Aktualny

Przekazywanie danych do USA – co zmieni RODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 17 kwietnia 2018
Przekazywanie danych do USA – co zmieni RODO
Pytanie:  Na jakiej podstawie odbywa się obecnie przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych? Czy Stany Zjednoczone są uznane za państwo bezpieczne pod tym względem? Jak zmienią się zasady przekazywania danych po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO)?
Odpowiedź: 

Obecnie bezpieczne przekazywanie danych osobowych do Stanów Zjednoczonych może odbywać się na podstawie programu Tarcza Prywatności UE-USA.

Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych mogło nastąpić tylko wówczas, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji.

Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja Europejska może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

Czy USA zapewnia odpowiedni stopień ochrony danych osobowych

W lipcu 2016 roku został przyjęty program Tarcza Prywatności UE-USA (Privacy Shield UE-USA), który miał zapewnić odpowiednią ochronę danych osobowych obywateli UE przekazywanych do Stanów Zjednoczonych. Zastąpił on poprzednie rozwiązanie funkcjonujące pod nazwą Bezpieczna Przystań (Safe Harbour), które zostało unieważnione orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie Schrems (C-362/14).

Na mocy Tarczy Prywatności przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE. Pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów dokonuje Departament Handlu Stanów Zjednoczonych. Dane te mają być na przykład wykluczone z masowej i bezkrytycznej inwigilacji. Zostały również wprowadzone mechanizmy rozstrzygania sporów, np. obywatel UE może wnieść skargę do swojego krajowego organu ochrony danych na przetwarzanie danych przez amerykańskie przedsiębiorstwo, a ten będzie się kontaktował z amerykańską Federalną Komisją Handlu.

Co w przekazywaniu danych do USA zmienia RODO

Opisane zasady przekazywania danych funkcjonują obecnie. Od 25 maja 2018 r. przekazywanie danych do państwa trzeciego musi się odbywać na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).

Także na gruncie RODO istnieje możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli Komisja Europejska stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewnia „odpowiedni stopień ochrony”, to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.

Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej KE się nie wypowiedziała (albo nie będzie żadnego specjalnego programu jak Tarcza Prywatności UE-USA), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia, pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejących już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych, ale także z wykorzystaniem przede wszystkim:

  • zatwierdzonego kodeksu postępowania,
  • zatwierdzonego mechanizmu certyfikacji.

Kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania RODO. Projekt kodeksu składa się do organu nadzorczego, który wydaje opinię o zgodności projektu kodeksu z RODO. Następnie KE może stwierdzić, że dany kodeks jest powszechnie obowiązujący w UE.

Z kolei certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw). Administrator poddaje się certyfikacji przez taki podmiot. Certyfikacji udziela się na okres maksymalnie 3 lat, a wszystkie mechanizmy certyfikacji gromadzi w rejestrze Europejska Rada Ochrony Danych – nowy organ unijny mający dbać o spójne stosowanie przepisów RODO przez wszystkie organy krajów członkowskich. I właśnie takim mechanizmem samocertyfikowania jest obecnie program Tarcza Prywatności UE-USA. Czy będzie on funkcjonował także po 25 maja 2018 r. – trudno powiedzieć.

Ważne:

Obecnie najważniejsze jest to, aby przed przekazaniem danych osobowych do Stanów Zjednoczonych sprawdzić, czy dane przedsiębiorstwo z siedzibą w Stanach Zjednoczonych ma certyfikat. Wykaz podmiotów uczestniczących w programie Tarcza Prywatności UE-USA dostępny jest pod adresem www.privacyshield.gov.

Podstawa prawna: 
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x