Porozumienie Privacy Shield między EU i USA wchodzi w życie. Co trzeba wiedzieć o transferze danych do USA

08.2016

We wtorek 12 lipca br. Komisja Europejska zatwierdziła formalnie treść Privacy Shield („tarcza prywatności”). Privacy Shield to potoczna nazwa instrumentu wypracowanego między USA a Unią Europejską, dotyczącego zasad swobodnego przesyłania danych osobowych między przedsiębiorcami z UE i USA.

Nowe zasady mają wyważyć interes biznesu i realizację prawa do prywatności obywateli UE. Jednak jeszcze 25 lipca br. Grupa Robocza art. 29 (zrzeszająca odpowiedniki polskiego GIODO z każdego państwa członkowskiego) spotka się aby wydać na jego temat opinię. Departament Handlu USA będzie akceptował wnioski amerykańskich spółek o zatwierdzenie zgodności z wymogami Privacy Shield od 1 sierpnia. W świetle toczących się jeszcze ustaleń należy spodziewać się, że upłynie więcej czasu niż pierwotnie zakładano, zanim przedsiębiorcy będą mogli skorzystać ze swobodnego transferu danych. Do tego czasu, spółki muszą stosować przepisy ustawy o ochronie danych osobowych w zakresie przesyłania danych osobowych do państw trzecich aby przesyłać dane osobowe do USA legalnie.

Ustawa przewiduje kilka sytuacji, w których zgoda GIODO na transfer nie jest wymagana, m. in. jeżeli osoba, której dane miałyby zostać przesłane wyraziła na to zgodę na piśmie czy wówczas, gdy przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a tą osobą. W każdej innej sytuacji niż wymienione w ustawie, transfer wymaga odpowiedniej podstawy w formie: 1) decyzji zatwierdzającej GIODO, 2) wiążących reguł korporacyjnych zatwierdzonych przez GIODO, 3) zawarcia umowy z zastosowaniem standardowych klauzul umownych.

Dla spółek niepowiązanych, najlepszym wyjściem jest zastosowanie standardowych klauzul umownych („model contract clauses”) w umowie przekazania danych osobowych spółce w USA. Standardowe klauzule umowne ochrony danych osobowych, to zestaw gotowych postanowień umownych, które administrator danych osobowych może bezpośrednio umieścić w umowie transferowej – wówczas zgoda GIODO na transfer danych nie jest wymagana. Natomiast spółkom funkcjonującym w ramach jednej struktury najbardziej opłaca się sporządzenie Binding Corporate Rules (”BCR”), czyli wiążących reguł korporacyjnych. Jest to rodzaj polityki wewnątrzkorporacyjnej obowiązujący wszystkie spółki w ramach struktury. Aby przesyłać dane w ramach struktury na podstawie BCR należy złożyć do GIODO wniosek (odpowiadający wymogom dla podania zgodnie z kodeksem postępowania administracyjnego). Treść wniosku nie jest określona przepisami ustawy. Istnieje jednak Rekomendacja Grupy Roboczej Art. 29 z 10.01.2007r. Rekomendacja zawiera sugestie dotyczące zawartości wniosku oraz propozycje postanowień.

Privacy Shield jest instrumentem tymczasowym. Przepisy Rozporządzenia (EU) 2016/679) wchodzą w życie 28.05.2018r. Wprowadzają szereg zmian w zakresie obowiązków administratorów danych.

Specjalizacja: 
Źródło: 
Biuletyn Polskiej Izby Handlu (PIH)