Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

Transfery danych z UE do USA. Co po Safe Harbour? Cz. 1

Dodano: grudzień 8, 2015 Kategoria: Administrator danych, Inspektor Ochrony Danych, Podmiot danych Autor: Katarzyna Witkowska-Nowakowska

Na naszym portalu pisaliśmy już o przełomowym wyroku Trybunału Sprawiedliwości Unii Europejskiej, zgodnie z którym decyzja Komisji Europejskiej w sprawie Safe Harbour jest nieważna. Wyjaśniliśmy już, dlaczego TSUE w ogóle zajmował się tą sprawą i co wynika z samego wyroku. Teraz warto opisać, jakie zasady przekazywania danych do USA mogą znaleźć zastosowanie wobec braku „bezpiecznej przystani” i jak wyrok TSUE wpływa na kształt tych zasad.

Szukanie nowych podstaw

Administratorzy danych, którzy przekazują dane do USA (jak i do innych państw trzecich) muszą swoje działanie opierać na jednej z przesłanek, określonych w rozdziale 7 ustawy o ochronie danych osobowych. Wielu administratorów przekazujących dane do Stanów Zjednoczonych do tej pory wykorzystywało decyzję w sprawie Safe Harbour jako podstawę swego działania. Skoro jednak z bezpiecznej przystani nie można już korzystać, administratorzy muszą znaleźć nowe podstawy, by móc dane przekazywać do Stanów Zjednoczonych. Poniżej opisujemy wybrane przesłanki przekazywania danych do USA.

Zgoda

Tak jak w przypadku przesłanek przetwarzania danych zwykłych i danych wrażliwych, tak i transfer danych do państwa trzeciego zalegalizować można spełnieniem przesłanki zgody. Osoba, której dane dotyczą może wyrazić zgodę na przekazywanie jej danych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony np. do USA. Zgoda taka musi być jednak wyrażona na piśmie. Jest to duże utrudnienie, ponieważ oznacza konieczność złożenia przez podmiot danych podpisu czy całego oświadczenia na piśmie lub skorzystania z bezpiecznego podpisu elektronicznego (a takie podpisy nadal ma niewiele osób).

Biorąc pod uwagę, że większość usług czy procesów, w ramach których dochodzi do przekazywania danych do Stanów Zjednoczonych to e-usługi, odbieranie pisemnej zgody jest praktycznie niemożliwe (wyobraźmy sobie np. osobę, która chce założyć konto w portalu społecznościowym, w tym celu składa pisemne oświadczenie i wysyła je do oddziału europejskiego danego usługodawcy, by ten mógł przekazać dane do USA).

Wiążące reguły korporacyjne

W związku z tym, w zdecydowanej większości przypadków konieczne będzie znalezienie innej przesłanki legalizującej transfer danych. Podstawą takiego działania mogą być wiążące reguły korporacyjne (ang. Binding Corporate Rules – BCR). Są to prawnie wiążące reguły lub polityki ochrony danych przyjęte w ramach grupy przedsiębiorców do celów przekazywania danych w ramach tej grupy właśnie. BCR mogą być stosowane, o ile zostały zatwierdzone w drodze decyzji administracyjnej przez GIODO. Możliwość stosowania BCR jest więc ograniczona uprzednim badaniem tych reguł przez organ nadzorczy. Weryfikacja przez GIODO, zwłaszcza w kontekście wyroku w sprawie Safe Harbour, oznacza badanie standardów i gwarancji ochrony zapewnianych przez podmiot przyjmujący. Oznacza to więc, że takiej swobody, jaką dawało Safe Harbour administrator korzystający z BCR nie ma.

Standardowe klauzule umowne

Przesłanką, która może szczególnie zyskać na znaczeniu są standardowe klauzule umowne. Powołanie się na nie jest w przeciwieństwie do BCR możliwe bez zgody GIODO. Standardowe klauzule umowne są bowiem zatwierdzane przez Komisję Europejską. Stanowią one gotowe do zastosowania wzory umów. Komisja Europejska zatwierdziła trzy modele klauzul. Dwa przewidziane są dla relacji administrator – administrator, a jeden dla relacji administrator – procesor. W klauzulach nie można dokonywać zmian. Są one modelowe, standardowe i należy je stosować w kształcie przyjętym przez Komisję.

Decyzja GIODO

Bezpieczną furtką dla administratora danych poszukującego podstaw ich transferu do USA wydawać się może decyzja GIODO. Zgodnie z polską ustawą, jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą GIODO wyda decyzję administracyjną zezwalającą na transfer danych. Zgodę GIODO może więc uzyskać tylko ten administrator, który zagwarantuje odpowiedni standard ochrony danych. W przeciwnym wypadku, transfer nie będzie możliwy. Uwzględniając standard ochrony danych obowiązujący w USA można sobie wyobrazić szereg wątpliwości GIODO przez wydaniem pozytywnej decyzji, zezwalającej na transfer danych.

Oczywiście poza już wymienionymi, ustawa o ochronie danych przewiduje jeszcze szereg innych przesłanek przekazywania danych do państw w tym: zgodę, konieczność przekazania danych do wykonania umowy pomiędzy ADO a podmiotem danych, konieczność przekazania danych do wykonania umowy zawartej w interesie podmiotu danych, ochronę żywotnych interesów oraz przekazanie niezbędne ze względu na dobro publiczne, ogólnodostępność danych. Jednak z punktu widzenia dzisiejszego postu te przesłanki są mniej istotne.

Skutki głośnego wyroku TSUE

Sytuacja administratorów przekazujących dane do USA zmieniła się po wydaniu wyroku w sprawie Maxa Schremsa. Zanim TSUE orzekł o nieważności Safe Harbour, transfery danych do USA odbywały się najczęściej bez należytej kontroli. Safe Harbour przewidywała co prawda pewne mechanizmy weryfikacyjne, jednak z punktu widzenia europejskich standardów ochrony były one niewystarczające. Nie były również wykorzystywane w praktyce. Poza tym, zasady przewidziane w Safe Harbour oraz sposób ich wdrażania nie spełniały standardów przewidzianych w Europie. Teraz sytuacja wygląda inaczej. Niezależnie od wybranej przesłanki transferu danych administrator może spodziewać się kontroli GIODO.

Poza tym, wyrok TUSE jest wyraźnym sygnałem dla krajowych organów ochrony danych, że mają z dużą dokładnością i starannością badać zasady i sposób przekazywania danych do państw trzecich. Dla państw czy podmiotów przyjmujących jest z kolei sygnałem, że Unia chce walczyć o wybrany przez nią model ochrony danych i zachowanie gwarancji europejskich. Przyglądając się różnicom w podejściu do ochrony danych między Unią i USA, stwierdzić wręcz można, że bez zmiany podejścia do kwestii prywatności po stornie amerykańskiej lub bez pewnej większej elastyczności Unii Europejskiej, przekazywanie danych do USA nie będzie możliwe w sposób całkowicie zgodny z prawem.

W kolejnym poście przybliżymy Państwu stanowiska, które po wyroku wydali kolejno: Grupa Robocza Art. 29, Komisja Europejska i Generalny Inspektor Ochrony Danych Osobowych.

Post Views: 2 289

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.