Decyzja w sprawie „Privacy Shield” (dalej jako „Tarcza Prywatności”) określa ramy prawne ochrony danych osobowych obywateli UE w ramach ich transatlantyckich transferów. Mówiąc w największym uproszczeniu decyzja wskazuje przesłanki legalności przetwarzania danych osobowych przez podmioty z USA (odbiorców transferu danych osobowych), biorące udział w programie Tarczy Prywatności (np. dostawcy usług hostingowych) w oparciu o mechanizm samocertyfikacji.
Rejestr tych podmiotów będzie dostępny na stronach internetowych Departamentu Handlu USA. Oznacza to, iż Tarcza Prywatności legalizuje transfer danych osobowych za Atlantyk wyłącznie, gdy ich odbiorcą jest podmiot certyfikowany.
W ten sposób uznano, iż USA pod pewnymi warunkami zapewniają odpowiedni poziom ochrony danych osobowych Europejczyków. W związku z tym, że wskazana decyzja dotyczy wyłącznie podmiotów biorących udział w programie Tarczy Prywatności, aktualna pozostaje możliwość korzystania z innych podstaw legalizujących taki transfer do Ameryki: w szczególności standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR). W tym sensie udział w programie Tarczy Prywatności jest fakultatywny. Oznacza to, iż podmiot z USA niebędący uczestnikiem programu wciąż może być legalnym odbiorcą danych z Europejskiego Obszaru Gospodarczego, jeżeli zostaną spełnione inne podstawy legalizujące ich transfer. Natomiast dla uczestników programu przestrzeganie zasad wynikających z decyzji dotyczącej Tarczy Prywatności staje się obligatoryjne.
W tym kontekście pojawia się więc pytanie, w jakim zakresie przedsiębiorca z EOG przekazujący dane osobowe do certyfikowanego podmiotu z USA odpowiedzialny jest za realizację zasad wynikających z Tarczy Prywatności? Pytanie jest o tyle zasadne, że Tarcza Prywatności nie określa wprost adresata swoich norm, posługując się niedookreślonymi terminami „organizacja” (lub „organizacje”), „organizacja uczestnicząca w Tarczy Prywatności”, „organizacja w USA” czy „organizacja w UE”, jednocześnie bez bliższego ich zdefiniowania.
Należy więc stwierdzić, iż do organizacji europejskich (będących administratorami danych) z pewnością stosuje się obowiązek zawarcia umowy z podmiotem z USA, któremu przekazywane są dane osobowe. Taka umowa (zgodnie z treścią Tarczy Prywatności – załącznik II pkt III) powinna określać, iż podmiot w USA przetwarzając dane w imieniu administratora:
● działa wyłącznie w oparciu o wytyczne administratora danych;
● zapewnia „odpowiednie środki” techniczne i organizacyjne mające na celu ochronę danych osobowych;
● przyjmuje do wiadomości ograniczenia związane z dalszym transferem danych osobowych (np. podwykonawcom);
● wspomaga administratora w udzielaniu odpowiedzi na żądania osób, których dane dotyczą, realizujących swoje uprawnienia wynikające z zasad Tarczy Prywatności.
Mirosław Gumularz, radca prawny / Dziennik Gazeta Prawna
Z powyższego (zob. także motyw 14 decyzji o Tarczy Prywatności) wynika, iż na europejskim administratorze danych spoczywa obowiązek reakcji na żądania osób, których transferowane dane dotyczą. Wskazane wymogi nie precyzują jednak, o które z następujących zasad Tarczy może chodzić:
● informacji (notice principle), tj. obowiązek przekazania wielu informacji, w tym o uprawnieniach przysługujących podmiotowi danych;
● wyboru (choice), zgodnie z którą podmiot ten w pewnych sytuacjach może sprzeciwić się przetwarzaniu jego danych (opt-out);
● odpowiedzialności za dalszy transfer danych osobowych (accountability for onward transfer);
● bezpieczeństwa (security);
● integralności danych osobowych i ograniczenia celu ich przetwarzania (data integrity and purpose limitation principle);
● dostępu do danych osobowych (access) i ich poprawiania;
● odwoływania się, egzekwowania i odpowiedzialności (recourse, enforcement and liability).
Czy w związku z tym europejski administrator danych ma obowiązek realizacji powyższych wymogów w całej rozciągłości, czy tylko musi „pomóc” podmiotom danych realizować ich uprawnienia względem firm z USA?
Biorąc pod uwagę zasady przewidziane w decyzji o Tarczy Prywatności, trzeba stwierdzić, iż w znacznej mierze powtarzają one mechanizmy obowiązków administratora przewidziane dyrektywą 95/46/WE, a także wynikające z przyjętego w kwietniu br. ogólnego rozporządzenia unijnego o ochronie danych osobowych (nr 2016/679). W tym zakresie należy przyjąć, iż europejski administrator danych będzie odpowiadać według zasad wynikających z prawa państwa członkowskiego, ustalonego właśnie na podstawie zasad wynikających z dyrektywy 95/46/WE (a także ogólnego rozporządzenia o ochronie danych osobowych po rozpoczęciu jego stosowania). Do obowiązków, których realizacja będzie ciążyła wprost na administratorach, należeć będzie bez wątpienia powiadomienie osób, których dane dotyczą, o zakresie i celu ich przetwarzania.
Maciej Kawecki, prawnik, Uniwersytet Jagielloński / Dziennik Gazeta Prawna
Na zakończenie należy wskazać, iż Komisja Europejska w swoim ostatnim dokumencie „Guide to the EU-U.S. Privacy Shield” pominęła problem obowiązków ciążących na europejskich administratorach danych.
Ważne
Tarcza Prywatności (Privacy Shield) zastąpiła uznany przez unijny trybunał za niezgodny z prawem program Bezpieczna Przystań (Safe Harbor). Cel obu – przynajmniej w teorii – jest ten sam: ochrona transferowanych do USA danych osobowych obywateli Unii. Za Atlantykiem poziom zabezpieczeń prywatności jest bowiem niższy.