Program Tarcza Prywatności a przekazywanie danych osobowych do USA

Marcin Sarna

Autor: Marcin Sarna

Dodano: 4 grudnia 2018
Depositphotos_32863353_m-2015
Pytanie:  Z uwagi na obowiązek spełnienia wymogów prawnych określonych w ustawie ITAR istnieje potrzeba przekazania przez firmę z siedzibą w Polsce kontrahentowi z siedzibą w Stanach Zjednoczonych, w związku z ubieganiem się o pozyskanie zamówienia, danych o pracownikach zaangażowanych w projekt posiadających podwójne obywatelstwo, obywatelstwo inne niż polskie lub będących rezydentami w innych państwach w zakresie: numer referencyjny pracownika, posiadane obywatelstwa, informacja o posiadanych uprawnieniach do dostępu do informacji niejawnych. Czy w tej sytuacji dochodzi do transferu danych osobowych poza EOG na podstawie przepisów RODO?
Odpowiedź: 

Podmiotem, który ma przetwarzać dane osobowe jest przedsiębiorstwo amerykańskie. Stany Zjednoczone Ameryki Północnej są zaś tzw. państwem trzecim w rozumieniu przepisów o ochronie danych osobowych. Transfer danych następuje tu w oparciu o Program Tarcza Prywatności UE-USA.

Rys historyczny

Celem wstępu należy nakreślić historyczne tło, gdyż nie pozostaje ono bez wpływu na dzisiejsze rozwiązanie prawne w tym zakresie. Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji. Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

W dniu 12 lipca 2016 roku został przyjęty tzw. Program Tarcza Prywatności UE-USA, który miał zapewnić odpowiednią ochronę danych osobowych obywateli w UE, przekazywanych do Stanów Zjednoczonych. Zastępuje ona poprzednie rozwiązanie funkcjonujące pod nazwą bezpiecznej przystani (safe harbour), które zostało unieważnione orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 roku w sprawie Schrems (C-362/14). Na mocy Tarczy przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE a pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów będzie dokonywał Departament Handlu Stanów Zjednoczonych. Dane te mają być na przykład wykluczone z masowej i bezkrytycznej inwigilacji, zostały wprowadzone mechanizmy rozstrzygania sporów (np. obywatel UE będzie mógł wnieść skargę do swojego krajowego organu ochrony danych a ten będzie się kontaktował z amerykańską Federalną Komisją Handlu).

Zasady przekazywania danych poza EOG wg RODO

Przekazywanie danych osobowych do Stanów Zjednoczonych od 25 maja 2018 roku musi się odbywać na podstawie RODO. Także na gruncie RODO istnieje wskazana powyżej możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli Komisja stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewniają „odpowiedni stopień ochrony” to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.

Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej Komisja się nie wypowiedziała (albo nie będzie żadnego specjalnego programu jak wspominany Program Tarcza Prywatności UE-USA), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejące już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych ale także z wykorzystaniem przede wszystkim:

  • zatwierdzonego kodeksu postępowania,
  • zatwierdzonego mechanizmu certyfikacji.
Uwaga

Wskazane kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania rozporządzenia. Projekt kodeksu składa się do organu nadzorczego, który wydaje opinię o zgodności projektu kodeksu z rozporządzeniem. Następnie Komisja może stwierdzić, że dany kodeks jest powszechnie obowiązujący w Unii.

Z kolei certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw). Administrator poddaje się certyfikacji przez taki podmiot. Certyfikacji udziela się na okres maksymalnie 3 lat a wszystkie mechanizmy certyfikacji gromadzi w rejestrze Europejska Rada Ochrony Danych – nowy organ unijny mający dbać o spójne stosowanie przepisów rozporządzania przez wszystkie organy krajów członkowskich. I właśnie takim mechanizmem samocertyfikowania jest obecnie omówiony na wstępie Program Tarcza Prywatności UE-USA.

Uwaga

Obecnie najważniejsze jest to aby przed przekazaniem danych osobowych do Stanów Zjednoczonych sprawdzić, czy dane przedsiębiorstwo z siedzibą w Stanach Zjednoczonych posiada certyfikat. Wykaz podmiotów uczestniczących w Programie Tarcza Prywatności UE-USA dostępny jest pod adresem www.privacyshield.gov. Tym samym, dopóki dane przedsiębiorstwo uczestniczy w tym programie dopóty przetwarzanie danych osobowych w usługach Google nie różni się niczym od przetwarzania tych danych na obszarze Europejskiego Obszaru Gospodarczego.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x