25h

Privacy Shield – nowe ramy prawne transferu danych do USA

Są nowe przepisy dotyczące przekazywania danych osobowych obywateli państw członkowskich UE do Stanów Zjednoczonych.

Po trwających dwa lata negocjacjach, Komisja Europejska i Departament Handlu Stanów Zjednoczone osiągnęły porozumienie co do treści przepisów regulujących zasady transferu danych osobowych do USA dla celów handlowych (the EU – US Privacy Shield). Jak już wspominaliśmy w poprzednich artykułach („Bezpieczna przystań odpłynęła” oraz „Dane osobowe Europejczyków bezpieczniejsze„) konieczność ich wdrożenia była bezpośrednim następstwem wydania przez Trybunał Sprawiedliwości Unii Europejskiej wyroku stwierdzającego nieważność decyzji Komisji Europejskiej w sprawie porozumienia Safe Harbour.

Decyzja Komisji Europejskiej w sprawie Privacy Shield

12 lipca 2016 r. Komisja Europejska wydała decyzję wdrażającą umowę Privacy Shield, stwierdzając tym samym, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych Europejczyków.

Przypomnijmy, że zgodnie z prawem europejskim przekazanie danych osobowych do państwa trzeciego (a więc również do Stanów Zjednoczonych) może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. To, czy państwo trzecie spełnia takie warunki określa Komisja Europejska wydając w tym celu stosowną decyzję.

Decyzja KE ma więc kolosalne znaczenie praktyczne. Oznacza bowiem, że administratorzy danych przekazujący dane osobowe do USA jako podstawę prawną swojego działania będą mogli wykorzystywać decyzję Komisji Europejskiej wdrażającą Privacy Shield, bez konieczności poszukiwania innych rozwiązań legalizujących transfer danych.

Istota Privacy Shield

Privacy Shield oparta jest o system „samocertyfikacji”, w ramach którego organizacje w Stanach Zjednoczonych chcące przetwarzać dane osobowe Europejczyków muszą zobowiązać się do bezwzględnego przestrzegania szeregu zasad prywatności określonych w Privacy Shield. Co niezwykle istotne, opisana konstrukcja odnosi się zarówno do organizacji, które będą przetwarzać dane osobowe jako ich administrator, jak i jako procesor.

Przekazanie danych osobowych do Stanów Zjednoczonych na podstawie Privacy Shield będzie dopuszczalnie i zgodne z prawem jedynie wtedy, kiedy nastąpi pomiędzy administratorem danych lub procesorem z państwa członkowskiego UE a organizacją w Stanach Zjednoczonych, która dokonała „samocertyfikacji”, tj. zobowiązała się do stosowania przedmiotowych zasad prywatności, zgłaszając ten fakt Departamentowi Handlu USA.

Jako fundamentalne, Privacy Shield wymienia następujące zasady prywatności:
• informowania podmiotu danych,
• integralności i ograniczenia celu przetwarzania,
• sprzeciwu podmiotu danych,
• odpowiedzialności za przekazanie danych,
• stosowania odpowiednich środków bezpieczeństwa danych,
• dostępu do danych.

Zasady prywatności o kluczowym charakterze są uzupełnione tzw. zasadami dodatkowymi, które również muszą być respektowane przez podmioty amerykańskie przetwarzające dane osobowe obywateli UE.

Nadzorowanie przetwarzania danych w oparciu o Privacy Shield

Stosowanie przez organizacje amerykańskie zasad prywatności, w tym w szczególności wykonywanie wynikających z nich obowiązków będzie nadzorowane przez Departament Handlu. W celu umożliwienia sprawdzenia, do których podmiotów w USA transferowanie danych jest zgodne z prawem Privacy Shield nakłada na Departament Handlu obowiązek prowadzenia jawnej listy organizacji, które dokonując „samocertyfikacji” zobowiązały się tym samym do przestrzegania zasad prywatności.

Lista ta będzie cyklicznie aktualizowana przez Departament Handlu na bazie corocznych, obowiązkowych oświadczeń podmiotów amerykańskich potwierdzających „samocertyfikację” oraz wyrażających tym samym chęć ich dalszego uczestnictwa w Privacy Shield. W ramach swoich kompetencji, organ ten będzie również uprawniony do sankcyjnego usuwania z listy tych organizacji, które w swojej działalności nie przestrzegają zasad prywatności. W konsekwencji, przekazywanie danych osobowych z Unii Europejskiej do takich podmiotów będzie niedopuszczalne, zaś same organizacje będą miały obowiązek zwrócenia lub usunięcia przekazanych im danych osobowych. Lista usuniętych podmiotów również będzie ujawniana publicznie, i co ważne, zawierać będzie informację o przyczynie usunięcia.

Opisane powyżej listy będą prowadzone na specjalnie stworzonej do tego celu witrynie internetowej.
W ramach przyznanych kompetencji Departament Handlu będzie miał również za zadanie weryfikować sposób postępowania z danymi osobowymi przez podmioty, które wycofały się z programu Privacy Shield lub zostały z niego usunięte.

Rozpatrywanie skarg podmiotów danych

Przywiązując uwagę do praw podmiotów danych, twórcy Privacy Shield nałożyli na organizacje amerykańskie chcące uczestniczyć w tym programie obowiązek zapewnienia odpowiednich mechanizmów rozpatrywania skarg składanych w związku z nieprzestrzeganiem zasad prywatności.

W ramach „samocertyfikacji” organizacja amerykańska zobowiązana jest zapewnić podmiotowi danych skuteczne i nieskomplikowane narzędzie umożliwiające złożenie skargi, której rozpatrzenie będzie sprawne i nie będzie generować dla podmiotu danych jakichkolwiek kosztów. Privacy Shield określa przy tym minimalne standardy i wymagania, które muszą zostać zapewnione w procesie rozpatrywania skarg podmiotów danych, np. w zakresie terminów udzielenia odpowiedzi czy informacji, które muszą się znaleźć w odpowiedzi na skargę.

Privacy Shield przewiduje również inne metody rozpatrywania skarg podmiotów danych, tj. między innymi: wiążący arbitraż, skarga do niezależnego organu rozwiązywania sporów, skarga do krajowego organu ochrony danych osobowych czy też skarga do Departamentu Handlu czy Federalnej Komisji Handlu.

Dostęp do danych osobowych Europejczyków oraz możliwość ich wykorzystania przez organy publiczne USA

Zgodnie z Privacy Shield, dostęp amerykańskich organów publicznych do danych osobowych obywateli UE i ich wykorzystanie mają być zdecydowanie ograniczone i możliwe wyłącznie w celach związanych z zapewnieniem bezpieczeństwa narodowego oraz ochroną interesu publicznego.

Komisja Europejska wprowadzając Privacy Shield stwierdziła, że prawo amerykańskie wyposaża osoby, których dane osobowe są wykorzystywane przez amerykańskie organy publiczne w wiele narzędzi zapewniających właściwą ochronę ich prywatności przed nieuzasadnionym i nadmiernym naruszeniem. Zdaniem Komisji Europejskiej wspomniane mechanizmy w równym stopniu zabezpieczają prawa i wolności obywatelu UE.

W celu zapewnienia gwarancji niezależnego i rzetelnego czuwania nad wykorzystywaniem danych osobowych Europejczyków przez amerykańskie organy publiczne, w szczególności przez służby wywiadowcze, Privacy Shield powołało do życia nowy organ – rzecznika (Ombudperson). Organ ten, wykonując swoje zadania ma być niezależny od jakichkolwiek instrukcji czy nacisków środowiska służb wywiadowczych.

Co dalej?

O wydaniu decyzji państwa członkowskie UE zostały już przez Komisję Europejską zawiadomione. Privacy Shield zostanie wkrótce opublikowane w amerykańskim odpowiedniku dziennika ustaw, tj. rejestrze federalnym. Podmioty amerykańskie chcące przetwarzać dane osobowe Europejczyków powinny niezwłocznie dostosować swoją działalność do zasad prywatności określonych w Privacy Shield – od 1 sierpnia 2016 r. będą miały bowiem możliwość dokonania „samocertyfikacji” przed Departamentem Handlu. „Samocertyfikacja” jest warunkiem dopuszczalności przekazywania danych osobowych obywateli UE organizacji amerykańskich.

W kolejnych postach rozwiniemy i omówimy zasady prywatności, na których oparto Privacy Shield oraz sposoby wnoszenia i rozpatrywania skarg podmiotów danych w przypadku naruszania zasad określonych Privacy Shield.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

dominik-seczkowski

Dominik Sęczkowski
Aplikant
dominik.seczkowski@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej