iSecure logo
Blog

Tarcza Prywatności UE-USA – co, dlaczego, kiedy i jak?

Tarcza Prywatności UE-USA – co, dlaczego, kiedy i jak?
Kategorie

Zainteresowanym tematem transgranicznego przepływu danych do tzw. państwa trzeciego wyjaśniamy, że Tarcza Prywatności to narzędzie, które ma stanowić podstawę przekazywania danych osobowych do USA, wynikającą z art. 47 ust. 1 ustawy o ochronie danych osobowych.

Zgodnie z tą przesłanką przekazywanie danych osobowych do państwa trzeciego (w przypadku Tarczy Prywatności – do USA), może nastąpić, jeżeli to państwo zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Adekwatność poziomu ochrony deklarowanego przez kraj docelowy (USA) jest zatwierdzana w drodze decyzji Komisji Europejskiej. Poprzednia decyzja, która uznawała program Bezpiecznej Przystani (Safe Harbour), za podstawę istnienia odpowiedniego poziomu ochrony (tj. decyzja KE z dnia z dnia 26 lipca 2000 r.), została unieważniona przez Trybunał Sprawiedliwości UE w październiku 2015 r. w wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14). Przez kolejne miesiące, a konkretnie do 2 lutego 2016 r., pracowano nad nowym rozwiązaniem. Wspomnianego dnia Komisja Europejska poinformowała o zakończeniu negocjacji z USA w sprawie nowego mechanizmu transgranicznego przepływu danych, na nowych zasadach, zwanego Tarczą Prywatności.

Tak jak w przypadku Safe Harbour, aby ten mechanizm mógł być uznany za adekwatny do poziomu ochrony danych osobowych obowiązującego w UE, musi być zatwierdzony decyzją Komisji Europejskiej. Grupa Robocza art. 29 – organ opiniodawczy, którego członkami są organy ochrony danych osobowych każdego z państw członkowskich UE, zobowiązała Komisję Europejską do przekazania do końca lutego 2016 r. wszystkich dokumentów dotyczących tego nowego mechanizmu (Tarczy Prywatności). Wśród rzeczonych dokumentów znalazł się m. in. projekt decyzji Komisji Europejskiej w sprawie odpowiedniej ochrony danych osobowych (która dotyczy zatwierdzenia mechanizmu Tarczy Prywatności i tym samym daje nam podstawę do transferu danych), zawierającej ustalone zasady prywatności.

12 lipca 2016 r. program Tarczy Prywatności UE-USA został formalnie, w drodze decyzji z tego samego dnia, zaakceptowany przez Komisję Europejską. Również 12 lipca decyzja ta została przekazana państwom członkowskim i Komisja zadeklarowała jej wejście „niezwłocznie w życie”.

Mechanizm Tarczy Prywatności dotyczy wyłącznie sytuacji transferu danych do USA, czyli przesyłania danych na terytorium USA, a sam program dedykowany jest do zalegalizowania relacji z amerykańskimi podmiotami. Dokładniej rzecz ujmując, program ten dotyczy przekazywania danych ze wszystkich krajów Unii Europejskiej (w tym przez polskich administratorów danych) do tych przedsiębiorstw w USA, które przystąpią do programu i przetwarzać będą dane na terytorium USA.

W praktyce polega to na tym, że nowy mechanizm nakłada na amerykańskie spółki przetwarzające dane w USA bardziej restrykcyjne, niż program Safe Harbour, obowiązki dotyczące przetwarzania przez nie danych osobowych w USA. Analogicznie, jak w przypadku Safe Harbour, program ten polega na samocertyfikacji, czyli zadeklarowaniu, że dana amerykańska spółka, chcąc przetwarzać dane w USA, zapewnia gwarancje ochrony adekwatne do tych, obowiązujących w UE i stosuje się do wyznaczonych zasad. Wówczas może być zarejestrowana w jawnym rejestrze członków Tarczy Prywatności, z tym że procedura samocertyfikacji ma się odbywać co roku (tzn. certyfikat ma być odnawiany co rok). Warto doprecyzować, że zasady ochrony danych przyjmowane w ramach Tarczy Prywatności nakładają wymogi nie na nasze polskie Spółki, lecz podmioty amerykańskie,  które muszą się do tych zasad dostosować, chcąc uzyskać certyfikat i dokonać rejestracji w programie (posiadać status członka programu Tarczy Prywatności, któremu mogą być dane transferowane).

W praktyce z zainteresowaniem oczekujemy na ruch firm, które dostarczają produkty czy usługi polskim podmiotom, w wyniku czego może dochodzić do transferu danych do USA (np. warto zweryfikować przypadki współpracy chociażby z Microsoft, Facebook, Google, Dropbox). Te spółki, jak i inne amerykańskie, mogą przystępować do programu Tarczy Prywatności. Firmy takie od 1 sierpnia będą mogły wystąpić o certyfikat w Departamencie Handlu USA, jak podano w komunikacie prasowym Komisji Europejskiej z dnia 12 lipca 2016 r. Certyfikat taki, podobnie jak wcześniej w przypadku Bezpieczniej Przystani, będzie potwierdzeniem, że dana spółka ciesząc się wydanym certyfikatem spełnia wymogi bezpieczeństwa zatwierdzone przez Komisję Europejską w ramach Tarczy Prywatności i transfer danych można uznać za spełniający podstawy formalne.

Podobne wpisy:

Bezpieczny sklep internetowy

Bezpieczny sklep internetowy

Zapraszamy do zapoznania się z wywiadem z Marią Lothamer, który został opublikowany w Dzienniku Gazecie Prawnej Ekstra w dniu 17 marca br. Z wywiadu będzie można dowiedzieć się min. na temat różnych wymogów jakie prawo stawia przedsiębiorcom prowadzącym lub chcącym zacząć prowadzić sklep internetowy.
Miłej lektury.

Pobieraczek.pl ukarany przez UOKiK

Pobieraczek.pl ukarany przez UOKiK

Przy okazji realizacji jednego z projektów miałem okazję dość szczegółowo zapoznać się z portalem pobieraczek.pl, o którym od dłuższego czasu jest dość głośno w Internecie. Akurat wczoraj w ich sprawie została wydana decyzja Urzędu Ochrony Konkurencji i Konsumentów, która nakłada na firmę Eller Services z Gdańska (operatora pobieraczek.pl) karę finansową wynoszącą prawie 240 tyś. zł.

Kurs ochrony danych osobowych przez e-mail

Kurs ochrony danych osobowych przez e-mail

Z końcem września planujemy wystartować z ciekawą, a przede wszystkim bezpłatną usługą – darmowym kursem ochrony danych osobowych poprzez e-mail. Żeby móc wziąć w nim udział wystarczy zapisać się na nasz newsletter (na stronie głównej www.isecure.pl na samym dole).

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki