6 rzeczy o Privacy Shield, o których powinno się wiedzieć

Pęknięta tarcza Kapitana Ameryki. Obrazek dzięki uprzejmości https://www.superheroden.com/
Pęknięta tarcza Kapitana Ameryki. Obrazek dzięki uprzejmości https://www.superheroden.com/

Dnia 12 lipca br. Komisja Europejska (dalej KE, Komisja) zatwierdziła porozumienie EU-U.S. Privacy Shield.  Nowy model współpracy został stworzony by zabezpieczyć przestrzeganie praw podstawowych dzięki zapewnieniu należytej ochrony danych osobowych, które są przesyłane z Unii do Stanów Zjednoczonych. Privacy Shield ma na celu także zapewnienie jasności prawa dla przedsiębiorców opierających swą działalność o ten typ transferu. Poniżej przedstawiam 6 informacji, które powinniśmy wiedzieć o Privacy Shield

1. Samocertyfikacja

Porozumienie Privacy Shield wciąż opiera się na mechanizmie samocertyfikacji. Ten sam sposób przystąpienia do programu przewidywało porozumienie „Safe Harbour”. Była to też jedna z podstaw uznania go za niezgodne z prawem UE (w wyroku Trybunału Sprawiedliwości UE z dnia 6 października 2015 r. w sprawie C-362/14 Schrems – Facebook). Max Schrems zapowiada podobny koniec tego porozumienia.

2. Kontrola zobowiązań firm przetwarzających dane osobowe

Na mocy Privacy Shield Departament Handlu Stanów Zjednoczonych będzie regularnie aktualizował listę uczestniczących w programie firm i przeprowadzał w nich kontrole pod kątem przestrzegania jego wymogów. W razie niespełniania wymogów  przez  firmę w nim uczestniczącą, może zostać ona ukarana, w tym nawet usunięta z listy.

Możliwość przekazywania posiadanych danych osobowych podmiotom trzecim z firmy działającej w ramach Privacy Shield zawężona jest do sytuacji, w której zagwarantowany jest ten sam poziom ochrony, co przewidziany w ramach tego programu.

3. Ograniczenia i wymogi przejrzystości w dostępie rządu USA do danych osobowych

Stany Zjednoczone mają zapewnić, że dostęp do przesłanych danych w celach ochrony porządku publicznego i bezpieczeństwa narodowego przez agencje rządowe podlegać będzie jednoznacznym ograniczeniom i mechanizmom kontrolnym.

USA wykluczyła możliwość zaistnienia masowej inwigilacji danych osobistych Europejczyków przesłanych do nich na podstawie porozumienia Privacy Shield. Ponadto Biuro Dyrektora Wywiadu Narodowego (NSA) wyjaśniło, że owe ogromne ilości danych będą mogły zostać użyte tylko w razie zajścia nadzwyczajnych okoliczności, przy zachowaniu przewidzianych ograniczeń.

Aby zapewnić skuteczność powyższych postanowień dotyczących wykorzystania danych osobowych przez rząd USA, w Departamencie Stanu powołana zostanie funkcja „Ombudsperson”. Funkcja ta  będzie niezależna od służb bezpieczeństwa wewnętrznego. Do jej kompetencji będzie należeć zajmowanie się skargami i udzielanie odpowiedzi na pytania od osób z UE, które uważają, że ich prawa zostały naruszone.

4. Ochrona praw jednostek

Dla każdego obywatela mającego podejrzenia, że jego dane zostały wykorzystane wbrew przewidzianym przez Privacy Shield warunkom zostaną ustanowione łatwo dostępne i niedrogie mechanizmy rozwiązywania sporów. Skargę rozpatrzeć może sama firma.

Drugą opcją jest nieodpłatne rozstrzygnięcie sporu metodą Alternative Dispute Resolution (ADR). Trzecią możliwością jest zwrócenie się do swego narodowego organu ochrony danych osobowych, który we współpracy z Federalną Komisją Handlu zbada i rozstrzygnie skargę. Jeśli żadna z metod nie przyniesie skutku, przewidziana jest jeszcze możliwość zastosowania mechanizmu mediacji.

Dochodzenie roszczeń od władz publicznych w kwestiach wywiadu, uregulowane jest odrębnie, sprawami tymi zajmował się  będzie ombudsman.

5. Coroczny wspólny przegląd

Mechanizm ten służyć ma monitorowaniu funkcjonowania programu Privacy Shield, w tym użycia danych w celu ochrony porządku publicznego i bezpieczeństwa narodowego. Przeglądu dokonywać będzie Komisja Europejska oraz Departament Handlu Stanów Zjednoczonych. Wspierać będą je w tym eksperci ds. wywiadu z organów ochrony danych osobowych państw członkowskich UE i USA.

KE korzystając również ze wszystkich innych źródeł informacji, sporządzać będzie raport przedstawiany Parlamentowi Europejskiemu i Radzie Europejskiej.

6. Co na to Grupa Robocza Artykułu 29?

Nie każdy jednak jest zadowolony w powyższych deklaracji USA. W opublikowanym w tej sprawie oświadczeniu Grupy Roboczej Artykułu 29  z dnia 25 lipca br., Grupa Robocza wskazała brak gwarancji dotyczących niezależności i nieuregulowanie uprawnień Rzecznika „Ombudsmana”.  Grupa zwróciła uwagę na zobowiązania USA do nie inwigilowania na masową skalę, jednak wskazała na brak konkretnych gwarancji. Grupa podkreśla, że nie mamy pewności, iż  taka praktyka nie ma i nie będzie mieć miejsca (zapewne dowiemy się o niej w momencie ujawnienia się nowego Edwarda Snowdena). Zdaniem Grupy, w ocenie funkcjonowania Privacy Shield kluczowym momentem będzie pierwszy wspólny roczny przegląd.

W odniesieniu do aspektów biznesowych, Grupa Robocza wskazuje brak konkretnych zasad dotyczących zautomatyzowanego przetwarzania danych oraz powszechnego prawa do sprzeciwu. Podkreśla również brak jasnych zasad mających zastosowanie do podmiotów przetwarzających (procesorów).

Podsumowanie

Członkowie Komisji Europejskiej wskazują, że Privacy Shield od poprzedniego rozwiązania różnią wyższe standardy ochrony danych. Wskazuje się tu zabezpieczenia przed dostępem do danych osobowych przez organy państwowe USA, lepsze mechanizmy ich egzekwowania oraz łatwiejszy dla podmiotów indywidualnych mechanizm dochodzenia roszczeń. Wiele nowych rozwiązań niewątpliwie przyczyni się do podwyższenia standardów ochrony danych osobowych. Być może jednak dopiero kolejny wyrok Trybunału Sprawiedliwości UE rozwieje wątpliwości, czy zmiany poszły wystarczająco daleko. Na zakończenie pragniemy przypomnieć, że od wczoraj (czyli od 1 sierpnia) istnieje możliwość przystąpienia do Privacy Shield. Więcej o tym przeczytasz pod tym linkiem.

Autor: Maciej Chodorowski

Źródła:

http://europa.eu/rapid/press-release_IP-16-2461_en.htm ;

http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf

 

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.