Tarcza Prywatności – co nowego w zasadach transferu danych do USA?
Decyzja Wykonawcza Komisji z dnia 12 lipca 2016 r. wprowadza Tarczę Prywatności – program oparty na samocertyfikacji umożliwiający transfer danych osobowych z UE do USA. Program ten zastąpił unieważnioną Bezpieczną Przystań. Od dnia 1 sierpnia 2016 r. przedsiębiorstwa mogą występować o certyfikat do Departamentu Handlu USA. Przedsiębiorcy prowadzący działalność polegającą na transferze danych do USA powinni zapoznać się z możliwościami przewidzianymi przez Decyzję Komisji.
****
Tarcza Prywatności UE-USA to program oparty na samocertyfikacji, którego działanie rozpoczęło się 1 sierpnia 2016 r. Aby w nim uczestniczyć, amerykańskie podmioty transferujące dane osobowe muszą zobowiązać się do przestrzegania zbioru zasad ochrony prywatności, w tym zasad ramowych Tarczy Prywatności oraz zasad uzupełniających wydanych przez Departament Handlu USA. Należy zwrócić uwagę, że mają one zastosowanie zarówno do administratorów danych jak i do podmiotów przetwarzających (tzw. processorów), z zastrzeżeniem, że każdy processor musi być zobowiązany umownie do przetwarzania danych wyłącznie na polecenie administratora danych z siedzibą w kraju członkowskim UE oraz do wspomagania takiego administratora w udzielaniu odpowiedzi osobom, których dane dotyczą korzystającym z praw przyznanych Tarczą Prywatności. Ochronę zapewnianą w ramach Tarczy stosuje się do wszystkich podmiotów danych z UE, których dane zostały przekazane z UE do podmiotów w USA, które przyjęły zasady tego systemu samocertyfikacji. Program ten pozostaje bez wpływu na stosowanie przepisów regulujących przetwarzanie danych w państwach członkowskich. Departament Handlu USA będzie zarządzał i monitorował ten program oraz jego funkcjonowanie.
Przystąpienie do Tarczy Prywatności jest dobrowolne. Jest to obok standardowych klauzul umownych oraz Wiążących Reguł Korporacyjnych sposób na legalny transatlantycki transfer danych osobowych.
Organizacje przystępując do programu Tarczy Prywatności będą musiały zobowiązać się m.in. do przestrzegania następujących 7 Zasad Prywatności (ang. Privacy Principles):
- Zasady Powiadomienia (ang. Notice Principle),
- Zasady Integralności Danych oraz Celowości (ang. Data Integrity and Purpose Limitation Principle),
- Zasady Wyboru (ang. Choice Principle),
- Zasady Bezpieczeństwa (ang. Security Principle),
- Zasady Dostępu (ang. Access Principle),
- Zasady dotyczącej Ochrony Prawnej, Egzekwowania prawa oraz Odpowiedzialności (ang. Recourse, Enforcement and Liability Principle), oraz
- Zasady Odpowiedzialności za Wtórne Przekazywanie (ang. Accountability for Onward Transfer Principle).
Zgodnie z Zasadą Informowania organizacje będą zobowiązane do informowania osób, których dane dotyczą o takich elementach przetwarzania jak:
- sposób przetwarzania danych,
- cel przetwarzania danych,
- prawo dostępu do danych,
- zasada wyboru oraz
- warunkach wtórnego przekazywania oraz odpowiedzialności.
Ponadto, organizacje będą zobowiązane do publikowania polityk prywatności uwzględniających Zasady Prywatności, linków do strony Departamentu Handlu USA, wykazu podmiotów uczestniczących w programie Tarczy Prywatności oraz strony podmiotu świadczącego usługę w zakresie pozasądowego rozstrzygania sporów.
Zasada Integralności Danych oraz Celowości przewiduje, że przetwarzanie danych osobowych musi być ograniczone co do celu. Organizacja jest odpowiedzialna również za to, że dane osobowe są właściwe dla zamierzonego celu, dokładne, kompletne i aktualne.
Niedozwolone jest przetwarzanie danych niezgodnie z celem, dla którego zostały pierwotnie zebrane lub na który osoba, której dane dotyczą nie wyraziła zgody.
Natomiast Zasada Wyboru umożliwia osobom, których dane dotyczą sprzeciw, jeżeli ich dane będą przekazane osobie trzeciej lub będą wykorzystane w celu innym, niż pierwotny. W przypadku danych wrażliwych organizacja będzie musiała uzyskać zgodę na zasadzie „opt in”.
Zasada Bezpieczeństwa zobowiązuje organizacje do wykorzystywania środków bezpieczeństwa zasadnych i odpowiednich co do ryzyk związanych z przetwarzaniem danych. W przypadku podpowierzania, organizacja powinna zawrzeć w umowie postanowienia gwarantujące, że subproccesorzy również będą stosować poziom ochrony określony w Zasadach Prywatności.
Zasada Dostępu przyznaje podmiotowi danych prawo uzyskania informacji w rozsądnym czasie, o tym czy dana organizacja przetwarza jego dane osobowe bez konieczności uzasadniania. Od podmiotu danych można wymagać w tym celu uiszczenia niezawyżonej opłaty. Prawo to może zostać ograniczone wyłącznie, gdy jest to konieczne i należycie usprawiedliwione.
Zasada dotycząca Ochrony Prawnej, Egzekwowania Prawa oraz Odpowiedzialności wymaga, aby organizacje stosowały silne mechanizmy zapewniające zgodność z zasadami ochrony danych oraz środki odwoławcze dla podmiotów danych – obywateli Unii Europejskiej, których dane są przetwarzane niezgodnie z prawem. Podmiot, który raz zdecyduje się dobrowolnie na uczestnictwo w programie Tarczy Prywatności, musi obowiązkowo stosować zasady w niej określone.
Zgodnie z Zasadą Odpowiedzialności za Wtórne Przekazywanie dalszy transfer danych do innego administratora danych lub processora może się odbyć wyłącznie w zakresie określonym celem przetwarzania, na podstawie umowy lub porównywalnego uzgodnienia pomiędzy przedsiębiorstwami oraz tylko jeżeli umowa zapewnia taki sam poziom ochrony jak zagwarantowany zgodnie z Zasadami Prywatności. Zasadę tę należy czytać razem z Zasadą Powiadamiania, a w przypadku wtórnego przekazywania do administratora danych będącego osobą trzecią (podmiotem spoza EOG) z Zasadą Wyboru.
W ramach Tarczy Prywatności przewidziano ponadto następujące mechanizmy nadzoru i egzekwowania Zasad Prywatności:
- Departament Handlu USA będzie prowadził i aktualizował publiczny wykaz podmiotów, które przyjęły zasady Tarczy Prywatności, a także rejestr podmiotów wykreślonych. Rejestr ten został już uruchomiony. Można go znaleźć pod adresem: https://www.privacyshield.gov.
- Uczestnicy Tarczy Prywatności mają 45 dni na odpowiedź na skargę złożoną przez osobę, której dane dotyczą.
- Osoby, której dane dotyczą może również złożyć skargę do krajowego organu ochrony danych.
- Osoby fizyczne mają również prawo do bezpłatnego korzystania z alternatywnej metody rozstrzygania sporów (ADR). Każdy podmiot przystępujący do Tarczy Prywatności musi określić niezależny podmiot odpowiedzialny za ADR.
- Powołanie Rzecznika ds. Tarczy Prywatności w Departamencie Stanu USA, którego zadaniem jest nadzór oraz zapewnienie środków ochrony prawnej podmiotom danych.
Komisji na podstawie Decyzji Wykonawczej przysługują następujące uprawnienia:
- Zgodnie z art. 4 ust. 1 Decyzji, Komisja będzie stale monitorować działanie Tarczy Prywatności. KE będzie oceniać, czy Stany Zjednoczone zapewniają adekwatny poziom ochrony danych osobowych przekazywanych z UE do podmiotów z siedzibą w USA, które uczestniczą w Tarczy Prywatności.
- Zgodnie z art. 4 ust. 4 Decyzji Komisja będzie przeprowadzać corocznie przegląd przestrzegania zasad bezpiecznego transferu danych. Dla dalszego funkcjonowania Tarczy Prywatności kluczowy będzie pierwszy przegląd działania programu. Należy również oczekiwać, że Tarcza Prywatności będzie wymagała dostosowań do rozporządzenia ogólnego o ochronie danych, którego stosowanie rozpocznie się w maju 2018 r.
- Zgodnie z art. 4 ust. 6 Decyzji Komisja jest uprawniona do zawieszania, poprawiania oraz uchylenia swojej Decyzji, w przypadku, gdy zostaną stwierdzone systematyczne naruszenia oraz gdy organy publiczne Stanów Zjednoczonych nie będą działać zgodnie ze swoimi zobowiązaniami.
Podsumowanie
Na dzień 26 września 2016 r. do programu Tarczy Prywatności przystąpiło ok. 250 podmiotów. Dla porównania do programu Bezpiecznej Przystani należało w trakcie jej obowiązywania ponad 5,5 tysiąca podmiotów. Systematycznie do programu dołączają kolejne podmioty dokonujące transatlantyckiego transferu danych, jednakże osiągnięcie podobnej liczby uczestników jak w przypadku Bezpiecznej Przystani wymaga czasu. Egzaminem dla Tarczy Prywatności będzie pierwszy roczny przegląd zasad bezpiecznego transferu danych.