zgoda na piśmie

swobodna

skonkretyzowana

wyrażona przy pełnej świadomości tego, na co się godzi dana osoba.

W sytuacji gdy tych cech nie posiada, nie będzie można uznać udzielonej zgody za ważną.

Korzystający wyraża zgodę i upoważnia niniejszym Finansującego do przekazywania do Banku jak innych podmiotów prawnie lub strukturalnie powiązanych z Finansującym, zarówno w kraju jak i zagranicą, wszelkich informacji prawnych, gospodarczych lub ekonomiczno-finansowych o Korzystającym, które są lub znajdą się w posiadaniu Finansującego. Jednocześnie Korzystający upoważnia Finansującego do otrzymywania podobnych informacji o Korzystającym od ww. osób trzecich. Zgoda i upoważnienie powyższe nie jest ograniczone okresem obowiązywania Umowy Leasingu i może być realizowane bez odwołania. Ww. informacje mogą być wykorzystywane (przetwarzane) w celu analizy sytuacji finansowej, zdolności kredytowej Korzystającego, określenia limitów zaangażowania finansowego, a także analiz branżowych, jakości i zmian portfela leasingowego oraz oceny ryzyka związanego z finansowaniem Korzystającego w ww. podmiotach.

W związku z powyższym, Korzystający, za pośrednictwem Finansującego, upoważnia Bank do przekazywania Finansującemu wyżej wymienionych informacji, a w szczególności: informacji o zaangażowaniu Korzystającego (Klienta) w Banku z tytułu dokonanych czynności bankowych, o przyznanych limitach kredytowych, o stanie i obrotach na rachunkach bankowych, prawnych zabezpieczeniach kredytów, gwarancji oraz bankowych analiz Klienta.

Korzystający został poinformowany, że z uwagi na specjalizację w świadczeniu usług przez spółki leasingowe, wszelkie dotyczące go informacje, w tym jego dane osobowe, zawarte w dokumentach w związku z ubieganiem się o leasing mogą być przekazywane pomiędzy ww. podmiotami. Korzystający wyraża zgodę na przekazywanie tych danych.

Przykładowe oświadczenie – zgoda korzystającego

Por. w tym zakresie orzeczenie NSA z dnia 4 kwietnia 2003 roku.

Jak nakazuje Ustawa - udzielona na piśmie, co oznacza m.in., iż nie jest możliwe jej wyrażenie np. poprzez kliknięcie odpowiedniego pola („okna zgody”) na stronie internetowej lub w aplikacji programu komputerowego…

Zgoda powinna być wyraźna

Liczne przykłady tego typu „wątpliwych” sytuacji mogą występować np. w relacjach pracowniczych. Dlatego też w odniesieniu do przetwarzania i transferu danych pracowniczych jedynie w wyjątkowych sytuacjach będzie można stwierdzić, że zgoda pracownika została udzielona w pełni swobodnie, bez nacisków (poleceń kierowniczych) czy sugestii ze strony przełożonych przy jednoczesnych gwarancjach dla pracownika co do możliwości zmiany lub wycofania zgody oraz wyeliminowaniu ujemnych konsekwencji (np. dyscyplinarnych).

Zgoda w relacjach pracowniczych

Dwie sytuacje, w których przy istnieniu umowy pomiędzy administratorem danych a osobą, której dane dotyczą może stanowić podstawę dla przekazania tych danych do państwa trzeciego.

Art. 47 ust. 3 pkt.2

Transfer konkretnych danych musi więc być absolutnie konieczny dla realizacji celu umowy i ściśle z nim związany. Chodzi o wyłącznie taki zakres danych bez których istota umowy nie byłaby dochowana.

Pierwszy przypadek ma miejsce jeżeli przekazanie danych jest niezbędne do wykonanie tej umowy

Ustawa jest mniej precyzyjna od Dyrektywy.

Dyrektywa- działania poprzedzające zawarcie umowy.

Wydaje się, iż pomimo wyraźnego brzmienia Dyrektywy pierwsze zdanie przedmiotowego artykułu Ustawy opisującego wyłącznie stosunki umowne nie pozwala zastosować w tym przypadku szerszej interpretacji.

Drugi przypadek - gdy przesyłanie danych następuje na życzenie osoby, której dane dotyczą

Administrator przesyła dane do państwa trzeciego, gdy jest to niezbędne dla wykonania umowy lub może tego dokonać na życzenie jednostki której dane dotyczą niezależnie od takiej przyczyny.

Jeżeli inicjatywa przekazania jest po stronie administratora, a konieczność taka nie wynika z umowy administrator powinien zwrócić się do osoby będącej stroną umowy o zgodę na przekazanie jej danych.

Możemy wyróżnić jedynie różne inicjatywy przekazania

Dodatkowo Grupa Robocza zawęziła „ważne względy publiczne” z Dyrektywy do sytuacji, gdy zostały one wyraźnie zidentyfikowane i zdefiniowane w ustawodawstwie wewnętrznym państwa.

Dyrektywa – ważne względy publiczne

Ustawa – względy publiczne

Art. 47 ust. 3 pkt. 4

I tak też należałoby rozumieć zapis Ustawy.

Dyrektywa mówi o „ (…) ustaleniu, wykonaniu lub ochronie roszczeń prawnych.

„Wykazanie zasadności roszczeń prawnych”

Przyjęta przez Ustawę przesłanka dopuszczalności przekazywania danych, które są ogólnie dostępne (nieograniczony krąg odbiorców), potencjalnie może również rodzić zagrożenie i jest znacznie szersza aniżeli w Dyrektywie…

Dopuszczalność przekazywania danych

„przekazywanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały spełnione”

Przy takim zapisie Ustawy istnieje uzasadnione ryzyko, iż podmioty, które otrzymają w państwie trzecim takie zestawienia, będą chciały je wykorzystać w całości lub części w innym celu niż cel ich zgromadzenia w państwie pochodzenia.

Art. 26 ust. 1 pkt f) Dyrektywy

Co warunkuje wydanie przez GIODO zgody na transfer danych, w sytuacji gdy nie spełnione są

przesłanki z art. 47 ust. 2 i 3 ustawy?

Wprowadza dodatkowo ogólny warunek zapewnienia przez administratora danych odpowiednich zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Art. 48 nie wyjaśnia jednak co to są „odpowiednie zabezpieczenia” ani nie wskazuje żadnych przesłanek zarówno pozytywnych jak i negatywnych, które powinny zostać uwzględnione przez GIODO w procesie podejmowanej decyzji.

Brzmienie przyjęte za rozwiązaniem z art. 26 ust. 2 Dyrektywy

Brak jest również wskazówek ustawowych, według których organ wykonuje swą władzę uznaniową.

Pewne wskazania zawiera art. 25 ust. 2 Dyrektywy – odnosi się jednak do oceny poziomu ochrony w państwie odbiorcy danych (zwłaszcza regulacji prawnych tego państwa), natomiast ocena dokonywana w oparciu o art. 48 dotyczy skonkretyzowanego procesu transferu danych.

Decyzja GIODO jest uznaniowa

„kraje członkowskie mogą zezwalać na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby, oraz odnośnie wykonywania odpowiednich praw; takie środki zabezpieczające mogą wynikać w szczególności z odpowiednich klauzul umownych.”

Art. 26 ust. 2 Dyrektywy

W Ustawie nie wprowadzono wprost możliwości uznawania klauzul umownych a jedynie w ramach tzw. innych aniżeli kazuistycznie wymienionych przypadkach w drodze wyrażenia zgody przez GIODO.

Brak odpowiednika regulacji Dyrektywy w Ustawie osłabia praktyczną łatwość korzystania z klauzul.

Nie ma również wskazań dotyczących użycia wiążących reguł korporacyjnych.

Decyzja GIODO

Przy udzielaniu zgody na przekazywanie danych osobowych za granicę organ (GIODO) powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu.

Oceny dokonuje się zatem całościowo, zaś oparcie się na jednym, czy kilku tylko przesłankach (zwłaszcza na fakcie zawarcia umowy opartej o klauzule wzorcowe) nie obliguje Generalnego Inspektora do wyrażenia zgody na transfer danych.

Wyrok Naczelnego Sądu Administracyjnego z dnia 16 kwietnia 2003 r.

Wydaje się, że część „udogodnień” (wyjątków) wymienionych w Ustawie ze względu na możliwe zastrzeżenia nie pozwala na ich standardowe a jednocześnie pewne stosowanie w praktyce.

Zwłaszcza liczne wątpliwości co do wyboru podstawy pojawiają się przy największych transferach dokonywanych przez korporacje.

Dziękuję za uwagę

www.chwp.pl

ul. Świętojerska 5/700-236 Warszawa

tel.: +48 22 860 03 10 faks: +48 22 860 03 11e-mail: chwp@chwp.pl