RODO

RODO w praktyce: Co to jest Tarcza Prywatności?

DSC_0483
www.rybarczyk-kancelaria.pl

Tarcza Prywatności (Privacy Shield) jest mechanizmem pozwalającym na przekazywanie danych osobowych z Unii Europejskiej do USA. Poprzednikiem Tarczy Prywatności była tzw. Bezpieczna Przystań (Safe Harbour), jednak decyzja Komisji Europejskiej z 26 lipca 2000 r. (520/2000) w sprawie adekwatności ochrony w Stanach Zjednoczonych, przewidzianej przez zasady ochrony prywatności w ramach Bezpiecznej Przystani została unieważniona wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie C-362/14 Maximilian Schrems v. Data Protection Commissioner.

Tarcza Prywatności jako następca Bezpiecznej Przystani opiera się na systemie samocertyfikowania dla przedsiębiorstw z siedzibą w Stanach Zjednoczonych. System ten został uznany przez Komisję Europejską za zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych z Unii Europejskiej do Stanów Zjednoczonych.

Tarcza Prywatności na moment publikacji tego wpisu obowiązuje nadal pod rządami RODO. Oznacza to, że w przypadku przekazywania danych do Stanów Zjednoczonych jako do Państwa Trzeciego, podstawą takiego przekazania będzie każdorazowo art. 45 RODO, o ile dany podmiot znajdujący się w Stanach Zjednoczonych jest podmiotem posiadającym odpowiedni certyfikat. Certyfikat jest wydawany przez Departament Handlu USA. Podmioty, które uzyskają certyfikat wydany w oparciu o Tarczę Prywatności, muszą tworzyć programy polityki prywatności.

W przypadku współpracy z przedsiębiorcami z USA, to na administratorze danych osobowych z Unii Europejskiej ciąży obowiązek sprawdzenia statusu swojego amerykańskiego kontrahenta, jego certyfikacji, ważności certyfikacji oraz zasięgu jej stosowania. Takiego sprawdzenia można dokonać na stronie https://www.privacyshield.gov/list. To może jednak nie wystarczyć. Istotne jest dokładne sprawdzenie zgodności stanu prawnego ze stanem faktycznym. Przede wszystkim należy sprawdzić czy dany podmiot opracował odpowiednie polityki prywatności i czy udostępnił je dla swoich kontrahentów. Istotne jest także sprawdzenie czy taka polityka prywatności w swojej treści odsyła do strony internetowej, na której można sprawdzić certyfikację danego podmiotu. Nie chodzi tutaj jednak o ogólną stronę, która została podana powyżej, ale link do strony dotyczącej już danego, konkretnego podmiotu.

Tarcza Prywatności przed wejściem w życie RODO była jedną z największym zagadek. Padały sprzeczne informacje co do tego, czy po 25 maja 2018 r. Tarcza Prywatności nadal będzie obowiązywać. Póki co system w ramach Tarczy nadal działa, jednak regularnie dochodzi do sprawdzenia funkcjonowania mechanizmu Tarczy przez stronę unijną. Do tej pory przeprowadzono dwa doroczne przeglądy Tarczy Prywatności. Drugi z nich zakończył się raportem przyjętym 22 stycznia 2019 r. przez Członków Europejskiej Rady Ochrony Danych (EROD). O ile zaobserwowano poprawę w zakresie ochrony danych osobowych w ramach systemu Tarczy Prywatności, to jednak nadal nie doszło ze strony amerykańskiej do całościowego wdrożenia Tarczy Prywatności. Niepokojący jest przede wszystkim brak konkretnych zapewnień, że wykluczone jest masowe gromadzenie oraz dostęp do danych osobowych dla celów bezpieczeństwa narodowego.

Podsumowując: jeżeli chcemy przekazywać dane osobowe do USA, na pewno musimy liczyć się z tym, że przekazujemy dane osobowe do Państwa Trzeciego. Naszą odpowiedzialnością jako administratora danych osobowych jest sprawdzenie certyfikacji podmiotu z USA, któremu chcemy przekazywać dane osobowe. Następnie powinniśmy zapoznać się z polityką prywatności udostępnioną przez ten podmiot. Pamiętajmy przy tym, że nawet jeśli wszystkie wymogi formalne zostały spełnione przez naszego amerykańskiego partnera, to my nie możemy spocząć na laurach. Przekazywanie danych do Państwa Trzeciego zawsze wiąże się z dodatkowymi obowiązkami po stronie administratora, w tym m.in. wykonaniem obowiązku informacyjnego wobec osób, których dane dotyczą, aktualizacją Rejestru Czynności Przetwarzania Danych, a być może również z dokonaniem oceny skutków dla ochrony danych.

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s