Najpóźniej od orzeczenia Schrems II stało się jasne, że przekazywanie danych do państw spoza UE (państw trzecich) może być problematyczne z punktu widzenia prawa ochrony danych. Czy jednak ryzyko przekazania danych do państwa trzeciego jest wystarczające? Tak przynajmniej uważa Izba Zamówień w Badenii-Wirtembergii.
Z aktualnym stanem debaty nad prawem ochrony danych osobowych można zapoznać się tutaj.
Izba zamówień: Ryzyko dostępu w państwie trzecim jest związane z przetwarzaniem w państwie trzecim
Izba Zamówień Badenii-Wirtembergii jest zdania, że przekazanie (a tym samym przetwarzanie w rozumieniu art. 4 nr 2 GDPR) ma miejsce już wtedy, gdy istnieje ryzyko, że dane zostaną przekazane do państwa trzeciego.
Rola trybunałów ds. zamówień publicznych
Izby zamówień publicznych w krajach związkowych są niezależnymi organami nadzorczymi, podobnie jak komisarze ochrony danych w krajach związkowych (§ 157 GWB). Izby zamówień publicznych nie pełnią funkcji organu nadzorczego, lecz działają raczej w sposób zbliżony do sądu. Kontrolują one udzielanie zamówień publicznych, jeśli konkurent złoży skargę (§ 155 GWB).
Stanowisko Izby Zamówień Publicznych
Do Sądu Zamówień Publicznych Badenii-Wirtembergii wpłynęła sprawa dotycząca udzielenia zamówienia na zakup oprogramowania do cyfrowego zarządzania przyjęciami do szpitala. Konkurent, którego oferta została odrzucona, reklamujący się, że dane będą przechowywane wyłącznie na niemieckich serwerach, wniósł odwołanie. Według odrzuconego konkurenta konkurent, któremu udzielono zamówienia, nie przestrzegał prawa o ochronie danych. Korzystałby z usług unijnej spółki zależnej dużej amerykańskiej usługi chmurowej, co wiązałoby się z ryzykiem, że spółka dominująca uzyskałaby dostęp do danych przechowywanych w UE od strony amerykańskiej, a wówczas dane nie byłyby już tak bezpieczne, jak wymaga tego GDPR.
Izba Zamówień Publicznych zgodziła się z tym poglądem i unieważniła zamówienie. Stwierdziła, że pojęcie przekazania w art. 4 nr 2 i art. 44 GDPR nie są tożsame. Przekazanie w sensie przetwarzania zgodnie z art. 44 GDPR istnieje już wtedy, gdy istnieje ryzyko przekazania do państwa trzeciego.
W tym zakresie Izba Zamówień stwierdza: "Pojęcie przekazywania należy interpretować w świetle szerokiego brzmienia art. 44 ust. 1 GDPR, jak również brzmienia art. 44 pkt. 1 GDPR oraz dyspozycji zawartych w art. 44 S. 2 GDPR w odniesieniu do stosowania tego przepisu, a więc do rozumienia w sposób kompleksowy: Przekazanie to każde ujawnienie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, przy czym nie ma znaczenia ani charakter ujawnienia, ani ujawnienie stronie trzeciej". Ujawnienie w tym znaczeniu ma miejsce już wtedy, gdy istnieje możliwość, że państwo trzecie uzyska dostęp do danych, niezależnie od faktycznego dostępu.
Urząd Ochrony Danych Osobowych: TOM-y są po to, by minimalizować ryzyko
Po tej decyzji stanowisko w sprawie orzeczenia Izby Zamówień Publicznych zajął również państwowy inspektor ochrony danych osobowych: Nie zgadza się z interpretacją.
Państwowy inspektor ochrony danych krytykuje, że argumentacja Izby Zamówień pomija fakt, że istnieją właśnie środki techniczne i organizacyjne (TOM), które minimalizują zidentyfikowane ryzyko dostępu (art. 32 GDPR). Są to "skuteczne środki zaradcze". Mogą one stworzyć optymalny poziom ochrony danych w oparciu o indywidualną ocenę ryzyka.
Głównym problemem decyzji była odmienna interpretacja transferu w art. 4 nr 2 i art. 44 GDPR. Nie wynikało to ani z brzmienia, ani z motywów.
Blankietowe wykluczenie firm mających powiązania z amerykańskimi usługodawcami nie jest ani eleganckie, ani ekonomiczne. Pogląd Izby Zamówień doprowadziłby jedynie do tego, że nie można korzystać z usług amerykańskich usługodawców, nawet jeśli prowadzą oni farmy serwerów w UE.
A teraz?
Nie wiadomo jeszcze, jak ostatecznie rozstrzygnie się ta debata. Decyzja Sądu Zamówień Publicznych zostanie teraz poddana kontroli przez Wyższy Sąd Okręgowy w Karlsruhe. Opinia państwowego pełnomocnika ds. ochrony danych sugeruje, że sąd uchyli tę decyzję. Nadal nie obowiązuje ogólny zakaz przekazywania danych, lecz badane są raczej indywidualne przypadki.
Szukasz profesjonalnego doradztwa we wszystkich obszarach związanych z ochroną danych osobowych? Nasz zespół ekspertów z przyjemnością udzieli Ci pomocy. Skontaktuj się z nami!