• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Czy tarcza prywatności rzeczywiście nas chroni?

08.27.2017

 

Wielu graczy na rynku usług chmurowych, którzy przetwarzają dane milionów użytkowników Internetu, ma siedzibę w USA. Tam też znajduje się (przynajmniej duża część) serwerów, na których zapisują oni informacje – w tym również powierzone im dane osobowe.

 

To niestety jest problem z punktu widzenia ochrony danych osobowych. Przekazanie danych do państwa spoza Unii Europejskiej stanowi bowiem tzw. przekazanie danych do państwa trzeciego i jest obwarowane dodatkowymi wymogami.

 

Tym samym, gdy np. polska firma przetwarza dane osobowe swoich klientów za pomocą pochodzącego z USA i posiadającego serwery w USA serwisu internetowego albo oprogramowania (np. prowadząc z nimi korespondencję e-mail za pomocą amerykańskiego serwisu mailowego), dane te są przetwarzane przez podmiot mający siedzibę w USA.

 

Co to jest Tarcza Prywatności?

 

Liczne problemy, które z tego wynikały, doprowadziły do wprowadzenia programu tarcza prywatności (ang. Privacy shield). Privacy shield jest porozumieniem zawartym pomiędzy Unią Europejską a Stanami Zjednoczonymi, dotyczącym zasad ochrony prywatności. Na jego podstawie, przedsiębiorcy z USA mogą dobrowolnie przystąpić do programu, a tym samym spełnić wymagania dotyczące ochrony danych osobowych, obowiązujące w Unii Europejskiej.

 

Program tarcza prywatności zastąpił poprzednie ustalenia pomiędzy USA a UE, dotyczące ochrony prywatności, zwane Safe Harbour. Safe Harbour były poddawane licznej krytyce, aż w końcu Trybunał Sprawiedliwości UE stwierdził, że przystąpienie do tego programu wcale nie zapewnia należytej ochrony danych.

 

Tarcza prywatności miała być skuteczniejszym instrumentem. Na mocy jej postanowień możliwa wydawała się być rzeczywista kontrola tego, jakie amerykańskie podmioty spełniają wymogi dotyczące przetwarzania danych, obowiązujące w UE (listę firm, które przystąpiły do programu, można znaleźć tutaj). Dodatkowo, porozumienie miało ograniczać możliwość masowego przetwarzania danych przez amerykańskie agencje rządowe oraz ustanawiać efektywne sposoby pozasądowego rozwiązywania sporów pomiędzy obywatelami UE a amerykańskimi firmami, dotyczących ochrony danych osobowych.

 

Co będzie dalej z Tarczą?

 

Pomimo tego, Privacy shield obowiązuje nieco ponad rok i właściwie od początku jest krytykowane, podobnie zresztą jak wcześniej safe harbour. Zarzuty dotyczą głównie braku regulacji dotyczących zautomatyzowanego przetwarzania danych oraz prawa do sprzeciwu. Dlatego grupa robocza dot. art. 29 (unijny podmiot o charakterze doradczym, zajmujący się ochroną danych osobowych) zapowiedziała, że we wrześniu dokona kompleksowego przeglądu porozumienia i sprawdzi, w jaki sposób przestrzegane są zasady w nim zawarte. Ewentualne wnioski będą istotną wskazówką, dotyczącą tego, czy powierzanie danych osobowych podmiotom, które przystąpiły do programu, odbywa się zgodnie z unijnymi regulacjami.

 

Szczerze mówiąc, nie spodziewam się aby grupa robocza po prostu stwierdziła, że wszystko jest w porządku. Dotychczas sygnalizowane problemy były po prostu zbyt istotne. A to niestety będzie stanowić poważny problem np. dla tych firm, które powierzyły przetwarzane przez siebie dane organizacjom i przedsiębiorstwom z USA (np. zapisując je na serwerach należących do wielkich amerykańskich korporacji). Będą musiały one rozważyć przeniesienie ich do tych podmiotów, które zapewniają odpowiednie standardy bezpieczeństwa – a to oznacza konieczność poniesienia na nowo kosztów i dokonania odpowiednich wdrożeń.

 

Jeśli bowiem tarcza prywatności podzieli los swojej poprzedniczki, powierzenie przetwarzania danych do podmiotu w USA bez spełnienia dodatkowych wymogów może zostać uznane za niezgodne z regulacjami – zarówno tymi obecnie obowiązującymi, jak i przyszłymi.

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl