statystyki

Obowiązki administratora danych są mało czytelne

autor: Mirosław Gumularz, Maciej Kawecki10.08.2016, 07:30; Aktualizacja: 10.08.2016, 08:17
Dane

Na europejskim administratorze danych spoczywa obowiązek reakcji na żądania osób, których transferowane dane dotycząźródło: ShutterStock

Decyzja w sprawie „Privacy Shield” (dalej jako „Tarcza Prywatności”) określa ramy prawne ochrony danych osobowych obywateli UE w ramach ich transatlantyckich transferów. Mówiąc w największym uproszczeniu decyzja wskazuje przesłanki legalności przetwarzania danych osobowych przez podmioty z USA (odbiorców transferu danych osobowych), biorące udział w programie Tarczy Prywatności (np. dostawcy usług hostingowych) w oparciu o mechanizm samocertyfikacji.

Reklama


Reklama


Rejestr tych podmiotów będzie dostępny na stronach internetowych Departamentu Handlu USA. Oznacza to, iż Tarcza Prywatności legalizuje transfer danych osobowych za Atlantyk wyłącznie, gdy ich odbiorcą jest podmiot certyfikowany.

W ten sposób uznano, iż USA pod pewnymi warunkami zapewniają odpowiedni poziom ochrony danych osobowych Europejczyków. W związku z tym, że wskazana decyzja dotyczy wyłącznie podmiotów biorących udział w programie Tarczy Prywatności, aktualna pozostaje możliwość korzystania z innych podstaw legalizujących taki transfer do Ameryki: w szczególności standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR). W tym sensie udział w programie Tarczy Prywatności jest fakultatywny. Oznacza to, iż podmiot z USA niebędący uczestnikiem programu wciąż może być legalnym odbiorcą danych z  Europejskiego Obszaru Gospodarczego, jeżeli zostaną spełnione inne podstawy legalizujące ich transfer. Natomiast dla uczestników programu przestrzeganie zasad wynikających z decyzji dotyczącej Tarczy Prywatności staje się obligatoryjne.

W tym kontekście pojawia się więc pytanie, w jakim zakresie przedsiębiorca z EOG przekazujący dane osobowe do certyfikowanego podmiotu z USA odpowiedzialny jest za realizację zasad wynikających z Tarczy Prywatności? Pytanie jest o tyle zasadne, że Tarcza Prywatności nie określa wprost adresata swoich norm, posługując się niedookreślonymi terminami „organizacja” (lub „organizacje”), „organizacja uczestnicząca w Tarczy Prywatności”, „organizacja w USA” czy „organizacja w  UE”, jednocześnie bez bliższego ich zdefiniowania.


Pozostało jeszcze 64% treści

Czytaj wszystkie artykuły
Miesiąc 89,90 zł
Zamów abonament

Mam już kod SMS
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Zapoznaj się z regulaminem i kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Prawo na co dzień

Galerie

Wyszukiwarka kancelarii

SzukajDodaj kancelarię

Polecane

Reklama