fbTrack
REKLAMA
REKLAMA

Rzecz o prawie

Nowe zasady przekazywania danych osobowych do USA

123RF
Mimo entuzjazmu i zapewnień Komisji Europejskiej przedsiębiorcy powinni raczej wrócić do starych, sprawdzonych sposobów transferowania danych za Atlantyk – uważa prawnik.

W ciągu ostatnich miesięcy światem prawniczym wstrząsały kolejne wydarzenia dotyczące przekazywania danych osobowych do USA, a hasła takie jak prywatność, bezpieczna przystań, Max Schremms i tarcza nie schodziły z nagłówków blogów prawniczych. Zanim przejdę do opisu nowego projektu zasad bezpiecznego transferu danych do Stanów Zjednoczonych, postaram się przypomnieć, co jest źródłem problemu.

Administratorzy danych osobowych mogą przekazywać przetwarzane dane osobowe do innych państw Europejskiego Obszaru Gospodarczego (EOG) bez spełnienia dodatkowych warunków (oprócz oczywiście „ogólnych przesłanek" decydujących o dopuszczalności przetwarzania danych osobowych). Dotyczy to także transferu danych do państw, które zapewniają na swoim terytorium odpowiedni (czyli odpowiadający temu w EOG) poziom ich ochrony. Przekazywanie do innych państw, czyli krajów spoza EOG, które nie zapewniają tzw. adekwatnego poziomu ochrony danych, jest dopuszczalne wyłącznie po spełnieniu dodatkowych przesłanek wymienionych w ustawie o ochronie danych osobowych – np. udzieleniu przez podmiot, których one dotyczą, pisemnej zgody na taki transfer.

Ze względu na różnice między prawodawstwami Unii Europejskiej oraz Stanów Zjednoczonych te drugie nie mogły zostać uznane za państwo gwarantujące odpowiedni poziom ochrony. Mając jednak na uwadze wymianę gospodarczą, w której przekazywanie danych osobowych jest nieodzowne, Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską program tzw. bezpiecznej przystani (Safe Harbor) umożliwiający amerykańskim przedsiębiorcom uzyskanie certyfikatu programu mającego zapewnić, iż jego posiadacze gwarantują odpowiedni poziom ochrony danych osobowych.

Potrzebne się stały nowe zasady

Trybunał Sprawiedliwości Unii Europejskiej 6 października 2015 r. w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14) stwierdził nieważność decyzji Komisji Europejskiej dotyczącej adekwatności ochrony przewidzianej przez zasady ochrony prywatności w programie bezpiecznej przystani. W konsekwencji program przestał legitymizować przekazywanie danych osobowych do USA, a dalsze ich przekazywanie na tej podstawie prawnej stało się niemożliwe. Komisja Europejska i Stany Zjednoczone rozpoczęły więc prace nad stworzeniem alternatywy dla Safe Harbor.

W lutym tego roku Komisja Europejska ogłosiła osiągnięcie politycznego porozumienia w sprawie przepływu danych osobowych pomiędzy Stanami Zjednoczonymi a Europą. Nowy reżim, zwany tarczą prywatności (Privacy Shield), ma zastąpić program bezpiecznej przystani. Komisja Europejska 29 lutego opublikowała projekt decyzji adekwatności wdrażającej zasady uzgodnione w powyższym porozumieniu. W komentarzu do projektu zapewniono, że „zasady bezpiecznego transferu danych między UE i USA to solidne nowe ramy, których podstawą są: konsekwentne egzekwowanie przepisów, ułatwienie osobom fizycznym dochodzenia roszczeń oraz bezprecedensowe pisemne zobowiązania naszych amerykańskich partnerów w sprawie gwarancji i ograniczeń dotyczących dostępu organów publicznych do danych ze względu na bezpieczeństwo narodowe".

Założenia w projekcie decyzji przypominają mechanizm Safe Harbor – amerykańscy przedsiębiorcy mogą zobowiązać się do przestrzegania zasad Privacy Shield, uzyskując tym samym odpowiedni certyfikat. Przestrzeganie zasad bezpiecznego transferu będzie monitorowała Federalna Komisja Handlu. W odróżnieniu od Safe Harbor, certyfikaty będą wymagały corocznego odnawiania.

Wiele warunków do spełnienia

Program nakłada na przedsiębiorstwa uczestniczące w transferze danych obowiązki z obszaru bezpieczeństwa danych oraz dochodzenia roszczeń przez obywateli Unii Europejskiej. Niewypełniające ich przedsiębiorstwa będą mogły zostać ukarane i wyłączone z programu. Nowe zasady zawierają też zaostrzone warunki dalszego przekazywania danych przez przedsiębiorstwa uczestniczące w programie.

Obywatele Unii Europejskiej, których dane osobowe będą przedmiotem przetwarzania, mają mieć zapewnione mechanizmy dochodzenia roszczeń, w tym bezpłatną alternatywną metodę rozwiązywania sporów. Będą też mogli zwrócić się do krajowych organów ochrony danych w swoim państwie, które skontaktują się z Federalną Komisją Handlu, aby zagwarantować, że skargi europejskich obywateli zostaną zbadane i rozpatrzone. Jeżeli sprawa nie zostanie rozwiązana w inny sposób, w ostateczności będzie można zastosować arbitraż. Przedsiębiorstwa mogą też zobowiązać się do zastosowania sugestii europejskich organów ochrony danych. Obowiązkowo muszą to zrobić przedsiębiorstwa przetwarzające dane osobowe.

Zasady bezpiecznego transferu regulują także dostęp administracji rządowej USA do danych osobowych. Unia Europejska otrzymała pisemne zapewnienie Urzędu Dyrektora Krajowych Służb Wywiadowczych, że dostęp organów publicznych do danych osobowych związany z kwestiami bezpieczeństwa narodowego będzie podlegać wyraźnym ograniczeniom, zabezpieczeniom i mechanizmom nadzoru. Ma to wyeliminować nieograniczony dostęp do danych osobowych obywateli Unii Europejskiej. W Departamencie Stanu ma zostać powołany rzecznik praw obywatelskich, niezależny od krajowych służb bezpieczeństwa. Rzecznik praw obywatelskich będzie zajmował się skargami i pytaniami obywateli i poinformuje ich, czy w danym przypadku przestrzegano obowiązujących przepisów.

Funkcjonowanie zasad bezpiecznego transferu danych, w tym zobowiązań i zapewnień dotyczących dostępu do danych do celów egzekwowania prawa i bezpieczeństwa narodowego, ma corocznie kontrolować Komisja Europejska i Departament Handlu USA przy współpracy europejskich organów ochrony danych.

Zasady bezpiecznego transferu są przedstawiane jako długo wyczekiwany krok w kierunku wypracowania nowego ładu transatlantyckiego przekazywania danych osobowych. Gospodarcze znaczenie przepływu danych pomiędzy przedsiębiorcami z Unii Europejskiej oraz Stanów Zjednoczonych jest oczywiste, a po unieważnieniu programu Safe Harbor ponad 5000 przedsiębiorców z USA zostało pozbawionych prawnej możliwości dalszego odbierania danych osobowych od swoich partnerów z Unii Europejskiej. Przedsiębiorcy liczący na szybkie wdrożenie nowych ram prawnych przepływu danych osobowych powinni jednak powstrzymać swój entuzjazm. Privacy Shield ma jeszcze przed sobą kilka poważnych wyzwań prawnych.

Po pierwsze, projekt decyzji wymaga konsultacji z komitetem złożonym z przedstawicieli państw członkowskich, a następnie akceptacji Grupy Roboczej Art. 29. Po drugie, projekt będzie musiał zmierzyć się z wyrażaną coraz częściej krytyką działaczy organizacji związanych z ochroną prywatności i innych zainteresowanych organizacji.

Ile można czekać

Co powinni więc zrobić przedsiębiorcy tracący już cierpliwość w oczekiwaniu na nowy mechanizm pozwalający na wznowienie transferu danych przez Atlantyk? Pomimo entuzjazmu i zapewnień Komisji Europejskiej przyszłość programu Privacy Shield jest niepewna, powinni więc rozważyć oparcie przekazywania danych osobowych na już istniejących przesłankach legitymizujących taki transfer.

Artykuł 47 ust. 3 ustawy o ochronie danych osobowych zawiera katalog tradycyjnych podstaw prawnych przekazywania danych osobowych obejmujący przede wszystkim uzyskanie pisemnej zgody osoby, której dane będą przedmiotem transferu. Podstawy te często okazują się jednak niemożliwe do wdrożenia, w szczególności w przypadku dużej skali przekazywanych danych.

Do rozważenia pozostają więc pozostałe dwa mechanizmy: standardowe klauzule umowne ochrony danych osobowych oraz wiążące reguły korporacyjne. Standardowe klauzule umowne to wzór postanowień pomiędzy eksporterem i importerem danych osobowych w różnych wariantach (m.in. administrator–administrator, administrator–przetwarzający) zatwierdzony przez Komisję Europejską. Postanowienia te można włączyć do istniejącej umowy lub do nowej umowy zawieranej pomiędzy stronami transferu. Drugi mechanizm, czyli wiążące reguły korporacyjne, dotyczy podmiotów należących do tej samej grupy kapitałowej. W odróżnieniu od standardowych klauzul umownych, które automatycznie umożliwiają transfer danych, wiążące reguły korporacyjne mogą być stosowane dopiero po ich zatwierdzeniu przez generalnego inspektora ochrony danych osobowych (GIODO) po przeprowadzeniu postępowania administracyjnego.

Przyjęcie takich reguł do stosowania przez grupę będzie oznaczało, że wszyscy administratorzy danych należący do tej grupy kapitałowej będą mogli przekazywać między sobą dane osobowe. W przeciwieństwie do standardowych klauzul umownych, wiążące reguły korporacyjne mogą być swobodnie kształtowane przez administratorów. Obowiązek uzyskania zgody GIODO na wdrożenie wiążących reguł korporacyjnych i wiążąca się z tym procedura sprawia, iż standardowe klauzule często wydają się bardziej atrakcyjne. I choć nie ma przeszkód, aby standardowe klauzule umowne były stosowane również w grupie kapitałowej jako umowa wewnątrzgrupowa, w praktyce, w dużych organizacjach i skomplikowanych procesach przetwarzania danych osobowych standardowe klauzule umowne często nie spełniają swojego celu. Niezależnie od wybranego rozwiązania należy jednak mieć na uwadze, iż Grupa Robocza Art. 29 zamierza poddać analizie zgodność powyższych mechanizmów z przepisami, więc również i one mogą stać się rozwiązaniem jedynie doraźnym.

Autorka jest radcą prawnym z Warszawy

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA