Podmiotem, który ma przetwarzać dane osobowe jest przedsiębiorstwo amerykańskie. Stany Zjednoczone Ameryki Północnej są zaś tzw. państwem trzecim w rozumieniu przepisów o ochronie danych osobowych. Transfer danych następuje tu w oparciu o Program Tarcza Prywatności UE-USA.
Celem wstępu należy nakreślić historyczne tło, gdyż nie pozostaje ono bez wpływu na dzisiejsze rozwiązanie prawne w tym zakresie. Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji. Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.
W dniu 12 lipca 2016 roku został przyjęty tzw. Program Tarcza Prywatności UE-USA, który miał zapewnić odpowiednią ochronę danych osobowych obywateli w UE, przekazywanych do Stanów Zjednoczonych. Zastępuje ona poprzednie rozwiązanie funkcjonujące pod nazwą bezpiecznej przystani (safe harbour), które zostało unieważnione orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 roku w sprawie Schrems (C-362/14). Na mocy Tarczy przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE a pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów będzie dokonywał Departament Handlu Stanów Zjednoczonych. Dane te mają być na przykład wykluczone z masowej i bezkrytycznej inwigilacji, zostały wprowadzone mechanizmy rozstrzygania sporów (np. obywatel UE będzie mógł wnieść skargę do swojego krajowego organu ochrony danych a ten będzie się kontaktował z amerykańską Federalną Komisją Handlu).
Przekazywanie danych osobowych do Stanów Zjednoczonych od 25 maja 2018 roku musi się odbywać na podstawie RODO. Także na gruncie RODO istnieje wskazana powyżej możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli Komisja stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewniają „odpowiedni stopień ochrony” to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.
Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej Komisja się nie wypowiedziała (albo nie będzie żadnego specjalnego programu jak wspominany Program Tarcza Prywatności UE-USA), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejące już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych ale także z wykorzystaniem przede wszystkim:
Wskazane kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania rozporządzenia. Projekt kodeksu składa się do organu nadzorczego, który wydaje opinię o zgodności projektu kodeksu z rozporządzeniem. Następnie Komisja może stwierdzić, że dany kodeks jest powszechnie obowiązujący w Unii.
Z kolei certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw). Administrator poddaje się certyfikacji przez taki podmiot. Certyfikacji udziela się na okres maksymalnie 3 lat a wszystkie mechanizmy certyfikacji gromadzi w rejestrze Europejska Rada Ochrony Danych – nowy organ unijny mający dbać o spójne stosowanie przepisów rozporządzania przez wszystkie organy krajów członkowskich. I właśnie takim mechanizmem samocertyfikowania jest obecnie omówiony na wstępie Program Tarcza Prywatności UE-USA.
Obecnie najważniejsze jest to aby przed przekazaniem danych osobowych do Stanów Zjednoczonych sprawdzić, czy dane przedsiębiorstwo z siedzibą w Stanach Zjednoczonych posiada certyfikat. Wykaz podmiotów uczestniczących w Programie Tarcza Prywatności UE-USA dostępny jest pod adresem www.privacyshield.gov. Tym samym, dopóki dane przedsiębiorstwo uczestniczy w tym programie dopóty przetwarzanie danych osobowych w usługach Google nie różni się niczym od przetwarzania tych danych na obszarze Europejskiego Obszaru Gospodarczego.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
