„Privacy Shield jest wielkim zwycięstwem prywatności, osób i firm po obu stronach Atlantyku.” Sekretarz Handlu Penny Pritzker

Privacy Shield nakłada silniejsze obowiązki na amerykańskie firmy w zakresie ochrony danych osobowych Europejczyków. Konstrukcja Privacy Shield odzwierciedla wymagania Europejskiego Trybunału Sprawiedliwości, który uznał obowiązującą wcześniej w relacjach USA-UE decyzję Safe Harbour (umożliwiała transfer danych osobowych bez spełniania dodatkowych rygorów, czy uzyskiwania zgody GIODO) za nieważną, głównie ze względu na zarzuty niedostatecznego zabezpieczenia prywatności danych osobowych pochodzących z Unii Europejskiej. Privacy Shield wymaga, aby Stany Zjednoczone monitorowały i egzekwowały bardziej zdecydowanie ochronę danych osobowych, a także ściślej współpracowały z europejskimi organami ochrony danych osobowych. Najważniejszy element Privacy Shield stanowią zapewnienia dotyczące ograniczenia dostępu do danych osobowych przez amerykańskie władze publiczne. Kwestia ta stanowiła podstawowy zarzut Trybunału Sprawiedliwości, który nie mógł zaakceptować zagrożenia dowolnego dostępu do europejskich danych osobowych ze strony takich organów amerykańskich, jak National Security Agency.

Ze strony organów państwowych Privacy Shield ma gwarantować: przejrzystość przetwarzania danych osobowych; każdy dostęp władz publicznych do danych osobowych będzie podlegał ograniczeniom, gwarancjom i mechanizmom nadzoru. Władze Stanów Zjednoczonych potwierdzają jednocześnie w ramach Privacy Shield brak dyskryminacji w zakresie dostępu do danych osobowych oraz brak masowej inwigilacji. Przedsiębiorcy będą mogli zgłaszać liczbę otrzymanych ze strony władz publicznych żądań dostępu do danych osobowych. Powstanie instytucja rzecznika prywatności, który będzie zajmował się rozwiązywaniem skarg od osób fizycznych.

Privacy Shield przewiduje roczne wspólne (Unia Europejska – Stany Zjednoczone) przeglądy jej funkcjonowania, szczególnie zobowiązań amerykańskich, w tym w odniesieniu do dostępu do danych osobowych dla celów egzekwowania prawa i bezpieczeństwa narodowego.

W stosunku do przedsiębiorców amerykańskich Privacy Shield ma zapewniać swobodny przepływ danych osobowych po spełnieniu szeregu wymogów: większa przejrzystość przetwarzania danych osobowych, wprowadzenie mechanizmów nadzoru w celu zapewnienia przestrzegania przez przedsiębiorców zasad przetwarzania danych osobowych. W końcu przewidziano sankcje lub nawet wykluczenie przedsiębiorstwa amerykańskiego z możliwości przetwarzania europejskich danych osobowych na podstawie Privacy Shield, gdy przetwarzanie było niezgodne z przyjętymi zasadami. Wśród obowiązków nakładanych na przedsiębiorców amerykańskich warto wymienić: obowiązek odpowiedzi na skargi od osób fizycznych w terminie 45 dni od ich otrzymania; zapewnienie bezpłatnego rozstrzygania sporów z osobami fizycznymi; współpraca z Urzędem Ochrony Danych oraz Departamentem Handlu i Federalną Komisją Handlu w celu zapewnia, aby nierozwiązane skargi zgłaszane przez obywateli UE były badane i szybko rozwiązane. Dodatkowo dla przetwarzania europejskich danych osobowych amerykańscy przedsiębiorcy będą musieli corocznie podlegać certyfikacji spełnienia wymogów wynikających z Privacy Shield; wyświetlać politykę prywatności na swoich stronach internetowych; odpowiadać na skargi; współpracować z europejskimi organami ochrony danych osobowych.

Przyjmowanie wniosków przedsiębiorców amerykańskich o objęcie Privacy Shield rozpoczęło się 1 sierpnia 2016 r.

Privacy Shield stanowić ma bardziej efektywną i łatwiejszą dla amerykańskich przedsiębiorców alternatywę dla obowiązujących obecnie (po unieważnieniu decyzji Safe Harbour) standardowych klauzul umownych, ewentualnie dla wymogu zgody europejskiego GIODO na transfer danych osobowych do Stanów Zjednoczonych. W przypadku przedsiębiorców działających w ramach jednej międzynarodowej struktury organizacyjnej możliwe będzie nadal przygotowanie i korzystanie z tzw. Binding Corporate Rules, które podlegają zatwierdzeniu przez GIODO. Raz zatwierdzone przez GIODO w formie decyzji administracyjnej, umożliwiają transfer danych osobowych pomiędzy podmiotami należącymi do danej grupy bez dodatkowych dokumentów.

Artur Piechocki, radca prawny w APLaw, specjalista prawa Internetu i nowych technologii.