Czy Szwajcaria będzie państwem trzecim na gruncie RODO

Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji.

Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja Europejska może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

26 lipca 200 r. KE wydała decyzję na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (2000/518/WE). Decyzja ta wydana została właśnie na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, a więc obecnie Szwajcaria jest uznawana przez UE za państwo trzecie (bo nie należy do Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego) zapewniające „właściwy poziom ochrony danych osobowych przekazywanych ze Wspólnoty” (art. 1 decyzji). Można więc obecnie przekazywać dane osobowe do Szwajcarii bez specjalnych obostrzeń.

Rozpoczęcie stosowania ogólnego rozporządzenia o ochronie danych (RODO) będzie skutkowało uchyleniem dyrektywy 95/46/WE. „Stara” dyrektywa będzie obowiązywała jedynie do 24 maja 2018 r. Począwszy od 25 maja 2018 r., będzie już obowiązywało RODO. Oznacza to także uchylenie podstawy prawnej decyzji KE z 26 lipca 2000 r.

Obecnie w Szwajcarii trwają prace nad nową ustawą o ochronie danych osobowych (Swiss Federal Act on Data Protection, Draft-DPA), która ma przenieść na grunt prawa szwajcarskiego szereg rozwiązań przyjętych w RODO. Unia Europejska nie może zobowiązać państwa trzeciego do przestrzegania jej ustawodawstwa. RODO jest jednak tak skonstruowane, że tak naprawdę obowiązuje wszystkie podmioty na całym świecie, jeżeli tylko wykorzystują one dane osobowe obywateli Unii Europejskiej.

W pewnym uproszczeniu można powiedzieć, że RODO nie obowiązuje w Szwajcarii tylko tych, których nie mają nic wspólnego z danymi osobowymi obywateli Unii Europejskiej. Zgodnie z art. 3 ust. 2 RODO ma ono bowiem zastosowanie także do przetwarzania danych osobowych osób przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

• oferowaniem towarów lub usług takim osobom, nawet nieodpłatnie,
• monitorowaniem zachowania takich osób,

ale tylko, gdy do tego oferowania lub monitorowania dochodzi w Unii. RODO nie precyzuje sankcji, jakie miałyby być nałożone na takie poza unijne podmioty.

Po 25 maja 2018 r. przekazywania danych osobowych do Szwajcarii musi się odbywać na podstawie RODO. Także na gruncie RODO istnieje możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli KE stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewnia „odpowiedni stopień ochrony”, to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.

Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej Komisja się nie wypowiedziała (a w mojej ocenie taka sytuacja będzie miała miejsce w odniesieniu do Szwajcarii, gdyż decyzja dotycząca tego państwa utraci swoją podstawę prawną), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejących już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych, ale także z wykorzystaniem przede wszystkim:

• zatwierdzonego kodeksu postępowania,
• zatwierdzonego mechanizmu certyfikacji.

Kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania RODO.

Certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw).