Ochrona danych osobowych

Tarcza prywatności ma chronić dane osobowe przekazane na linii UE-USA

Czas czytania: 2 min

Pamiętamy  kontrowersyjny wyrok Europejskiego Trybunału Sprawiedliwości, który w efekcie  żądań Maximiliana Schremsa, by koncern Facebook nie przekazywał jego danych osobowych do USA, odwrotnie do wystosowanej intencji – zezwolił na nie. Mija właśnie rok od tego zdarzenia, o czym przypomina art. “Transfer danych osobowych do państw trzecich” (CRN nr 10/2016).

Tarcza prywatności

Brak realnego wpływu Europejczyków na ochronę danych osobowych w USA wywołało lawinę prac nad przygotowaniem nowych regulacji. Jednym z rozwiązań przyjętych w toku prac legislacyjnych przez UE jest “Tarcza prywatności”. Określa ona zasady operowania danymi osobowymi przez amerykańskich przedsiębiorców  i przekazywania ich pomiędzy UE a USA. Instancją, do której obywatele europejscy mogą zgłaszać swoje skargi i informacje o naruszeniach został amerykański odpowiednik Rzecznika Praw. Czy “Tarcza prywatności” działa, w rzeczywistości chroni i reaguje – tego nie da się jeszcze określić.

“Jeśli przedsiębiorca nawiązuje współpracę z podmiotem. Prowadzącym działalność w państwie spoza Europejskiego Obszaru Gospodarczego, powinien dowiedzieć się, czy dany kraj zapewnia odpowiedni poziom ochrony. Aktualna lista państw, które wywiązują się z tego obowiązku we właściwy sposób, jest dostępna m.in. na stronie www.giodo.gov.pl

przypominają Jan Byrski oraz Natalia Wysocka w CRN nr 10/2016

Procedury można obejść

To jednak nie koniec, jeśli okaże się, że dana firma nie istnieje na liście wystawionej przez Komisję Europejską, administrator danych, który chce przekazać je konkretnej firmie, może zwrócić się do  Generalanego Inspektora Danych Osobowych o wydanie decyzji administracyjnej zezwalającej na ich transfer. Kolejną możliwością obejścia ww. procedur przez polskiego przedsiębiorcę jest skorzystanie z klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską lub z wiążących reguł korporacyjnych, znanych jako BCR.  Polski przedsiębiorca może przygotować własny katalog zasad składających się na BCR. Następnie musi złożyć wniosek o zatwierdzenie go do krajowego organu ochrony danych. Takimi zaakceptowanymi dokumentami BCR posługują się: Shell, ING, Siemens.
Intratne operowanie danymi osobowymi nadal nie doczekało się skutecznej regulacji prawnej.

 





Dodaj komentarz