Polski administrator baz danych osobowych znajdzie się w sytuacji bez wyjścia. Będzie musiał przekazywać informacje innym krajom, nawet jeśli nie będzie pewien, czy gwarantują one ich ochronę.
Zamieszaniu winne są przepisy, które weszły w życie 1 stycznia. Chodzi o ustawę o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej i nowelizację ustawy o ochronie danych osobowych. Zgodnie z nią Polska łatwiej niż dotychczas będzie mogła wymieniać się z innymi państwami informacjami o przestępcach. Ustawa o ochronie danych osobowych zezwala jednak administratorowi na wysyłanie danych m.in. z rejestru PESEL, Krajowego Rejestru Sądowego, centralnej ewidencji pojazdów lub centralnej ewidencji kierowców tylko do tych krajów, które gwarantują ich ochronę na poziomie przynajmniej takim jak Polska. Administrator nie musi się martwić tym wymogiem, tylko gdy odpowiednia ochrona wynika z ratyfikowanej międzynarodowej umowy. Problem pojawi się, gdy żaden z tych warunków nie zostanie spełniony.
– Wówczas administratorzy znajdą się w bardzo trudnej sytuacji – komentuje Magdalena Kogut, radca prawny z Kancelarii Baker & McKenzie. W momencie kiedy zdecydują się przekazać informacje, naruszą ustawę o ochronie danych osobowych. Jeśli zaś tego nie zrobią, złamią przepisy, które nakazują przekazywać dane, lub przyczynią się do złamania przez Polskę międzynarodowych umów ratyfikowanych.
Generalny inspektor ochrony danych osobowych, dr Wojciech Rafał Wiewiórowski przyznaje, że administrator takiej bazy faktycznie może mieć problem z podjęciem decyzji, czy dane przekazać, czy nie.
– Jeśli ochrona danych nie została zagwarantowana, a sposób, w jaki dany kraj postępuje z takimi informacjami, budzi wątpliwości, decyzja administratora powinna być uzależniona od charakteru ratyfikowanej międzynarodowej umowy – wyjaśnia dr Wojciech Wiewiórowski. Dodaje, że jeśli taka umowa zawarta przez Polskę została ratyfikowana za zgodą Sejmu, wówczas normy z niej można traktować jako nadrzędne wobec norm z ustawy o ochronie danych osobowych. Co oznacza, że administrator może przekazać informacje nawet, jeśli poziom ich ochrony nie jest wystarczający. Jeżeli natomiast umowa została ratyfikowana bez udziału parlamentu, krajowych regulacji o ochronie danych osobowych nie można pominąć.
– Wtedy administrator, jeśli ma poważne wątpliwości co do tego, jak drugi kraj obchodzi się z danymi, może odmówić ich przekazania – mówi dr Wojciech Wiewiórowski. Według GIODO sytuacje, gdy administrator baz danych znajdzie się faktycznie w takiej sytuacji, nie powinny być jednak częste. Odpowiedni poziom ochrony danych zapewniają wszystkie kraje członkowskie UE. Co więcej, Komisja Europejska bada pod tym kątem także państwa położone poza terytorium Unii. Wśród tych, które zapewniają odpowiedni poziom ochrony danych, znalazły się m.in. Izrael, Argentyna i Kanada.
Międzynarodowa umowa ratyfikowana przez Sejm jest ważniejsza od ustawy o ochronie danych osobowych
Podstawa prawna
Ustawa z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej (Dz.U. z 2011 r. nr 230, poz. 1371).
Etap legislacyjny: Weszło w życie 1 stycznia 2012 r.