1457752_242887632541584_334856854_n

Dominik Sęczkowski
Aplikant

Privacy Shield – nowe ramy prawne transferu danych do USA

Dodano: lipiec 14, 2016 Kategoria: Administrator danych, Inspektor Ochrony Danych, Ogólne rozporządzenie o ochronie danych osobowych (RODO), Podmiot danych, Wszystkie wpisy Autor: Dominik Sęczkowski

Są nowe przepisy dotyczące przekazywania danych osobowych obywateli państw członkowskich UE do Stanów Zjednoczonych.

Po trwających dwa lata negocjacjach, Komisja Europejska i Departament Handlu Stanów Zjednoczone osiągnęły porozumienie co do treści przepisów regulujących zasady transferu danych osobowych do USA dla celów handlowych (the EU – US Privacy Shield). Jak już wspominaliśmy w poprzednich artykułach („Bezpieczna przystań odpłynęła” oraz „Dane osobowe Europejczyków bezpieczniejsze„) konieczność ich wdrożenia była bezpośrednim następstwem wydania przez Trybunał Sprawiedliwości Unii Europejskiej wyroku stwierdzającego nieważność decyzji Komisji Europejskiej w sprawie porozumienia Safe Harbour.

Decyzja Komisji Europejskiej w sprawie Privacy Shield

12 lipca 2016 r. Komisja Europejska wydała decyzję wdrażającą umowę Privacy Shield, stwierdzając tym samym, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych Europejczyków.

Przypomnijmy, że zgodnie z prawem europejskim przekazanie danych osobowych do państwa trzeciego (a więc również do Stanów Zjednoczonych) może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. To, czy państwo trzecie spełnia takie warunki określa Komisja Europejska wydając w tym celu stosowną decyzję.

Decyzja KE ma więc kolosalne znaczenie praktyczne. Oznacza bowiem, że administratorzy danych przekazujący dane osobowe do USA jako podstawę prawną swojego działania będą mogli wykorzystywać decyzję Komisji Europejskiej wdrażającą Privacy Shield, bez konieczności poszukiwania innych rozwiązań legalizujących transfer danych.

Istota Privacy Shield

Privacy Shield oparta jest o system „samocertyfikacji”, w ramach którego organizacje w Stanach Zjednoczonych chcące przetwarzać dane osobowe Europejczyków muszą zobowiązać się do bezwzględnego przestrzegania szeregu zasad prywatności określonych w Privacy Shield. Co niezwykle istotne, opisana konstrukcja odnosi się zarówno do organizacji, które będą przetwarzać dane osobowe jako ich administrator, jak i jako procesor.

Przekazanie danych osobowych do Stanów Zjednoczonych na podstawie Privacy Shield będzie dopuszczalnie i zgodne z prawem jedynie wtedy, kiedy nastąpi pomiędzy administratorem danych lub procesorem z państwa członkowskiego UE a organizacją w Stanach Zjednoczonych, która dokonała „samocertyfikacji”, tj. zobowiązała się do stosowania przedmiotowych zasad prywatności, zgłaszając ten fakt Departamentowi Handlu USA.

Jako fundamentalne, Privacy Shield wymienia następujące zasady prywatności:
• informowania podmiotu danych,
• integralności i ograniczenia celu przetwarzania,
• sprzeciwu podmiotu danych,
• odpowiedzialności za przekazanie danych,
• stosowania odpowiednich środków bezpieczeństwa danych,
• dostępu do danych.

Zasady prywatności o kluczowym charakterze są uzupełnione tzw. zasadami dodatkowymi, które również muszą być respektowane przez podmioty amerykańskie przetwarzające dane osobowe obywateli UE.

Nadzorowanie przetwarzania danych w oparciu o Privacy Shield

Stosowanie przez organizacje amerykańskie zasad prywatności, w tym w szczególności wykonywanie wynikających z nich obowiązków będzie nadzorowane przez Departament Handlu. W celu umożliwienia sprawdzenia, do których podmiotów w USA transferowanie danych jest zgodne z prawem Privacy Shield nakłada na Departament Handlu obowiązek prowadzenia jawnej listy organizacji, które dokonując „samocertyfikacji” zobowiązały się tym samym do przestrzegania zasad prywatności.

Lista ta będzie cyklicznie aktualizowana przez Departament Handlu na bazie corocznych, obowiązkowych oświadczeń podmiotów amerykańskich potwierdzających „samocertyfikację” oraz wyrażających tym samym chęć ich dalszego uczestnictwa w Privacy Shield. W ramach swoich kompetencji, organ ten będzie również uprawniony do sankcyjnego usuwania z listy tych organizacji, które w swojej działalności nie przestrzegają zasad prywatności. W konsekwencji, przekazywanie danych osobowych z Unii Europejskiej do takich podmiotów będzie niedopuszczalne, zaś same organizacje będą miały obowiązek zwrócenia lub usunięcia przekazanych im danych osobowych. Lista usuniętych podmiotów również będzie ujawniana publicznie, i co ważne, zawierać będzie informację o przyczynie usunięcia.

Opisane powyżej listy będą prowadzone na specjalnie stworzonej do tego celu witrynie internetowej.
W ramach przyznanych kompetencji Departament Handlu będzie miał również za zadanie weryfikować sposób postępowania z danymi osobowymi przez podmioty, które wycofały się z programu Privacy Shield lub zostały z niego usunięte.

Rozpatrywanie skarg podmiotów danych

Przywiązując uwagę do praw podmiotów danych, twórcy Privacy Shield nałożyli na organizacje amerykańskie chcące uczestniczyć w tym programie obowiązek zapewnienia odpowiednich mechanizmów rozpatrywania skarg składanych w związku z nieprzestrzeganiem zasad prywatności.

W ramach „samocertyfikacji” organizacja amerykańska zobowiązana jest zapewnić podmiotowi danych skuteczne i nieskomplikowane narzędzie umożliwiające złożenie skargi, której rozpatrzenie będzie sprawne i nie będzie generować dla podmiotu danych jakichkolwiek kosztów. Privacy Shield określa przy tym minimalne standardy i wymagania, które muszą zostać zapewnione w procesie rozpatrywania skarg podmiotów danych, np. w zakresie terminów udzielenia odpowiedzi czy informacji, które muszą się znaleźć w odpowiedzi na skargę.

Privacy Shield przewiduje również inne metody rozpatrywania skarg podmiotów danych, tj. między innymi: wiążący arbitraż, skarga do niezależnego organu rozwiązywania sporów, skarga do krajowego organu ochrony danych osobowych czy też skarga do Departamentu Handlu czy Federalnej Komisji Handlu.

Dostęp do danych osobowych Europejczyków oraz możliwość ich wykorzystania przez organy publiczne USA

Zgodnie z Privacy Shield, dostęp amerykańskich organów publicznych do danych osobowych obywateli UE i ich wykorzystanie mają być zdecydowanie ograniczone i możliwe wyłącznie w celach związanych z zapewnieniem bezpieczeństwa narodowego oraz ochroną interesu publicznego.

Komisja Europejska wprowadzając Privacy Shield stwierdziła, że prawo amerykańskie wyposaża osoby, których dane osobowe są wykorzystywane przez amerykańskie organy publiczne w wiele narzędzi zapewniających właściwą ochronę ich prywatności przed nieuzasadnionym i nadmiernym naruszeniem. Zdaniem Komisji Europejskiej wspomniane mechanizmy w równym stopniu zabezpieczają prawa i wolności obywatelu UE.

W celu zapewnienia gwarancji niezależnego i rzetelnego czuwania nad wykorzystywaniem danych osobowych Europejczyków przez amerykańskie organy publiczne, w szczególności przez służby wywiadowcze, Privacy Shield powołało do życia nowy organ – rzecznika (Ombudperson). Organ ten, wykonując swoje zadania ma być niezależny od jakichkolwiek instrukcji czy nacisków środowiska służb wywiadowczych.

Co dalej?

O wydaniu decyzji państwa członkowskie UE zostały już przez Komisję Europejską zawiadomione. Privacy Shield zostanie wkrótce opublikowane w amerykańskim odpowiedniku dziennika ustaw, tj. rejestrze federalnym. Podmioty amerykańskie chcące przetwarzać dane osobowe Europejczyków powinny niezwłocznie dostosować swoją działalność do zasad prywatności określonych w Privacy Shield – od 1 sierpnia 2016 r. będą miały bowiem możliwość dokonania „samocertyfikacji” przed Departamentem Handlu. „Samocertyfikacja” jest warunkiem dopuszczalności przekazywania danych osobowych obywateli UE organizacji amerykańskich.

W kolejnych postach rozwiniemy i omówimy zasady prywatności, na których oparto Privacy Shield oraz sposoby wnoszenia i rozpatrywania skarg podmiotów danych w przypadku naruszania zasad określonych Privacy Shield.

Post Views: 4 777

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

1457752_242887632541584_334856854_n

Dominik Sęczkowski
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.