Rejestr tych podmiotów będzie dostępny na stronach internetowych Departamentu Handlu USA. Oznacza to, iż Tarcza Prywatności legalizuje transfer
danych osobowych za Atlantyk wyłącznie, gdy ich odbiorcą jest podmiot certyfikowany.
W ten sposób uznano, iż USA pod pewnymi warunkami zapewniają odpowiedni poziom ochrony
danych osobowych Europejczyków. W związku z tym, że wskazana decyzja dotyczy wyłącznie podmiotów biorących udział w programie Tarczy Prywatności, aktualna pozostaje możliwość korzystania z innych podstaw legalizujących taki transfer do Ameryki: w szczególności standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR). W tym sensie udział w programie Tarczy Prywatności jest fakultatywny. Oznacza to, iż podmiot z USA niebędący uczestnikiem programu wciąż może być legalnym odbiorcą danych z Europejskiego Obszaru Gospodarczego, jeżeli zostaną spełnione inne podstawy legalizujące ich transfer. Natomiast dla uczestników programu przestrzeganie zasad wynikających z decyzji dotyczącej Tarczy Prywatności staje się obligatoryjne.
W tym kontekście pojawia się więc pytanie, w jakim zakresie
przedsiębiorca z EOG przekazujący dane osobowe do certyfikowanego podmiotu z USA odpowiedzialny jest za realizację zasad wynikających z Tarczy Prywatności? Pytanie jest o tyle zasadne, że Tarcza Prywatności nie określa wprost adresata swoich norm, posługując się niedookreślonymi terminami „organizacja” (lub „organizacje”), „organizacja uczestnicząca w Tarczy Prywatności”, „organizacja w USA” czy „organizacja w UE”, jednocześnie bez bliższego ich zdefiniowania.
Należy więc stwierdzić, iż do organizacji europejskich (będących administratorami danych) z pewnością stosuje się obowiązek zawarcia umowy z podmiotem z USA, któremu przekazywane są
dane osobowe. Taka umowa (zgodnie z treścią Tarczy Prywatności – załącznik II pkt III) powinna określać, iż podmiot w USA przetwarzając dane w imieniu administratora:
● działa wyłącznie w oparciu o wytyczne administratora danych;
● zapewnia „odpowiednie środki” techniczne i organizacyjne mające na celu ochronę danych osobowych;
● przyjmuje do wiadomości ograniczenia związane z dalszym transferem
danych osobowych (np. podwykonawcom);
● wspomaga administratora w udzielaniu odpowiedzi na żądania osób, których dane dotyczą, realizujących swoje uprawnienia wynikające z zasad Tarczy Prywatności.
Mirosław Gumularz, radca prawny
/
Dziennik Gazeta Prawna
Z powyższego (zob. także motyw 14 decyzji o Tarczy Prywatności) wynika, iż na europejskim administratorze danych spoczywa obowiązek reakcji na żądania osób, których transferowane dane dotyczą. Wskazane wymogi nie precyzują jednak, o które z następujących zasad Tarczy może chodzić:
● informacji (notice principle), tj. obowiązek przekazania wielu informacji, w tym o uprawnieniach przysługujących podmiotowi danych;
● wyboru (choice), zgodnie z którą podmiot ten w pewnych sytuacjach może sprzeciwić się przetwarzaniu jego danych (opt-out);
● odpowiedzialności za dalszy transfer danych osobowych (accountability for onward transfer);
● bezpieczeństwa (security);
● integralności danych osobowych i ograniczenia celu ich przetwarzania (data integrity and purpose limitation principle);
● dostępu do danych osobowych (access) i ich poprawiania;
● odwoływania się, egzekwowania i odpowiedzialności (recourse, enforcement and liability).
Czy w związku z tym europejski administrator danych ma obowiązek realizacji powyższych wymogów w całej rozciągłości, czy tylko musi „pomóc” podmiotom danych realizować ich uprawnienia względem firm z USA?
Biorąc pod uwagę zasady przewidziane w decyzji o Tarczy Prywatności, trzeba stwierdzić, iż w znacznej mierze powtarzają one mechanizmy obowiązków administratora przewidziane dyrektywą 95/46/WE, a także wynikające z przyjętego w kwietniu br. ogólnego rozporządzenia unijnego o ochronie danych osobowych (nr 2016/679). W tym zakresie należy przyjąć, iż europejski administrator danych będzie odpowiadać według zasad wynikających z prawa państwa członkowskiego, ustalonego właśnie na podstawie zasad wynikających z dyrektywy 95/46/WE (a także ogólnego rozporządzenia o ochronie danych osobowych po rozpoczęciu jego stosowania). Do obowiązków, których realizacja będzie ciążyła wprost na administratorach, należeć będzie bez wątpienia powiadomienie osób, których dane dotyczą, o zakresie i celu ich przetwarzania.
Maciej Kawecki, prawnik, Uniwersytet Jagielloński
/
Dziennik Gazeta Prawna
Na zakończenie należy wskazać, iż Komisja Europejska w swoim ostatnim dokumencie „Guide to the EU-U.S. Privacy Shield” pominęła problem obowiązków ciążących na europejskich administratorach danych.
Tarcza Prywatności (Privacy Shield) zastąpiła uznany przez unijny trybunał za niezgodny z prawem program Bezpieczna Przystań (Safe Harbor). Cel obu – przynajmniej w teorii – jest ten sam: ochrona transferowanych do USA danych osobowych obywateli Unii. Za Atlantykiem poziom zabezpieczeń prywatności jest bowiem niższy.