Tarcza Prywatności już działa

Tarcza Prywatności
już działa
Sylwia Paszek
12 lipca 2016 r. Komisja Europejska przyjęła
decyzję1 potwierdzającą, że podmioty działające
na terenie Stanów Zjednoczonych, które spełnią
warunki określone w programie Tarcza Prywatności (Privacy Shield), będą uważane za zapewniające należyty poziom ochrony danych
osobowych. Oznacza to, że przekazywanie danych osobowych do takich podmiotów będzie
możliwe bez konieczności jednoczesnego stosowania innych mechanizmów służących zapewnieniu należytej ochrony, takich jak wiążące
reguły korporacyjne czy zgoda regulatora na
przekazanie.
można, jakie kategorie danych przetwarza konkretny
podmiot, zapoznać się z przyjętą polityką prywatności,
a także bezpośrednio poprzez stronę złożyć skargę do
tego podmiotu dotyczącą naruszenia przez niego zasad
ochrony danych osobowych.
Program Tarcza Prywatności (EU – U.S. Privacy Shield
Framework) jest kolejnym po Safe Harbour programem
opracowanym i wdrożonym przez Departament Handlu Stanów Zjednoczonych (Department of Commerce,
DOC), którego celem jest umożliwienie podmiotom
działającym w USA dobrowolne zastosowanie określonych standardów ochrony danych osobowych i uzyskanie administracyjnoprawnego potwierdzenia spełniania
takich standardów. W efekcie podmioty te uważane są
zapewniające należyty poziom ochrony danych osobowych i dlatego, z perspektywy europejskiej, mogą być
odbiorcami danych osobowych podmiotów europejskich.
Jak w przypadku Safe Harbour, przystąpienie do programu i niezbędna certyfikacja pozostaną dobrowolnym
aktem uczestnika programu, jednakże uczestnik ten
będzie podlegał okresowym audytom i przeglądom
prowadzonym przez DOC. Już teraz, analizując rekordy uczestników na stronie programu, zobaczyć można,
że ujawniana jest zarówno data przystąpienia do programu, jak i wyznaczona data następnego audytu. Negatywny wynik okresowej weryfikacji czy też w inny sposób wykryte naruszenie warunków ma mieć konkretne
skutki dla uczestnika, w tym usunięcie z programu lub
zawieszenie.
Lata funkcjonowania programu Safe Harbour ujawniły
jego liczne słabości, z których najpoważniejsze to:

brak rzeczywistej egzekwowalności praw podmiotów danych,

nieograniczona możliwość dalszego powierzania
przetwarzania danych podmiotom działającym poza
Safe Harbour,

dostęp służb bezpieczeństwa do masowo inwigilowanych danych osób fizycznych.
Program uchylono w październiku 2015 r., zaś zidentyfikowane nieprawidłowości posłużyły do opracowania
Privacy Shield.
Program w istocie już działa, a wizyta na stronie internetowej www.privacyshield.gov dowodzi, że od
1 sierpnia 2016 r. do dnia dzisiejszego zarejestrowała
się znaczna liczba podmiotów. Na stronie zobaczyć
1
Commission Implementing Decision pursuant to Directive
95/46/EC of the European Parliament and of the Council on the
adequacy of the protection provided by EU-U.S. Privacy Shield
Czy Privacy Shield w istocie spełni oczekiwania w zakresie ochrony danych osobowych rozumianej z perspektywy europejskiej? Pokaże to praktyka. Trzeba jednak
sprawiedliwie przyznać, że na potrzeby Privacy Shield
przemyślano i skonstruowano remedia na największe
bolączki Safe Harbour.
Dobrowolność i dyscyplina
Transparentność i ograniczony cel przetwarzania
Przetwarzanie danych przez uczestników Privacy Shield
zostanie poddane nowym regułom zarówno w sferze
jawności i komunikowania, jak i w sferze rzeczywistych
możliwości przetwarzania. W obszarze komunikowania
uczestnicy będą zobowiązani informować osoby, których przetwarzane dane dotyczą, o celach, dla jakich
udostępniają ich dane osobom trzecim. Będą też musieli wskazać sankcje, na jakie narażony będzie administrator w przypadku nieuprawnionego przekazania danych
osobom trzecim, a także pouczyć o prawie dostępu do
danych oraz prawie i mechanizmach korzystania ze
środków dochodzenia roszczeń wynikłych z naruszenia.
Odnośnie do zakresu i celu przetwarzania zagwarantowano podmiotom danych większy wpływ na tzw.
secondary processing, czyli przetwarzanie danych w celach pozostających wyraźnie lub dorozumianie poza
celami dozwolonymi na podstawie zgody osoby.
W ramach Privacy Shield uczestnik programu, który
zamierza zacząć przetwarzać dane osoby dla celów
zasadniczo różnych (materially different) aniżeli cele, dla
których podmiot danych wyraził pierwotnie zgodę,
będzie musiał (i to zanim zacznie przetwarzać dane dla
tych nowych celów) zaoferować osobie, której dane
przetwarza, możliwość wycofania zgody na przetwarzanie lub przeciwstawienia się przetwarzaniu dla nowych celów (opt-out). Przypomnijmy, że w ramach Safe
Harbour aktywne oferowanie opt-out było wymagane
wyłącznie w przypadku, gdy administrator zamierzał
przetwarzać dane w celach pozostających w sprzeczności (incompatible) z celami, dla których podmiot danych pierwotnie wyraził zgodę.
Katalog sankcji, jakie mogą zostać zastosowane
w związku ze stwierdzeniem naruszenia, zawiera między innymi sankcje administracyjnoprawne analogiczne
do tych, których stosowanie pozostaje w naszym systemie prawa w kompetencjach GIODO. Są to przykładowo:

usunięcie lub zawieszenie udziału w Privacy Shield,

nakaz przywrócenia stanu zgodnego z prawem
i usunięcia skutków naruszenia,
Dalsze przekazywanie

nakaz zaprzestania przetwarzania danych,
Dalsze przekazanie danych przetwarzanych przez
uczestnika Privacy Shield będzie podlegać ścisłym ograniczeniom. Jeżeli dane mają być przekazane do administratora, wówczas wymagane będzie zawarcie pisemnej
umowy, na podstawie której odbiorca danych zobowiąże się, że będzie przetwarzać dane wyłącznie
w ograniczonym zakresie niezbędnym do realizacji
celów oznaczonych przez podmiot danych w zgodzie
na przetwarzanie danych i że odbiorca zapewni, że
przetwarzanie otrzymanych danych nastąpi z zachowaniem takiego samego poziomu ochrony, jaki jest wymagany przez Privacy Shield.

nakaz usunięcia danych,

nakaz publicznego ogłoszenia o stwierdzonych
naruszeniach.
Podobne wymogi stosować się będą do powierzenia
przetwarzania danych procesorom; na żądanie DOC
konieczne będzie ujawnienie umowy o powierzenie
przetwarzania.
Mechanizmy skutecznego egzekwowania praw
ochrony danych
Istnienie skutecznych i egzekwowalnych praw osób,
których dane dotyczą, stanowi kluczowy wyznacznik
oceny, czy dane są w istocie należycie chronione. Jak
podkreślano w doktrynie lata temu, „nie jest konieczne,
aby ochrona w kraju trzecim była taka sama jak w Polsce; istotne jest przede wszystkim to, czy podstawowe
zasady ochrony są analogiczne (mamy na myśli np. zasadę związania celem przetwarzania, zasadę jakości
danych, środki zapewniające bezpieczeństwo danych
i oczywiście zasady szczególnej ochrony przy przekazywaniu danych dalej do państwa trzeciego); ważne jest,
czy zainteresowanemu (temu, kogo dane dotyczą)
przysługują zasadniczo takie same uprawnienia, jakie
zapewnia prawo polskie”2. Innymi słowy, kluczowe jest,
czy istnieje mechanizm, który pozwala na zaangażowanie sądu lub administracji publicznej, które w ramach
swoich kompetencji byłyby władne zastosować instrumenty zakazujące konkretnego naruszenia, nakazujące
przywrócenie stanu zgodnego z prawem i adekwatne
sankcjonowanie naruszeń.
J. Barta, P. Figielski, R. Markiewicz, Komentarz do ustawy
o ochronie danych osobowych, LEX 2011
2
Przewiduje się także sankcje o charakterze cywilnoprawnym, tj. zapłatę odszkodowania osobie, której
danych dotyczy naruszenie.
W ramach Privacy Shield zaprojektowano kilka mechanizmów egzekwowania praw podmiotów danych.
Pierwszy z nich to skarga składana bezpośrednio do
podmiotu przetwarzającego dane, któremu zarzuca się
naruszenie i na którą jest on zobowiązany udzielić odpowiedzi w terminie 45 dni. Kolejny to możliwość
nieodpłatnego skorzystania z alternatywnych metod
rozwiązywania sporów. Możliwe jest też złożenie skargi
do organu ochrony danych osobowych kraju rezydencji
osoby, której dane dotyczą; organ ten będzie wówczas
zobowiązany interweniować w konkretnej sprawie
takiej osoby w DOC. Co istotne, organy pozasądowego rozstrzygania sporów rozstrzygające kwestie naruszeń będą mieć obowiązek sygnalizowania DOC
stwierdzonych naruszeń.
Jeżeli żaden z powyższych mechanizmów nie doprowadzi do satysfakcjonującego rozstrzygnięcia, możliwe
będzie rozpatrzenie sprawy przez arbitrów Privacy
Shield Panel działających w oparciu o specyficzne zasady
postępowania przyjęte dla tego organu. Panel składać
się będzie z przedstawicieli desygnowanych zarówno
przez DOC, jak i przez Komisję Europejską. Aby zagwarantować faktyczną dostępność arbitrażu dla obywateli UE, przyjęto takie rozwiązania jak:

możliwość skorzystania przez osobę, której dane
dotyczą, ze wsparcia właściwego organu ochrony
danych przy formułowaniu roszczenia,

możliwość uczestnictwa w posiedzeniu arbitrażowym telefonicznie lub przez wideokonferencję,

możliwość skorzystania z tłumaczenia symultanicznego przebiegu rozprawy na język skarżącego.
Bezpieczeństwo narodowe / Rzecznik
Dostęp służb bezpieczeństwa do ogromnej ilości danych osobowych w wyniku prowadzenia masowej inwigilacji i społeczna reakcja na to zjawisko przesądziły
o końcu bytu Safe Harbour. Kreując nowy program
i nową prawną rzeczywistość USA zapewniły Unię, że
dostęp organów publicznych do danych – związany
z egzekwowaniem prawa i kwestiami bezpieczeństwa
narodowego – jest ograniczony, a w szczególności nie
będzie prowadzone „ogólne” przetwarzanie jakichkolwiek i wszelkich danych osobowych, a jedynie przetwarzanie konkretnych danych w uzasadnionych przypadkach. Zadeklarowano stosowanie m.in. instrumentów
filtrujących, aby minimalizować ilość danych zatrzymywanych. Aby te deklaracje poprzeć instrumentem egzekwowalności, powołano Rzecznika niezależnego od
służb wywiadowczych USA, którego obowiązkiem będzie rozstrzyganie skarg osób fizycznych dotyczących
naruszenia danych osobowych w związku z działaniami
organów bezpieczeństwa narodowego.