Było Safe Harbour, a będzie Privacy Shield. Czyli kolejna próba uregulowania przepływu danych do USA.

Po głośnym wyroku Trybunału Sprawiedliwości UE z 6 października 2015 r. w sprawie Maksymiliana Schremsa, stwierdzającym nieskuteczność ochrony danych osobowych realizowanej na podstawie Decyzji Komisji Europejskiej – Safe Harbour, wydana została decyzja ją zastępująca – Privacy Shield. Bodźcem do wprowadzenia nowych ram prawnych przepływu danych do USA były przede wszystkim zarzuty określone we wskazanym wyroku oraz brak kontroli sądowej nad dostępem do danych przez służby bezpieczeństwa USA. Poniżej przedstawiam najważniejsze założenia Privacy Shield (Tarczy Prywatności).

Obowiązki dotyczące firm w USA

Departament Handlu Stanów Zjednoczonych ma prowadzić listę firm, które zapewniają odpowiedni standard ochrony danych osobowych. Firmy te mają być regularnie weryfikowane pod kątem zapewnienia bezpieczeństwa przetwarzanym danym. W przypadku gdy podmiot nie będzie spełniał odpowiedniego poziomu ochrony, może zostać usunięty z listy, czyli utracić status firmy działającej zgodnie z zasadami Tarczy Prywatności. Dodatkowo decyzja określa, że podmioty wpisane na tę listę mogą przekazywać dane osobowe tylko innym podmiotom na niej się znajdującym. Lista ma zacząć funkcjonować już od 1 sierpnia br.

 

Przepisy związane z administracją rządową USA

Według deklaracji administracji USA i przedstawicieli służb wywiadowczych ograniczona ma zostać masowa inwigilacja obywateli UE. Nowością jest pojawienie się po stronie amerykańskiej Rzecznika przy Departamencie Stanu, który ma być odpowiednikiem europejskich organów nadzorczych w zakresie ochrony danych osobowych. Rzecznik ma być niezależny od służ i zapewniać obywatelom Unii Europejskiej możliwość skorzystania ze środków odwoławczych w przypadku naruszenia prawa do prywatności przez firmy będące na liście Tarczy Prywatności.

Prawa obywatela EU

W zakresie uprawnień osób, których dane dotyczą wprowadzone zostaną nowe narzędzia ochrony prawnej. Osoba, której prawo do prywatności zostało naruszone i nie udało jej się wyjaśnić tej kwestii z firmą, która przetwarzała jej dane będzie miała możliwość złożenia skargi do krajowego organu ochrony danych osobowych, np. w Polsce do GIODO, który może interweniować bezpośrednio w Departamencie Handlu USA w zakresie braku realizacji obowiązków wynikających z Tarczy Prywatności. W ostateczności można zwrócić się bezpośrednio do Rzecznika przy Departamencie Stanu w USA. Niestety w Privacy Shield nie zostały przewidziane żadne – poza skreśleniem z listy – negatywne konsekwencje dla firm, które naruszają prawo do prywatności.

Coroczne przeglądy

W myśl nowych regulacji raz w roku Komisja Europejska i Departament Handlu USA będą przeprowadzać przegląd funkcjonowania zasad określonych w Tarczy Prywatności. Na ich podstawie przygotowywane będą sprawozdania dla Parlamentu Europejskiego i Rady. Komisja przeprowadzając przeglądy będzie mogła korzystać z wszelkich dostępnych źródeł informacji o funkcjonowaniu w praktyce Tarczy Prywatności.

Decyzja Komisji Europejskiej wydaje się być krokiem w dobrą stronę. Jednak dopiero praktyka jej funkcjonowania pokaże, czy spełnia swoją rolę – czy rzeczywiście zapewnia realną ochronę prawa do prywatności obywatelom UE. Obecnie większość organizacji publicznych i prywatnych odnosi się z dużym dystansem do nowych przepisów. Wskazują one, że w większości oświadczeń prasowych lub w mniej formalnych komentarzach dotyczących nowej decyzji brakuje jasno określonych zasad obrotu danymi osobowymi pomiędzy UE i USA. Najczęściej wskazywaną wadą omawianej regulacji jest zastosowanie w niej takiej samej konstrukcji prawnej jak w uznanej już za wadliwą Decyzji Komisji Europejskiej, która z założenia opiera się na samokontroli podmiotów w Państwie trzecim.

Poniżej przedstawiam fragmenty komentarzy organów państwowych, organizacji pozarządowych i firm dotyczące Decyzji Komisji Europejskiej – Privacy Shield:

Konfederacja Lewiatan: W związku z trwającymi obecnie negocjacjami dotyczących nowego porozumienia w sprawie przekazywania danych pomiędzy Unią Europejską a Stanami Zjednoczonymi (Privacy Shield), Konfederacja Lewiatan dołączyła do wspólnego listu europejskich organizacji pracodawców, wzywającego do poparcia dla porozumienia.

Fundacja Panoptykon: […] Jednak aktywiści broniący prywatności alarmują, że poprawiona Tarcza wciąż nie spełnia pokładanych w nich nadziei, a liczne ograniczenia prawa do ochrony danych osobowych mogą być sprzeczne z Kartą praw podstawowych.

Grupa robocza Art. 29 ds. ochrony danych: […] Po przyjęciu decyzji w sprawie odpowiedniego stopnia ochrony przez Komisję, Grupa Robocza będzie mogła przeprowadzić skoordynowaną analizę dokumentów i opublikować oświadczenie tak szybko, jak to możliwe.

Microsoft Sp. z o.o.: […] Przykład Privacy Shield pokazuje, że w zakresie ochrony danych osobowych Europę oraz USA łączy o wiele więcej niż mogłoby sugerować powierzchowne porównanie. Obywatele i ustawodawcy po obu stronach Atlantyku zwracają szczególną uwagę na zapewnienie ochrony danych osobowych. Ramy prawne oraz drobne szczegóły wykonawcze różnią się między sobą, jednak to, co je łączy to wspólne wartości i cel nadrzędny – zachowanie prywatności obywateli.

Czytaj także:

-
4.55/5 (44) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".