Pamiętamy kontrowersyjny wyrok Europejskiego Trybunału Sprawiedliwości, który w efekcie żądań Maximiliana Schremsa, by koncern Facebook nie przekazywał jego danych osobowych do USA, odwrotnie do wystosowanej intencji – zezwolił na nie. Mija właśnie rok od tego zdarzenia, o czym przypomina art. “Transfer danych osobowych do państw trzecich” (CRN nr 10/2016).
Tarcza prywatności
Brak realnego wpływu Europejczyków na ochronę danych osobowych w USA wywołało lawinę prac nad przygotowaniem nowych regulacji. Jednym z rozwiązań przyjętych w toku prac legislacyjnych przez UE jest “Tarcza prywatności”. Określa ona zasady operowania danymi osobowymi przez amerykańskich przedsiębiorców i przekazywania ich pomiędzy UE a USA. Instancją, do której obywatele europejscy mogą zgłaszać swoje skargi i informacje o naruszeniach został amerykański odpowiednik Rzecznika Praw. Czy “Tarcza prywatności” działa, w rzeczywistości chroni i reaguje – tego nie da się jeszcze określić.
“Jeśli przedsiębiorca nawiązuje współpracę z podmiotem. Prowadzącym działalność w państwie spoza Europejskiego Obszaru Gospodarczego, powinien dowiedzieć się, czy dany kraj zapewnia odpowiedni poziom ochrony. Aktualna lista państw, które wywiązują się z tego obowiązku we właściwy sposób, jest dostępna m.in. na stronie www.giodo.gov.pl“
przypominają Jan Byrski oraz Natalia Wysocka w CRN nr 10/2016
Procedury można obejść
To jednak nie koniec, jeśli okaże się, że dana firma nie istnieje na liście wystawionej przez Komisję Europejską, administrator danych, który chce przekazać je konkretnej firmie, może zwrócić się do Generalanego Inspektora Danych Osobowych o wydanie decyzji administracyjnej zezwalającej na ich transfer. Kolejną możliwością obejścia ww. procedur przez polskiego przedsiębiorcę jest skorzystanie z klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską lub z wiążących reguł korporacyjnych, znanych jako BCR. Polski przedsiębiorca może przygotować własny katalog zasad składających się na BCR. Następnie musi złożyć wniosek o zatwierdzenie go do krajowego organu ochrony danych. Takimi zaakceptowanymi dokumentami BCR posługują się: Shell, ING, Siemens.
Intratne operowanie danymi osobowymi nadal nie doczekało się skutecznej regulacji prawnej.
Redaktorka Net Complex Blog
