Opinie

Nowe zasady transferu danych do USA

123RF
Rozmowa | Bartosz Marcinkowski, radca prawny z kancelarii Domański Zakrzewski Palinka

Rz: Czym się różnią systemy ochrony danych osobowych w Europie i w Stanach Zjednoczonych?

Bartosz Marcinkowski: Amerykanie sugerują, że dobrze je chronią, jednak różnice są fundamentalne.

W USA nie ma jednej uniwersalnej ustawy, a w Europie mamy dyrektywę i uregulowania krajowe. W Stanach nie działa centralna instytucja, taka jak polski generalny inspektor danych osobowych. Zajmuje się tym jeden z wydziałów Federalnej Komisji Handlu, ale cóż z tego, skoro w USA nie ma ogólnego zakazu przekazywania danych osobowych kolejnym odbiorcom. W rezultacie kwitnie obrót danymi o wszystkich, którzy korzystają z cyberprzestrzeni. Efekt? Użytkownik smartfona interesujący się modą, gdy przechodzi koło sklepu z odzieżą, dostaje komunikat o najnowszej kolekcji w tym akurat sklepie. Choć oczywiście takich newsów sobie nie zamawiał.

A dochodzenie praw w USA przez Europejczyka z tytułu naruszenia jego prywatności nie należy do prostych.

Co w praktyce oznacza dla polskich przedsiębiorców zniesienie programu „Bezpieczna przystań", który umożliwiał transfer danych na amerykańskie serwery bez formalności?

Program „Bezpieczna przystań" był jak strefa Schengen, w której podróżny w ogóle nie zauważa granic. Transfer danych nadal będzie mógł się odbywać, ale w bardziej sformalizowany sposób. Kto formalności nie dopełni, będzie się narażał na ściganie przez organy ochrony danych osobowych – zarówno w Polsce, jak i w innych krajach UE.

Jakie będą zatem legalne możliwości przekazywania danych, gdy firmy korzystają np. z cyfrowej chmury umiejscowionej za oceanem?

Od początku tego roku ustawa o ochronie danych osobowych pozwala na stosowanie standardowych klauzul kontraktowych opracowanych przez Komisję Europejską. Można je odnaleźć na stronie internetowej Komisji. W razie zastosowania tych klauzul nie trzeba prosić generalnego inspektora ochrony danych osobowych o zgodę na transfer danych do USA. W ramach dużych ponadnarodowych firm można opracować wiążące reguły korporacyjne i używać ich dla wszystkich podmiotów z grupy. Takie rozwiązanie trzeba skonsultować ze wszystkimi organami typu GIODO we wszystkich państwach członkowskich UE, gdzie działają podmioty z grupy. Jest to więc zadanie czasochłonne i nader biurokratyczne. Można też próbować uzyskiwać pisemną zgodę wszystkich osób, których dane są transferowane do USA. I to może być niepraktyczne, gdy np. chodzi o dane pracowników firm, które mają pracownicze programy ubezpieczeniowe czy emerytalne i przetwarzają w tym celu dane w USA. Jeżeli tych pracowników jest wielu, a do tego nie wszyscy się zgodzą – tego rodzaju program może być zniweczony.

—rozmawiał Paweł Rochowicz

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL