Obowiązki dotyczące firm w USA
Departament Handlu Stanów Zjednoczonych ma prowadzić listę firm, które zapewniają odpowiedni standard ochrony danych osobowych. Firmy te mają być regularnie weryfikowane pod kątem zapewnienia bezpieczeństwa przetwarzanym danym. W przypadku gdy podmiot nie będzie spełniał odpowiedniego poziomu ochrony, może zostać usunięty z listy, czyli utracić status firmy działającej zgodnie z zasadami Tarczy Prywatności. Dodatkowo decyzja określa, że podmioty wpisane na tę listę mogą przekazywać dane osobowe tylko innym podmiotom na niej się znajdującym. Lista ma zacząć funkcjonować już od 1 sierpnia br.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Przepisy związane z administracją rządową USA
Według deklaracji administracji USA i przedstawicieli służb wywiadowczych ograniczona ma zostać masowa inwigilacja obywateli UE. Nowością jest pojawienie się po stronie amerykańskiej Rzecznika przy Departamencie Stanu, który ma być odpowiednikiem europejskich organów nadzorczych w zakresie ochrony danych osobowych. Rzecznik ma być niezależny od służ i zapewniać obywatelom Unii Europejskiej możliwość skorzystania ze środków odwoławczych w przypadku naruszenia prawa do prywatności przez firmy będące na liście Tarczy Prywatności.
Prawa obywatela EU
W zakresie uprawnień osób, których dane dotyczą wprowadzone zostaną nowe narzędzia ochrony prawnej. Osoba, której prawo do prywatności zostało naruszone i nie udało jej się wyjaśnić tej kwestii z firmą, która przetwarzała jej dane będzie miała możliwość złożenia skargi do krajowego organu ochrony danych osobowych, np. w Polsce do GIODO, który może interweniować bezpośrednio w Departamencie Handlu USA w zakresie braku realizacji obowiązków wynikających z Tarczy Prywatności. W ostateczności można zwrócić się bezpośrednio do Rzecznika przy Departamencie Stanu w USA. Niestety w Privacy Shield nie zostały przewidziane żadne – poza skreśleniem z listy – negatywne konsekwencje dla firm, które naruszają prawo do prywatności.
Coroczne przeglądy
W myśl nowych regulacji raz w roku Komisja Europejska i Departament Handlu USA będą przeprowadzać przegląd funkcjonowania zasad określonych w Tarczy Prywatności. Na ich podstawie przygotowywane będą sprawozdania dla Parlamentu Europejskiego i Rady. Komisja przeprowadzając przeglądy będzie mogła korzystać z wszelkich dostępnych źródeł informacji o funkcjonowaniu w praktyce Tarczy Prywatności.
Decyzja Komisji Europejskiej wydaje się być krokiem w dobrą stronę. Jednak dopiero praktyka jej funkcjonowania pokaże, czy spełnia swoją rolę – czy rzeczywiście zapewnia realną ochronę prawa do prywatności obywatelom UE. Obecnie większość organizacji publicznych i prywatnych odnosi się z dużym dystansem do nowych przepisów. Wskazują one, że w większości oświadczeń prasowych lub w mniej formalnych komentarzach dotyczących nowej decyzji brakuje jasno określonych zasad obrotu danymi osobowymi pomiędzy UE i USA. Najczęściej wskazywaną wadą omawianej regulacji jest zastosowanie w niej takiej samej konstrukcji prawnej jak w uznanej już za wadliwą Decyzji Komisji Europejskiej, która z założenia opiera się na samokontroli podmiotów w Państwie trzecim.
Poniżej przedstawiam fragmenty komentarzy organów państwowych, organizacji pozarządowych i firm dotyczące Decyzji Komisji Europejskiej – Privacy Shield:
Konfederacja Lewiatan: W związku z trwającymi obecnie negocjacjami dotyczących nowego porozumienia w sprawie przekazywania danych pomiędzy Unią Europejską a Stanami Zjednoczonymi (Privacy Shield), Konfederacja Lewiatan dołączyła do wspólnego listu europejskich organizacji pracodawców, wzywającego do poparcia dla porozumienia.
Fundacja Panoptykon: […] Jednak aktywiści broniący prywatności alarmują, że poprawiona Tarcza wciąż nie spełnia pokładanych w nich nadziei, a liczne ograniczenia prawa do ochrony danych osobowych mogą być sprzeczne z Kartą praw podstawowych.
Grupa robocza Art. 29 ds. ochrony danych: […] Po przyjęciu decyzji w sprawie odpowiedniego stopnia ochrony przez Komisję, Grupa Robocza będzie mogła przeprowadzić skoordynowaną analizę dokumentów i opublikować oświadczenie tak szybko, jak to możliwe.
Microsoft Sp. z o.o.: […] Przykład Privacy Shield pokazuje, że w zakresie ochrony danych osobowych Europę oraz USA łączy o wiele więcej niż mogłoby sugerować powierzchowne porównanie. Obywatele i ustawodawcy po obu stronach Atlantyku zwracają szczególną uwagę na zapewnienie ochrony danych osobowych. Ramy prawne oraz drobne szczegóły wykonawcze różnią się między sobą, jednak to, co je łączy to wspólne wartości i cel nadrzędny – zachowanie prywatności obywateli.
