Od 12 lipca 2016 roku obowiązują nowe zasady przekazywania danych z obszaru UE do USA. Komisja Europejska zatwierdziła Tarczę Prywatności UE-USA (decyzja Komisji Europejskiej nr C(2016) 4176 z 12 lipca 2016 r.). Tym samym Tarcza Prywatności (ang. Privacy Shield) oficjalnie zastąpiła Bezpieczną Przystań (ang. Safe Harbour) czyli poprzedni mechanizm transferu danych do USA, który Trybunał Sprawiedliwości UE wyrokiem z dnia 6 października 2015 roku (wyrok w sprawie C-362/14) uznał za niezgodny z prawem UE.
Główne założenia programu
- Departament Handlu Stanów Zjednoczonych będzie prowadził regularne aktualizacje i przeglądy uczestniczących przedsiębiorstw w celu zapewnienia, by przestrzegały one zasad, którym się podporządkowały. Jeśli przedsiębiorstwa nie będą przestrzegały zasad w praktyce, mogą spotkać się z sankcjami i zostać usunięte z listy. Zaostrzenie warunków wtórnego przekazywania danych osobom trzecim zapewni taki sam poziom ochrony w przypadku przekazywania danych z przedsiębiorstw stosujących zasady Tarczy Prywatności
- USA przedstawiły UE zapewnienie, że dostęp organów publicznych do danych – związany z egzekwowaniem prawa i kwestiami bezpieczeństwa narodowego – jest ograniczony oraz że będzie podlegać zabezpieczeniom i mechanizmom nadzoru. Wszyscy w UE, również po raz pierwszy, skorzystają z mechanizmów ochrony prawnej w tej dziedzinie. Stany Zjednoczone wykluczyły bezkrytyczną masową inwigilację danych osobowych przekazywanych im w ramach uzgodnienia Tarczy Prywatności UE-USA. Urząd Dyrektora Krajowych Służb Wywiadowczych wyjaśnił ponadto, że masowe gromadzenie danych może być wykorzystywane wyłącznie w określonych warunkach i wymaga tak ścisłego ukierunkowania, jak to możliwe. Porozumienie zawiera szczegółowy wykaz istniejących zabezpieczeń w zakresie wykorzystywania danych w takich wyjątkowych okolicznościach. Amerykański sekretarz stanu stworzył Europejczykom możliwość skorzystania ze środków odwoławczych wobec amerykańskich służb wywiadowczych za pośrednictwem urzędu Rzecznika w Departamencie Stanu
- Każdy obywatel, który uważa, że jego dane zostały niewłaściwie wykorzystane w ramach systemu Tarczy Prywatności, będzie mógł skorzystać z kilku dostępnych i przystępnych cenowo mechanizmów rozstrzygania sporów. W idealnej sytuacji skarga zostanie rozpatrzona przez samo przedsiębiorstwo. Ewentualnie, bezpłatnie będzie można skorzystać z alternatywnych metod rozwiązywania sporów. Osoby fizyczne będą też mogły zwrócić się do krajowych organów ochrony danych w swoim państwie, które skontaktują się z Federalną Komisją Handlu, aby zagwarantować, że skargi europejskich obywateli zostaną zbadane i rozpatrzone. Jeżeli sprawa nie zostanie rozwiązana w inny sposób, w ostateczności będzie można zastosować mechanizm arbitrażu. Możliwość skorzystania ze środków odwoławczych w obszarze bezpieczeństwa narodowego w przypadku obywateli UE będzie rozpatrywana przez Rzecznika, niezależnego od służb wywiadowczych USA.
- UE i USA ustaliły wspólny mechanizm corocznego przeglądu, którego zadaniem będzie monitorowanie funkcjonowania zasad bezpiecznego transferu danych, w tym zobowiązań i zapewnień dotyczących dostępu do danych do celów egzekwowania prawa i bezpieczeństwa narodowego. Przegląd przeprowadzać będzie KE i Departament Handlu USA, przy współpracy specjalistów z krajowych służb wywiadu z USA i europejskich organów ochrony danych. Komisja będzie korzystać ze wszystkich innych dostępnych źródeł informacji i wyda dostępne publicznie sprawozdanie dla PE i Rady.
Podsumowanie
Czy Tarcza Prywatności zapewni odpowiednio wysoki standard ochrony danych osobowych? W tym momencie trudno udzielić jednoznacznej odpowiedzi. Zwolennicy Tarczy Prywatności są przekonani, że tak. Natomiast przeciwnicy podnoszą, że zapisy w niej zawarte mogą być sprzeczne z postanowieniami Karty Praw Podstawowych UE, a ponadto wskazują, że podobnie jak Bezpieczna Przystań opiera się na tych samych założeniach (m.in. samoregulacji czy samocertyfikacji).
Autor: Damian Jędrzejewski.
Źródła:
http://europa.eu/rapid/press-release_IP-16-2461_pl.htm
https://panoptykon.org/wiadomosc/zielone-swiatlo-dla-tarczy-prywatnosci
Powiązane artykuły
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
A co z przekazywaniem danych pracowników firmy z Polski do firmy będącej właścicielem w USA?
Należy sprawdzić w pierwszej kolejności, czy firma w USA jest na liście Tarczy Prywatności. Jeśli tak – wystarczy w klauzuli informacyjnej zawrzeć informację o przekazywaniu danych do państwa trzeciego, a jako podstawę prawną wskazać art. 45 ust. 1 i 3 RODO w postaci Privacy Shield (która jest decyzją Komisji Europejskiej). Jeśli nie – trzeba będzie szukać innej podstawy prawnej przekazywania danych do państw trzecich. Pozdrawiamy!