Niemałą burzę wywołał wyrok Trybunału Sprawiedliwości z 6 października 2015 r. (C-362/14), stwierdzający nieważność decyzji Komisji Europejskiej odnośnie programu „Bezpieczna przystań” (ang. „Safe Harbour”). W toku konsultacji na linii UE – USA ustalono, że zastąpi go „Tarcza prywatności” (ang. „Privacy shield”).
Powyższe wydarzenia relacjonowaliśmy dla Państwa na naszym blogu (1) (2) oraz w Gazecie Prawnej.
Jak to onegdaj bywało i jak wygląda to dziś
Przedsiębiorcy dokonujący transferu danych osobowych do Stanów Zjednoczonych mogli działać w oparciu o „Safe Harbour” do 31 stycznia 2016 r. Po okresie przejściowym zmuszeni byli zmienić podstawę prawną transferu. Jednakże, nie wszyscy przestali działać na podstawie „Safe Harbour”, o czym wspomina we wpisie z 4 sierpnia ICO (ang. The Information Commissioner’s Office – brytyjski odpowiednik GIODO), nawołując do powstrzymania się od takiego nielegalnego działania.
Należy bowiem podkreślić, że 12 lipca 2016 r. Komisja Europejska przyjęła „Privacy Shield” jako doskonalszego następcę programu „Safe Harbour”, a nowe regulacje zaczęły obowiązywać w trybie natychmiastowym. Co istotne, od 1 sierpnia amerykańscy przedsiębiorcy mogą zgłaszać się do Departamentu Handlu Stanów Zjednoczonych w celu dokonania samocertyfikacji, dzięki której będą mogli otrzymywać dane z EOG na podstawie programu „Privacy Shield”. Zarejestrowanych przedsiębiorców można znaleźć na stronie programu. Jeżeli przedsiębiorca nie posiada certyfikatu, nie jest możliwy transfer na podstawie „Privacy Shield”.
„Tarcza prywatności” – główne założenia
Inne podstawy transferu danych do USA
„Privacy Shield” nie jest obecnie jedyną legalną opcją dokonania przesyłu danych osobowych z EOG do Stanów Zjednoczonych. Alternatywą są standardowe klauzule umowne, zatwierdzone przez Komisję Europejską w formie decyzji lub wiążące reguły korporacyjne (po zatwierdzeniu przez GIODO). Powyższe alternatywy mogą być podstawą przesyłu danych osobowych nie tylko do Stanów Zjednoczonych, ale też do innego państwa trzeciego.
Wątpliwości i obawy
Grupa Robocza Artykułu 29 ds. Ochrony Danych wydała oświadczenie dotyczące „Privacy Shield”. Odnosi się ona sceptycznie do powyższego porozumienia, wskazując na brak gwarancji niezależności oraz mechanizmu funkcjonowania „Ombudperson”. Zdaniem Grupy, „Tarcza prywatności” nie wskazuje jednoznacznie w jaki sposób działać ma ochrona danych osobowych, zapobiegając ich masowemu, nielegalnemu wykorzystaniu. Nie ma również konkretnych regulacji co do zautomatyzowanego przetwarzania danych, czy powszechnego prawa sprzeciwu. Grupa Robocza podkreśla, że dopiero roczny przegląd funkcjonowania porozumienia pozwoli ocenić skuteczność „Tarczy Prywatności”.