Sylwia Paszek

Tarcza Prywatności już działa

12 lipca 2016 r. Komisja Europejska przyjęła decyzję1 potwierdzającą, że podmioty działające na terenie Stanów Zjednoczonych, które spełnią warunki określone w programie Tarcza Prywatności (Privacy Shield), będą uważane za zapewniające należyty poziom ochrony danych osobowych. Oznacza to, że przekazywanie danych osobowych do takich podmiotów będzie możliwe bez konieczności jednoczesnego stosowania innych mechanizmów służących zapewnieniu należytej ochrony, takich jak wiążące reguły korporacyjne czy zgoda regulatora na przekazanie.

Program Tarcza Prywatności (EU – U.S. Privacy Shield Framework) jest kolejnym po Safe Harbour programem opracowanym i wdrożonym przez Departament Handlu Stanów Zjednoczonych (Department of Commerce, DOC), którego celem jest umożliwienie podmiotom działającym w USA dobrowolne zastosowanie określonych standardów ochrony danych osobowych i uzyskanie administracyjnoprawnego potwierdzenia spełniania takich standardów. W efekcie podmioty te uważane są zapewniające należyty poziom ochrony danych osobowych i dlatego, z perspektywy europejskiej, mogą być odbiorcami danych osobowych podmiotów europejskich.

Lata funkcjonowania programu Safe Harbour ujawniły jego liczne słabości, z których najpoważniejsze to:

  • brak rzeczywistej egzekwowalności praw podmiotów danych,
  • nieograniczona możliwość dalszego powierzania przetwarzania danych podmiotom działającym poza Safe Harbour,
  • dostęp służb bezpieczeństwa do masowo inwigilowanych danych osób fizycznych.

Program uchylono w październiku 2015 r., zaś zidentyfikowane nieprawidłowości posłużyły do opracowania Privacy Shield.

Program w istocie już działa, a wizyta na stronie internetowej www.privacyshield.gov dowodzi, że od 1 sierpnia 2016 r. do dnia dzisiejszego zarejestrowała się znaczna liczba podmiotów. Na stronie zobaczyć można, jakie kategorie danych przetwarza konkretny podmiot, zapoznać się z przyjętą polityką prywatności, a także bezpośrednio poprzez stronę złożyć skargę do tego podmiotu dotyczącą naruszenia przez niego zasad ochrony danych osobowych.

Czy Privacy Shield w istocie spełni oczekiwania w zakresie ochrony danych osobowych rozumianej z perspektywy europejskiej? Pokaże to praktyka. Trzeba jednak sprawiedliwie przyznać, że na potrzeby Privacy Shield przemyślano i skonstruowano remedia na największe bolączki Safe Harbour.

Dobrowolność i dyscyplina

Jak w przypadku Safe Harbour, przystąpienie do programu i niezbędna certyfikacja pozostaną dobrowolnym aktem uczestnika programu, jednakże uczestnik ten będzie podlegał okresowym audytom i przeglądom prowadzonym przez DOC. Już teraz, analizując rekordy uczestników na stronie programu, zobaczyć można, że ujawniana jest zarówno data przystąpienia do programu, jak i wyznaczona data następnego audytu. Negatywny wynik okresowej weryfikacji czy też w inny sposób wykryte naruszenie warunków ma mieć konkretne skutki dla uczestnika, w tym usunięcie z programu lub zawieszenie.

Transparentność i ograniczony cel przetwarzania

Przetwarzanie danych przez uczestników Privacy Shield zostanie poddane nowym regułom zarówno w sferze jawności i komunikowania, jak i w sferze rzeczywistych możliwości przetwarzania. W obszarze komunikowania uczestnicy będą zobowiązani informować osoby, których przetwarzane dane dotyczą, o celach, dla jakich udostępniają ich dane osobom trzecim. Będą też musieli wskazać sankcje, na jakie narażony będzie administrator w przypadku nieuprawnionego przekazania danych osobom trzecim, a także pouczyć o prawie dostępu do danych oraz prawie i mechanizmach korzystania ze środków dochodzenia roszczeń wynikłych z naruszenia.

Odnośnie do zakresu i celu przetwarzania zagwarantowano podmiotom danych większy wpływ na tzw. secondary processing, czyli przetwarzanie danych w celach pozostających wyraźnie lub dorozumianie poza celami dozwolonymi na podstawie zgody osoby. W ramach Privacy Shield uczestnik programu, który zamierza zacząć przetwarzać dane osoby dla celów zasadniczo różnych (materially different) aniżeli cele, dla których podmiot danych wyraził pierwotnie zgodę, będzie musiał (i to zanim zacznie przetwarzać dane dla tych nowych celów) zaoferować osobie, której dane przetwarza, możliwość wycofania zgody na przetwarzanie lub przeciwstawienia się przetwarzaniu dla nowych celów (opt-out). Przypomnijmy, że w ramach Safe Harbour aktywne oferowanie opt-out było wymagane wyłącznie w przypadku, gdy administrator zamierzał przetwarzać dane w celach pozostających w sprzeczności (incompatible) z celami, dla których podmiot danych pierwotnie wyraził zgodę.

Dalsze przekazywanie

Dalsze przekazanie danych przetwarzanych przez uczestnika Privacy Shield będzie podlegać ścisłym ograniczeniom. Jeżeli dane mają być przekazane do administratora, wówczas wymagane będzie zawarcie pisemnej umowy, na podstawie której odbiorca danych zobowiąże się, że będzie przetwarzać dane wyłącznie w ograniczonym zakresie niezbędnym do realizacji celów oznaczonych przez podmiot danych w zgodzie na przetwarzanie danych i że odbiorca zapewni, że przetwarzanie otrzymanych danych nastąpi z zachowaniem takiego samego poziomu ochrony, jaki jest wymagany przez Privacy Shield.

Podobne wymogi stosować się będą do powierzenia przetwarzania danych procesorom; na żądanie DOC konieczne będzie ujawnienie umowy o powierzenie przetwarzania.

Mechanizmy skutecznego egzekwowania praw ochrony danych

Istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, stanowi kluczowy wyznacznik oceny, czy dane są w istocie należycie chronione. Jak podkreślano w doktrynie lata temu, „nie jest konieczne, aby ochrona w kraju trzecim była taka sama jak w Polsce; istotne jest przede wszystkim to, czy podstawowe zasady ochrony są analogiczne (mamy na myśli np. zasadę związania celem przetwarzania, zasadę jakości danych, środki zapewniające bezpieczeństwo danych i oczywiście zasady szczególnej ochrony przy przekazywaniu danych dalej do państwa trzeciego); ważne jest, czy zainteresowanemu (temu, kogo dane dotyczą) przysługują zasadniczo takie same uprawnienia, jakie zapewnia prawo polskie”2. Innymi słowy, kluczowe jest, czy istnieje mechanizm, który pozwala na zaangażowanie sądu lub administracji publicznej, które w ramach swoich kompetencji byłyby władne zastosować instrumenty zakazujące konkretnego naruszenia, nakazujące przywrócenie stanu zgodnego z prawem i adekwatne sankcjonowanie naruszeń.

Katalog sankcji, jakie mogą zostać zastosowane w związku ze stwierdzeniem naruszenia, zawiera między innymi sankcje administracyjnoprawne analogiczne do tych, których stosowanie pozostaje w naszym systemie prawa w kompetencjach GIODO. Są to przykładowo:

  • usunięcie lub zawieszenie udziału w Privacy Shield,
  • nakaz przywrócenia stanu zgodnego z prawem i usunięcia skutków naruszenia,
  • nakaz zaprzestania przetwarzania danych,
  • nakaz usunięcia danych,
  • nakaz publicznego ogłoszenia o stwierdzonych naruszeniach.

Przewiduje się także sankcje o charakterze cywilnoprawnym, tj. zapłatę odszkodowania osobie, której danych dotyczy naruszenie.

W ramach Privacy Shield zaprojektowano kilka mechanizmów egzekwowania praw podmiotów danych. Pierwszy z nich to skarga składana bezpośrednio do podmiotu przetwarzającego dane, któremu zarzuca się naruszenie i na którą jest on zobowiązany udzielić odpowiedzi w terminie 45 dni. Kolejny to możliwość nieodpłatnego skorzystania z alternatywnych metod rozwiązywania sporów. Możliwe jest też złożenie skargi do organu ochrony danych osobowych kraju rezydencji osoby, której dane dotyczą; organ ten będzie wówczas zobowiązany interweniować w konkretnej sprawie takiej osoby w DOC. Co istotne, organy pozasądowego rozstrzygania sporów rozstrzygające kwestie naruszeń będą mieć obowiązek sygnalizowania DOC stwierdzonych naruszeń.

Jeżeli żaden z powyższych mechanizmów nie doprowadzi do satysfakcjonującego rozstrzygnięcia, możliwe będzie rozpatrzenie sprawy przez arbitrów Privacy Shield Panel działających w oparciu o specyficzne zasady postępowania przyjęte dla tego organu. Panel składać się będzie z przedstawicieli desygnowanych zarówno przez DOC, jak i przez Komisję Europejską. Aby zagwarantować faktyczną dostępność arbitrażu dla obywateli UE, przyjęto takie rozwiązania jak:

  • możliwość skorzystania przez osobę, której dane dotyczą, ze wsparcia właściwego organu ochrony danych przy formułowaniu roszczenia,
  • możliwość uczestnictwa w posiedzeniu arbitrażowym telefonicznie lub przez wideokonferencję,
  • możliwość skorzystania z tłumaczenia symultanicznego przebiegu rozprawy na język skarżącego.

Bezpieczeństwo narodowe / Rzecznik

Dostęp służb bezpieczeństwa do ogromnej ilości danych osobowych w wyniku prowadzenia masowej inwigilacji i społeczna reakcja na to zjawisko przesądziły o końcu bytu Safe Harbour. Kreując nowy program i nową prawną rzeczywistość USA zapewniły Unię, że dostęp organów publicznych do danych – związany z egzekwowaniem prawa i kwestiami bezpieczeństwa narodowego – jest ograniczony, a w szczególności nie będzie prowadzone „ogólne” przetwarzanie jakichkolwiek i wszelkich danych osobowych, a jedynie przetwarzanie konkretnych danych w uzasadnionych przypadkach. Zadeklarowano stosowanie m.in. instrumentów filtrujących, aby minimalizować ilość danych zatrzymywanych. Aby te deklaracje poprzeć instrumentem egzekwowalności, powołano Rzecznika niezależnego od służb wywiadowczych USA, którego obowiązkiem będzie rozstrzyganie skarg osób fizycznych dotyczących naruszenia danych osobowych w związku z działaniami organów bezpieczeństwa narodowego.

Sylwia Paszek, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy


1 Commission Implementing Decision pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by EU-U.S. Privacy Shield

2 J. Barta, P. Figielski, R. Markiewicz, Komentarz do ustawy o ochronie danych osobowych, LEX 2011