W ubiegłym tygodniu Komisja Europejska i rząd Stanów Zjednoczonych przyjęły porozumienie w sprawie nowych zasad transatlantyckiego przekazywania danych osobowych – Privacy Shield (Tarcza Prywatności). Reguluje ona kwestie związane z przekazywaniem danych osobowych z państw członkowskich UE do USA i zastąpiła unieważnione w ubiegłym roku przez Trybunał Sprawiedliwości Unii Europejskiej porozumienie Safe Harbor (Bezpieczna Przystań). Czego się spodziewać? Czy to zmiana na lepsze?
Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy jest szczególnie obwarowane. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Związane jest to z bardzo wysokim poziomem ochrony danych osobowych na terytorium UE i relatywnie niskim poziomem tej ochrony na terytorium państw trzecich.
Do państw niezapewniających odpowiedniego poziomu ochrony danych osobowych, co może zaskakiwać, należą między innymi USA. Powoduje to, że wszelkie operacje przekazania danych z UE do USA, poza kilkoma wyjątkami opisanymi w ustawie o ochronie danych osobowych, potencjalnie wymagają każdorazowo uzyskania zgody Generalnego Inspektora Danych Osobowych. Furtką była dotychczas tzw. bezpieczna przystań (Safe Harbor), a więc program certyfikowania, jako bezpieczne, poszczególnych podmiotów działających na terytorium USA.
Cierpieli giganci
Z uwagi na unieważnienie porozumienia Safe Harbor przez TSUE w ubiegłym roku, liczna grupa amerykańskich przedsiębiorców znalazła się w prawnej próżni. Mowa tutaj w szczególności o największych graczach branży technologicznej, którzy od ostatniego pół roku pozostawali w stanie niepewności, co do tego w jaki sposób i czy w ogóle, mogą przekazywać dane osobowe swych klientów z UE do USA, a w konsekwencji np. przechowywać dane na serwerach tam ulokowanych.
W rezultacie, po ponad półrocznych negocjacjach, Komisja Europejska i rząd amerykański zawarli nowe porozumienie w przedmiocie ochrony danych osobowych przekazywanych z UE do USA, mające zastąpić dotychczasowe rozwiązania. Porozumieniu temu nadano nazwę – Privacy Shield.
Czym jest Tarcza?
Porozumienie Privacy Shield opierać się będzie na kilku podstawowych mechanizmach/zasadach.
- przedsiębiorstwa amerykańskie stosujące Privacy Shield, umieszczane będą w ewidencji prowadzonej przez Departament Handlu USA, który prowadził będzie regularne przeglądy tych przedsiębiorstw pod kątem prawidłowego zabezpieczenia danych osobowych, pod rygorem usunięcia z ewidencji;
- dostęp do pochodzących z UE danych przetwarzanych przez amerykańskie przedsiębiorstwa będzie dla administracji rządowej USA ograniczony wyłącznie do przypadków, w których stanie się on konieczny z uwagi na kwestie bezpieczeństwa narodowego lub stosowania prawa;
- każda osoba, która twierdzi, że jej dane zostały wykorzystane w sposób niewłaściwy i niezgodny z Privacy Shield, uprawniona będzie do złożenia stosownej skargi, rozpatrywanej bądź to przez przetwarzającego, w ramach alternatywnych metod rozwiązywania sporu, bądź też przez Federalną Komisję Handlu, za pośrednictwem krajowych organów ochrony danych osobowych (np. polskiego GIODO);
- Komisja Europejska i Departament Handlu USA będą rokrocznie dokonywać wspólnego przeglądu stosowania Privacy Shield.
Do Privacy Shield, amerykańskie przedsiębiorstwa będą mogły przystąpić już 1 sierpnia 2016 r. Czy Tarcza się sprawdzi? Zobaczymy… Nie wiadomo, czy zwiększy poziom bezpieczeństwa naszych danych osobowych, z pewnością jednak ułatwi życie przedsiębiorcom, w tym przedsiębiorcom mającym siedzibę w UE, a współpracującym z amerykańskimi partnerami.
