12 lipca 2016 r. Komisja Europejska dała zielone światło dla nowych zasad przekazywania danych osobowych z UE do USA. Nowy pakiet tzw. Privacy Shield (Tarcza Prywatności) zastąpi wcześniejszy Safe Harbour, który przestał być skuteczną podstawą przekazywania danych do USA po wyroku TSUE z 5 października 2015 r. w sprawie Schrems (C-362/14). W przywołanym wyroku TSUE stwierdził, że Safe Harbour nie gwarantował wystarczającej ochrony praw podstawowych, w szczególności prawa do prywatności w związku z przetwarzaniem danych osobowych.

Czym jest Privacy Shield?

Privacy Shield została przyjęta w drodze decyzji Komisji Europejskiej. Zgodnie z dyrektywą 95/46/WE, Komisja Europejska może stwierdzić, że państwo trzecie zapewnia odpowiedni stopień ochrony danych osobowych na podstawie swojego prawa krajowego lub zobowiązań międzynarodowych. W takich przypadkach przekazywanie danych osobowych do państwa trzeciego zasadniczo nie będzie wiązało się z koniecznością spełnienia dodatkowych obowiązków.

Na Privacy Shield składają się uzgodnione pomiędzy UE a USA zasady ochrony prywatności oraz zobowiązania poszczególnych organów odpowiedzialnych w USA za obszar przetwarzania danych osobowych. Dokumenty te stanowią załączniki do wspomnianej powyżej decyzji KE.

Główne założenia

Privacy Shield ma zapewnić skuteczniejszą ochronę prywatności w szczególności w następujących obszarach:

1. przejrzystość zasad przetwarzania danych przez administratorów/podmioty przetwarzające dane w USA

Privacy Shield funkcjonować będzie na zasadzie samocertyfikacji, tj. podmioty z USA składać będą deklarację przestrzegania zasad przetwarzania danych osobowych wypracowanych w ramach nowego porozumienia. Podmioty te będą również zobowiązane do publikowania polityk prywatności oraz przekazywania określonych informacji dotyczących przetwarzania danych osobom fizycznym.

2. skuteczny nadzór nad przetwarzaniem danych w USA

Departament Handlu USA prowadzić będzie rejestr podmiotów, które przystąpiły do Privacy Shield. Przeprowadzane będą regularne kontrole zgodności przetwarzania danych, a podmioty naruszające zasady ustalone nowym porozumieniem, będą mogły zostać wykreślone z rejestru.

3. wprowadzenie mechanizmu bezpłatnego pozasądowego rozwiązywania sporów

Każdy podmiot z USA przetwarzający dane będzie musiał zapewnić wewnętrzną procedurę rozpatrywania skarg. Osoby fizyczne będą mogły skorzystać również z nieodpłatnego mechanizmu ADR lub zwrócić się o pomoc do organu nadzoru w swoim państwie. Jeśli polubowne rozwiązanie sporu okaże się nieskuteczne, przewidziano możliwość skorzystania z arbitrażu.

4. ograniczenie masowego przetwarzania danych przez organy rządowe w USA

Monitorowanie danych osobowych przez organy rządowe dopuszczalne będzie jedynie w wyjątkowych sytuacjach, pod warunkiem, że będzie niezbędne i proporcjonalne. Dla rozpatrywania sporów, które mogą pojawić się w tym zakresie, powołany zostanie dedykowany Ombudsman.

5. wprowadzenie corocznego przeglądu funkcjonowania mechanizmu Privacy Shield

Komisja Europejska oraz Departament Handlu USA co roku będą dokonywały przeglądu skuteczności Privacy Shield (pierwszy przegląd ma dotyczyć m.in. zautomatyzowanego przetwarzania danych). Raport z przeglądu może wskazywać na obszary, które będą wymagać dalszego usprawnienia i negocjacji.

Privacy Shield – podstawowe obowiązki administratorów i podmiotów przetwarzających

Podmioty z USA chcące przetwarzać dane osobowe przekazywane z UE na podstawie przystąpienia do Privacy Shield, będą musiały przestrzegać szeregu zasad pozwalających chronić prywatność osób fizycznych. Do najważniejszych z zasad można zaliczyć:

prawo do informacji

Osoby fizyczne będą musiały zostać poinformowane m.in. o rodzaju przetwarzanych danych, celu przetwarzania, prawie dostępu do danych, warunkach dalszego przekazania danych oraz zasadach odpowiedzialności za zapewnienie bezpieczeństwa przetwarzania danych osobowych.

Podmioty przetwarzające dane będą również zobowiązane opublikować swoje polityki prywatności.

obowiązek zapewnienia integralności danych oraz ograniczenia celu przetwarzania

Podmioty powinny przetwarzać jedynie dane niezbędne ze względu na cel przetwarzania przez okres, w którym takie dane są przydatne dla osiągnięcia konkretnego celu. Przetwarzane dane muszą być kompletne oraz aktualne.

prawo wyboru

Jeśli nowy cel przetwarzania jest odmienny od pierwotnego, osoba fizyczna powinna mieć możliwość sprzeciwić się przetwarzaniu jej danych osobowych (na zasadzie opt out). Ponadto, należy umożliwić sprzeciwienie się przetwarzaniu danych dla celów marketingu w dowolnym momencie.

zapewnienie bezpieczeństwa przetwarzania

Podmioty przetwarzające dane muszą przyjąć odpowiednie środki bezpieczeństwa, uzależnione m.in. od poziomu ryzyka związanego z przetwarzaniem danych oraz od rodzaju przetwarzanych danych.

zapewnienie dostępu do danych

Osoby fizyczne będą miały prawo otrzymania potwierdzenia, czy ich dane osobowe są przetwarzane przez dany podmiot oraz będą mogły żądać ich poprawienia lub usunięcia w przypadku, gdy przetwarzanie odbywa się niezgodnie z zasadami Privacy Shield.

Specjalne zasady przyjęto w zakresie zautomatyzowanego przetwarzania danych (np. profilowania), na podstawie którego podejmowane są indywidualne decyzje dotyczące poszczególnych osób fizycznych (np. decyzje kredytowe).

egzekwowanie zasad przetwarzania danych i zasady odpowiedzialności

Podmioty przetwarzające dane muszą wprowadzić wewnętrzne mechanizmy zapewniające przestrzeganie zasad wynikających z Privacy Shield oraz przeprowadzać weryfikację zgodności polityk z nowym mechanizmem przetwarzania danych. To ostatnie można osiągnąć na dwa sposoby: (i) poprzez wewnętrzny system oceny połączony z zapewnieniem szkolenia pracowników lub (ii) poprzez audyt zewnętrzny.

Privacy Shield nakłada również obowiązek wprowadzenia wewnętrznego mechanizmu rozpatrywania skarg.

dalsze przekazywanie danych

Przekazywanie danych kolejnym podmiotom możliwe będzie jedynie na podstawie umowy, która gwarantować będzie takich sam poziom ochrony co Privacy Shield oraz jedynie w określonym celu. Osoby fizyczne będą musiały zostać poinformowane o podmiocie, któremu dane mają być przekazane oraz o celu przekazania. Będą miały również możliwość sprzeciwienia się takiemu przekazaniu (na zasadzie opt out), a w przypadku danych wrażliwych przekazanie będzie możliwe dopiero po udzieleniu zgody przez podmiot przetwarzania danych (na zasadzie opt in).

Katarzyna Sawicka, Associate, Warszawa, Deloitte; Agata Jankowska-Galińska, Radca prawny, Managing Associate, Warszawa, Deloitte