AKTUALNOŚCI

„PRIVACY SHIELD” – NOWA „BEZPIECZNA PRZYSTAŃ”?

Transfer danych osobowych stanowi stale rosnący i bardzo istotny element branży e-commerce. Świadczenie niemal jakiejkolwiek usługi za pośrednictwem środków komunikacji elektronicznej wiąże się z koniecznością podania przez klienta danych, które są następnie wykorzystywane do prowadzenia e-marketingu. Do niedawna transfer danych osobowych do USA był legalny w ramach tzw. decyzji „Safe Harbor” („Bezpieczna Przystań”), której następcą jest tzw. decyzja „Privacy Shield”.

E-commerce a dane osobowe

Poprzez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Inaczej mówiąc, poprzez dane osobowe rozumie się wszelkie dane, które umożliwiają ustalenie tożsamości dotyczącej ich osoby lub ujawniają (w powiązaniu z danymi identyfikującymi) określone dane lub cechy tej osoby. Danymi osobowymi może być więc również login i adres e-mail (jeżeli zawiera np. imię i nazwisko korzystającego z nich użytkownika) czy adres IP komputera połączony z informacją o użytkowniku komputera. Podobnie kwalifikować można inicjały wraz z określeniem miejsca zamieszkania użytkownika, powiązane wzajemnie personalia,stan zdrowia danej osoby fizycznej, jej poglądy, preferencje lub prowadzoną przez nią aktywność.

”Bezpieczna Przystań”

Wszelkie kwestie danych osobowych przetwarzania (wykorzystywania, ale również samego przechowywania np. w ramach serwerowni) na terenie Polski reguluje Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych i implementująca ją (wprowadzająca na terenie Polski) ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity z dnia 25 listopada 2015r.). Zgodnie z treścią art. 47 wspomnianej ustawy, Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Większość krajów spoza UE takiego poziomu ochrony co do zasady nie zapewnia (UE jest w tym zakresie prawdopodobnie najbardziej restrykcyjna). Komisja Europejska – mając na celu zapewnienie swobodnego transferu danych do USA – przyjęła w dniu 26 lipca 2000r. decyzję 2000/520/WE „Safe Harbor”, przyjmującą niejako fikcję prawną, że USA zapewnia taki odpowiedni poziom ochrony danych osobowych, a więc że podmioty z terenu USA mogą otrzymywać dane osobowe od podmiotów z terenu UE.

Wyrok ws. Schrems vs Data Protection Commisioner

Do upadku „Bezpiecznej Przystani” przyczynił się bezpośrednio Maximillian Schrems, austriacki prawnik. Podniósł on fakt przekazywania danych osobowych obywateli UE przez irlandzki oddział Facebooka bezpośrednio do serwerów znajdujących się w USA, do których to serwerów z kolei bezpośredni dostęp miała NSA (Narodowa Agencja Bezpieczeństwa). Trybunał Sprawiedliwości Unii Europejskiej w wyroku C-362/14 Maximillian Schrems vs Data Protection Commisioner z dnia 06.10.2015r. (tzw. wyrok ws Schrems) przychylił się do stanowiska skarżącego. W orzeczeniu uznano, że niezależnie od obowiązywania decyzji „Safe Harbor” i każdej innej uznającej dane państwa spoza UE za zapewniające wystarczający poziom ochrony danych osobowych, właściwe organy są uprawnione do badania czy dane państwo spoza UE rzeczywiście taki poziom ochrony zapewnia. Oznacza to w efekcie, że w/w organy mogą zakwestionować legalność przekazania danych osobowych do USA, jeżeli stwierdzą, że przekazanie takie narusza bezpieczeństwo danych osobowych osób ich dotyczących. Sankcje za powyższe naruszenia mogą mieć charakter finansowy, a nawet wiązać się z ograniczeniem lub pozbawieniem wolności.

Wspomniany wyżej wyrok wzbudził wiele kontrowersji: od euforii po stronie organizacji pozarządowych zajmujących się prywatnością i prawami człowieka, po porównania do „przecięcia kabla atlantyckiego” po stronie organizacji technologicznych i informatycznych.

Co dalej?

Po upadku „Bezpiecznej Przystani” wymiana danych osobowych między kontynentami nie zamarła, a organy ochrony danych osobowych w UE nie podjęły szerszych działań w zakresie weryfikacji jej legalności (za wyjątkiem organu jednego z niemieckich landów). Najwięksi procesorzy z USA (podmioty którym powierza się dane osobowe) zastosowali lub działali już wcześniej na podstawie innych przesłanek zezwalających na powierzanie im danych przed podmioty z UE.

Przekazanie całych zbiorów danych osobowych może nastąpić po uzyskaniu uprzedniej zgody organu ochrony danych osobowych. Możliwe jest to pod warunkiem zapewnienia przez administratora spoza UE ochrony prywatności oraz praw i wolności osób, których dane te dotyczą. Drugą przesłanka umożliwiającą takie działanie stosowanie przez procesora spoza UE standardowych klauzul umownych ochrony danych osobowych albo prawnie wiążących reguł lub polityki ochrony danych osobowych (tzw. wiążących reguł korporacyjnych”), zatwierdzonych przez organ ochrony danych osobowych w drodze decyzji administracyjnej.

W dniu 12 lipca 2016r. Komisja Europejska przyjęła decyzję implementującą umowę „Privacy Shield” zawartą pomiędzy UE a USA. Zgodnie z tą umową, uznaje się, że podmioty wpisane na listę prowadzoną przez US Department of Commerce (https://www.privacyshield.gov/list) zapewniają odpowiedni poziom ochrony danych osobowych w kontekście powierzenia im przetwarzania danych osobowych przez podmioty z terytorium UE. Umowa przyznaje również państwom członkowskim UE i Komisji Europejskiej prawo monitorowania sposobu wykonania umowy i przetwarzania danych osobowych przez podmioty objęte listą, zgłaszania zastrzeżeń i co chyba najważniejsze – ewaluacji wykonania umowy w terminie 1 roku od daty notyfikacji decyzji.

Podsumowanie

Podsumowując, decyzję ws. „Privacy Shield” można uznać za następcę „Bezpiecznej Przystani”, gdyż dopuszcza ona przetwarzanie danych osobowych przez podmioty z USA. Należy mieć na uwadze, że jedynie od staranności jej wykonania przez władze i podmioty amerykańskie zależy jej faktyczna trwałość (zwłaszcza mając na uwadze nadchodzące zmiany ustawodawstwa dotyczącego ochrony danych osobowych). Tym samym nie należy się dziwić, że na liście podmiotów objętych umową nie widnieje żaden z „gigantów”, ci bowiem zabezpieczają swoją pozycję indywidualnymi zgodami i procedurami organów odpowiedzialnych za ochronę danych osobowych na terenie UE.

 

Autorami tekstu są eksperci kancelarii SGP Legal:

mec. Artur Granicki

mec. Michał Sas

 

Tekst ukazał się w jesiennym wydaniu magazunu eHandel

Umowa Inwestycyjna – prezentujemy podręcznik dla ambitnych!

Z wielką dumą prezentujemy nasz poradnik skierowany do startupowców rozważających podjęcie negocjacji z inwestorem. Zapraszamy do pobrania i lektury: Partnerem projektu jest PKO Bank Polski S.A.

Dowiedz się więcej

Podsumowujemy!

Postanowiliśmy podsumować nasze ostatnie działania komunikacyjne. Zapraszamy do zapoznania się m.in. z artykułami i relacjami video z wystąpień. Nie zapomnijcie też o naszej infografice dot. umów inwestycyjnych: LINK

Dowiedz się więcej

Umowa Inwestycyjna – o czym pamiętać przed jej podpisaniem ?

Wiele razy pisaliśmy już o tym jak wygląda umowa inwestycyjna i na co zwrócić w niej uwagę, jest to jednak zagadnienie tak ważne i często poruszane, postanowiliśmy znowu podzielić się naszym doświadczeniem w tym...

Dowiedz się więcej

Podstawowe obowiązki banków w świetle Common Reporting Standard (CRS)

Komentarz praktyczny ma na celu przybliżenie konsekwencji regulacyjnych dla banków wynikających z Wielostronnego porozumienia właściwych władz w sprawie automatycznej wymiany informacji finansowych (w tym wdrożenia pakietu CRS dla banków w Polsce), w tym zasad...

Dowiedz się więcej