Tarcza Prywatności UE-USA: szansa czy zagrożenie dla ochrony danych osobowych?

23 października Komisja Europejska przedstawiła trzecie sprawozdanie rocznego raportu dotyczącego funkcjonowania Tarczy Prywatności (Privacy Shield) między Unią Europejską a Stanami Zjednoczonymi.

Tarcza Prywatności funkcjonuje to przyjęta w lipcu 2016 r., po niemal 2,5-letnich negocjacjach, decyzja w sprawie adekwatności ochrony (Adequacy Decision) w kwestii nowych zasad transatlantyckiego przekazywania danych osobowych. Reguluje ona kwestie związane z przekazywaniem danych osobowych z państw członkowskich UE do USA oraz zapewnia przedsiębiorcom pewność prawną. Jednocześnie zastąpiła ona unieważnione w ubiegłym roku przez Trybunał Sprawiedliwości Unii Europejskiej porozumienie Safe Harbour (Bezpieczna Przystań).

Decyzja w sprawie adekwatności ochrony to decyzja przyjęta przez Komisję Europejską stanowiąca, że państwo spoza UE zapewnia odpowiedni poziom ochrony danych osobowych, uwzględniając swoje prawo krajowe, a także obowiązujące zobowiązania międzynarodowe.
Rezultatem tej decyzji jest możliwość przepływu danych osobowych z 28 państw członkowskich UE (oraz trzech państw członkowskich Europejskiego Obszaru Gospodarczego: Norwegii, Liechtensteinu i Islandii) do danego państwa trzeciego, bez dalszych ograniczeń. Decyzja nakłada obowiązek przeprowadzenia przez Komisję corocznego przeglądu w celu oceny wszystkich aspektów funkcjonowania ram prawnych oraz na tej podstawie przygotowania publicznego sprawozdania, które zostaje przedłożone Parlamentowi Europejskiemu i Radzie.

Informacje zebrane w ramach tegorocznego, trzeciego sprawozdania, potwierdzają ustalenia Komisji zawarte w decyzji stwierdzającej odpowiedni poziom ochrony, zarówno w odniesieniu do biznesowych aspektów ram prawnych, jak i kwestii związanych z dostępem do danych osobowych przekazywanych na podstawie Tarczy Prywatności przez władze publiczne. W tym względzie Komisja odnotowała szereg usprawnień w funkcjonowaniu wprowadzonych wytycznych, a także mianowania kluczowych organach nadzoru. Jednocześnie Komisja stwierdza, że należy podjąć szereg konkretnych kroków w celu zapewnienia większej skuteczności funkcjonowania Tarczy Prywatności w praktyce:

  • Departament Handlu Stanów Zjednoczonych powinien skrócić zróżnicowane okresy przyznawane firmom na zakończenie procesu ponownej certyfikacji;
  • w kontekście procedury kontroli rutynowej Departament Handlu Stanów Zjednoczonych powinien ocenić zgodność przedsiębiorstw z zasadą dalszego przekazywania danych;
  • Departament Handlu Stanów Zjednoczonych powinien opracować narzędzia do wykrywania roszczeń o uczestnictwo w Tarczy Prywatności od firm, które nigdy nie ubiegały się o certyfikację, a także używać tych narzędzi w sposób regularny i systematyczny;
  • Federalna Komisja Handlu powinna w pierwszej kolejności znaleźć sposoby wymiany istotnych informacji na temat toczących się dochodzeń z Komisją, a także z organami ochrony danych UE, do których należą również obowiązki egzekwowania przepisów w ramach Tarczy Prywatności;
  • unijne organy ochrony danych, Departament Handlu i Federalna Komisja Handlu powinny opracować w najbliższych miesiącach wspólne wytyczne dotyczące definicji i sposobu przetwarzania danych dotyczących zasobów ludzkich.

Komisja będzie nadal uważnie śledzić toczącą się debatę na temat federalnych przepisów dotyczących prywatności w USA. Kompleksowe podejście do prywatności i ochrony danych zwiększyłoby zapewne spójność między systemami UE i USA, co w efekcie wzmocniłoby podstawy, na których rozwinięto ramy prawne Tarczy Prywatności.

 

Elżbieta Dziuba, Departament Prawa Gospodarczego Konfederacji Lewiatan