Ten blog korzysta z plików cookies na zasadach określonych tutaj
Zamknij
30.08.2016
NEW TECH & INNOWACJE

Transfery pod specjalnym nadzorem

Niemałą burzę wywołał wyrok Trybunału Sprawiedliwości z 6 października 2015 r. (C-362/14), stwierdzający nieważność decyzji Komisji Europejskiej odnośnie programu „Bezpieczna przystań” (ang. „Safe Harbour”). W toku konsultacji na linii UE – USA ustalono, że zastąpi go „Tarcza prywatności” (ang. „Privacy shield”).

Powyższe wydarzenia relacjonowaliśmy dla Państwa na naszym blogu (1) (2) oraz w Gazecie Prawnej.

Jak to onegdaj bywało i jak wygląda to dziś

Przedsiębiorcy dokonujący transferu danych osobowych do Stanów Zjednoczonych mogli działać w oparciu o „Safe Harbour” do 31 stycznia 2016 r. Po okresie przejściowym zmuszeni byli zmienić podstawę prawną transferu. Jednakże, nie wszyscy przestali działać na podstawie „Safe Harbour”, o czym wspomina we wpisie z 4 sierpnia ICO (ang. The Information Commissioner’s Office – brytyjski odpowiednik GIODO), nawołując do powstrzymania się od takiego nielegalnego działania.

Należy bowiem podkreślić, że 12 lipca 2016 r. Komisja Europejska przyjęła „Privacy Shield” jako doskonalszego następcę programu „Safe Harbour”, a nowe regulacje zaczęły obowiązywać w trybie natychmiastowym. Co istotne, od 1 sierpnia amerykańscy przedsiębiorcy mogą zgłaszać się do Departamentu Handlu Stanów Zjednoczonych w celu dokonania samocertyfikacji, dzięki której będą mogli otrzymywać dane z EOG na podstawie programu „Privacy Shield”. Zarejestrowanych przedsiębiorców można znaleźć na stronie programu. Jeżeli przedsiębiorca nie posiada certyfikatu, nie jest możliwy transfer na podstawie „Privacy Shield”.

security

„Tarcza prywatności” – główne założenia

  1. Samocertyfikacja, czyli zobowiązanie się przedsiębiorcy do przestrzegania zasad prywatności określonych przez „Privacy Shield” zgłoszone do Departamentu Handlu USA.
  2. Kontrola certyfikowanych przedsiębiorców – Departament Handlu USA ma obowiązek kontrolować przestrzegania zasad prywatności z zastosowaniem sankcji (możliwe usunięcie z listy certyfikowanych przedsiębiorców).
  3. Powołanie „Ombudperson”, czyli rzecznika, w założeniu niezależnego od organów władzy publicznej Stanów Zjednoczonych, który ma gwarantować wykorzystanie danych osobowych przez amerykańskie organy publiczne w sposób niezbędny i proporcjonalny.
  4. Ogólnodostępne mechanizmy rozwiązywania sporów. Jednostka, która podnosi, że naruszono jej dane osobowe, może złożyć skargę bezpośrednio do samego przedsiębiorcy, który ma 45 dni na ustosunkowanie się do niej, a w razie negatywnego rozpatrzenia skargi może skorzystać z Alternative Dispute Resolution lub zwrócić się do narodowego organu ochrony danych osobowych (GIODO), działającego wraz z Federalną Komisją Handlu. Ostatecznie możliwe jest skorzystanie z mediacji.
  5. Coroczny przegląd funkcjonowania „Privacy Shield”, którego dokonywać będą wspólnie Komisja Europejska wraz z Departamentem Handlu Stanów Zjednoczonych. Przegląd ma wieńczyć raport, w którym zostaną wskazane kwestie wymagające dalszych wspólnych negocjacji i uzgodnień.

Inne podstawy transferu danych do USA

„Privacy Shield” nie jest obecnie jedyną legalną opcją dokonania przesyłu danych osobowych z EOG do Stanów Zjednoczonych. Alternatywą są standardowe klauzule umowne, zatwierdzone przez Komisję Europejską w formie decyzji lub wiążące reguły korporacyjne (po zatwierdzeniu przez GIODO). Powyższe alternatywy mogą być podstawą przesyłu danych osobowych nie tylko do Stanów Zjednoczonych, ale też do innego państwa trzeciego.

Wątpliwości i obawy

Grupa Robocza Artykułu 29 ds. Ochrony Danych wydała oświadczenie dotyczące „Privacy Shield”. Odnosi się ona sceptycznie do powyższego porozumienia, wskazując na brak gwarancji niezależności oraz mechanizmu funkcjonowania „Ombudperson”. Zdaniem Grupy, „Tarcza prywatności” nie wskazuje jednoznacznie w jaki sposób działać ma ochrona danych osobowych, zapobiegając ich masowemu, nielegalnemu wykorzystaniu. Nie ma również konkretnych regulacji co do zautomatyzowanego przetwarzania danych, czy powszechnego prawa sprzeciwu. Grupa Robocza podkreśla, że dopiero roczny przegląd funkcjonowania porozumienia pozwoli ocenić skuteczność „Tarczy Prywatności”.

#dane osobowe #internet #nowe technologie #prywatność #RODO #transfer danych #USA

Chcesz być informowany o najnowszych wpisach na blogu?

  • - Podaj adres e-mail i otrzymuj informację o nowym wpisach na blogu SKP/IPblog prosto na Twoją skrzynkę
  • - Nie będziemy wysłać Ci spamu

Administratorem Twoich danych osobowych jest SKP Ślusarek Kubiak Pieczyk sp.k. z siedzibą w Warszawie, przy ul. Ks. Skorupki 5, 00-546 Warszawa.

Szanujemy Twoją prywatność dlatego przekazane nam dane nie będą przetwarzane i udostępniane poza SKP w innych celach niż ujęte w Regulaminie Serwisu. Szczegółowe postanowienia dotyczące naszego IP Bloga, w tym katalog Twoich uprawnień związanych z przetwarzaniem danych osobowych znajdziecie Państwo w Polityce Prywatności.