AKTUALNOŚCI

„PRIVACY SHIELD” – NOWA „BEZPIECZNA PRZYSTAŃ”?

Transfer danych osobowych stanowi stale rosnący i bardzo istotny element branży e-commerce. Świadczenie niemal jakiejkolwiek usługi za pośrednictwem środków komunikacji elektronicznej wiąże się z koniecznością podania przez klienta danych, które są następnie wykorzystywane do prowadzenia e-marketingu. Do niedawna transfer danych osobowych do USA był legalny w ramach tzw. decyzji „Safe Harbor” („Bezpieczna Przystań”), której następcą jest tzw. decyzja „Privacy Shield”.

E-commerce a dane osobowe

Poprzez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Inaczej mówiąc, poprzez dane osobowe rozumie się wszelkie dane, które umożliwiają ustalenie tożsamości dotyczącej ich osoby lub ujawniają (w powiązaniu z danymi identyfikującymi) określone dane lub cechy tej osoby. Danymi osobowymi może być więc również login i adres e-mail (jeżeli zawiera np. imię i nazwisko korzystającego z nich użytkownika) czy adres IP komputera połączony z informacją o użytkowniku komputera. Podobnie kwalifikować można inicjały wraz z określeniem miejsca zamieszkania użytkownika, powiązane wzajemnie personalia,stan zdrowia danej osoby fizycznej, jej poglądy, preferencje lub prowadzoną przez nią aktywność.

”Bezpieczna Przystań”

Wszelkie kwestie danych osobowych przetwarzania (wykorzystywania, ale również samego przechowywania np. w ramach serwerowni) na terenie Polski reguluje Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych i implementująca ją (wprowadzająca na terenie Polski) ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity z dnia 25 listopada 2015r.). Zgodnie z treścią art. 47 wspomnianej ustawy, Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Większość krajów spoza UE takiego poziomu ochrony co do zasady nie zapewnia (UE jest w tym zakresie prawdopodobnie najbardziej restrykcyjna). Komisja Europejska – mając na celu zapewnienie swobodnego transferu danych do USA – przyjęła w dniu 26 lipca 2000r. decyzję 2000/520/WE „Safe Harbor”, przyjmującą niejako fikcję prawną, że USA zapewnia taki odpowiedni poziom ochrony danych osobowych, a więc że podmioty z terenu USA mogą otrzymywać dane osobowe od podmiotów z terenu UE.

Wyrok ws. Schrems vs Data Protection Commisioner

Do upadku „Bezpiecznej Przystani” przyczynił się bezpośrednio Maximillian Schrems, austriacki prawnik. Podniósł on fakt przekazywania danych osobowych obywateli UE przez irlandzki oddział Facebooka bezpośrednio do serwerów znajdujących się w USA, do których to serwerów z kolei bezpośredni dostęp miała NSA (Narodowa Agencja Bezpieczeństwa). Trybunał Sprawiedliwości Unii Europejskiej w wyroku C-362/14 Maximillian Schrems vs Data Protection Commisioner z dnia 06.10.2015r. (tzw. wyrok ws Schrems) przychylił się do stanowiska skarżącego. W orzeczeniu uznano, że niezależnie od obowiązywania decyzji „Safe Harbor” i każdej innej uznającej dane państwa spoza UE za zapewniające wystarczający poziom ochrony danych osobowych, właściwe organy są uprawnione do badania czy dane państwo spoza UE rzeczywiście taki poziom ochrony zapewnia. Oznacza to w efekcie, że w/w organy mogą zakwestionować legalność przekazania danych osobowych do USA, jeżeli stwierdzą, że przekazanie takie narusza bezpieczeństwo danych osobowych osób ich dotyczących. Sankcje za powyższe naruszenia mogą mieć charakter finansowy, a nawet wiązać się z ograniczeniem lub pozbawieniem wolności.

Wspomniany wyżej wyrok wzbudził wiele kontrowersji: od euforii po stronie organizacji pozarządowych zajmujących się prywatnością i prawami człowieka, po porównania do „przecięcia kabla atlantyckiego” po stronie organizacji technologicznych i informatycznych.

Co dalej?

Po upadku „Bezpiecznej Przystani” wymiana danych osobowych między kontynentami nie zamarła, a organy ochrony danych osobowych w UE nie podjęły szerszych działań w zakresie weryfikacji jej legalności (za wyjątkiem organu jednego z niemieckich landów). Najwięksi procesorzy z USA (podmioty którym powierza się dane osobowe) zastosowali lub działali już wcześniej na podstawie innych przesłanek zezwalających na powierzanie im danych przed podmioty z UE.

Przekazanie całych zbiorów danych osobowych może nastąpić po uzyskaniu uprzedniej zgody organu ochrony danych osobowych. Możliwe jest to pod warunkiem zapewnienia przez administratora spoza UE ochrony prywatności oraz praw i wolności osób, których dane te dotyczą. Drugą przesłanka umożliwiającą takie działanie stosowanie przez procesora spoza UE standardowych klauzul umownych ochrony danych osobowych albo prawnie wiążących reguł lub polityki ochrony danych osobowych (tzw. wiążących reguł korporacyjnych”), zatwierdzonych przez organ ochrony danych osobowych w drodze decyzji administracyjnej.

W dniu 12 lipca 2016r. Komisja Europejska przyjęła decyzję implementującą umowę „Privacy Shield” zawartą pomiędzy UE a USA. Zgodnie z tą umową, uznaje się, że podmioty wpisane na listę prowadzoną przez US Department of Commerce (https://www.privacyshield.gov/list) zapewniają odpowiedni poziom ochrony danych osobowych w kontekście powierzenia im przetwarzania danych osobowych przez podmioty z terytorium UE. Umowa przyznaje również państwom członkowskim UE i Komisji Europejskiej prawo monitorowania sposobu wykonania umowy i przetwarzania danych osobowych przez podmioty objęte listą, zgłaszania zastrzeżeń i co chyba najważniejsze – ewaluacji wykonania umowy w terminie 1 roku od daty notyfikacji decyzji.

Podsumowanie

Podsumowując, decyzję ws. „Privacy Shield” można uznać za następcę „Bezpiecznej Przystani”, gdyż dopuszcza ona przetwarzanie danych osobowych przez podmioty z USA. Należy mieć na uwadze, że jedynie od staranności jej wykonania przez władze i podmioty amerykańskie zależy jej faktyczna trwałość (zwłaszcza mając na uwadze nadchodzące zmiany ustawodawstwa dotyczącego ochrony danych osobowych). Tym samym nie należy się dziwić, że na liście podmiotów objętych umową nie widnieje żaden z „gigantów”, ci bowiem zabezpieczają swoją pozycję indywidualnymi zgodami i procedurami organów odpowiedzialnych za ochronę danych osobowych na terenie UE.

 

Autorami tekstu są eksperci kancelarii SGP Legal:

mec. Artur Granicki

mec. Michał Sas

 

Tekst ukazał się w jesiennym wydaniu magazunu eHandel

Kancelaria Snażyk Korol Mordaka (do 30.04 Snażyk Granicki) organizatorem Venture Capital Kongres 2018

Dnia 13 kwietnia 2018 roku na Sali Notowań Giełdy Papierów Wartościowych w Warszawie odbył się Venture Capital Kongres 2018. Wydarzenie dedykowane tematyce polskiego rynku funduszy inwestycyjnych zgromadziło ponad 220 przedstawicieli funduszy venture capital oraz...

Dowiedz się więcej

Szanowni Klienci

Z przyjemnością informujemy, że nasza kancelaria rozpoczyna nowy etap w swojej działalności. Od 30 kwietnia 2018 r. działamy pod nowym szyldem: Snażyk Korol Mordaka sp. k. Z tym dniem również współpracę z kancelarią zakończył...

Dowiedz się więcej

Kancelaria Snażyk Granicki organizatorem Venture Capital Kongres 2018 – 13 kwietnia GPW Warszawa

Kancelaria Snażyk Granicki ma zaszczyt zaprosić na pierwsze w Polsce wydarzenie dedykowane tematyce polskiego rynku funduszy inwestycyjnych, kierowane do przedstawicieli funduszy venture capital oraz private equity. Kongres odbędzie się dnia 13 kwietnia 2018 roku...

Dowiedz się więcej

Kancelaria reprezentowała spółkę X100lab w inwestycji w spółkę Forwado

Kolejna transakcja za nami! Miło nam ogłosić, że Kancelaria reprezentowała spółkę X100lab w inwestycji w spółkę Forwado, która oferuje innowacyjne rozwiązania technologiczne w branży transportowej. Gratulujemy obu stronom i życzymy wielu kolejnych, udanych przedsięwzięć.

Dowiedz się więcej