Strefa wiedzy

Privacy Shield – pierwszy miesiąc funkcjonowania

16.09.2016

1 sierpnia 2016 roku został uruchomiony program Tarcza Prywatności (eng. Privacy Shield) – umowa ramowa przyjęta pomiędzy Stanami Zjednoczonymi a Komisją Europejską, która ma zapewnić odpowiedni poziom ochrony danych osobowych Europejczyków, które przekazywane są podmiotom działającym w USA. Przyjęcie Tarczy Prywatności poprzedzone było kilkoma miesiącami negocjacji na linii USA-UE, a katalizatorem tego porozumienia był głośny wyrok Trybunału Sprawiedliwości UE, który uznał za nieważną decyzję Komisji Europejskiej ustanawiającą tzw. Bezpieczną Przystań (eng. Safe Harbor), czyli poprzednią podstawę prawną, na mocy której europejscy przedsiębiorcy mogli przekazywać dane osobowe do organizacji mających siedzibę w Stanach Zjednoczonych.

Mechanizm działania Tarczy Prywatności polega na samo-certyfikacji. Zainteresowany podmiot mający siedzibę na terytorium Stanów Zjednoczonych występuje do tamtejszego Departamentu Handlu z informacją, iż chce przystąpić do programu i będzie przestrzegał jego zasad, które mają na celu zapewnić odpowiednią ochronę danych osobowych Europejczyków. Tarcza Prywatności zobowiązuje m.in. do:

  1. informowania osób, których dane dotyczą w szczególności o ich prawach, istnieniu Tarczy Prywatności, podmiotach, którym dane będą udostępniane, jak również celu, w którym będą przetwarzane;
  2. umożliwienia osobie, której dane dotyczą kontroli nad przekazywaniem danych innym podmiotom, jeżeli cel przekazania tych danych jest inny od celu, w którym pierwotnie dane zostały pozyskane;
  3. podjęcia środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych, w odniesieniu do stopnia ryzyka oraz kategorii przetwarzanych danych;
  4. przetwarzania możliwie najmniejszego zakresu danych osobowych, który jest niezbędny do realizacji celu, dla którego są przetwarzane.

W chwili obecnej do Tarczy Prywatności przystąpiło blisko 200 amerykańskich organizacji. Biorąc pod uwagę, że program działa niewiele ponad miesiąc można wnioskować, iż uzyskanie wpisu na listę podmiotów biorących w nim udział nie wymaga długiego czasu oczekiwania.

Zaskoczenia nie wzbudzają branże, w których działają zgłoszone organizacje. Większość z nich świadczy szeroko rozumiane usługi informatyczne, ale możemy również znaleźć m.in. podmioty świadczące usługi turystyczne oraz medyczne. Z grupy największych potentatów, przetwarzających dane osobowe na szeroką skalę, do programu przystąpiły Microsoft oraz Oracle. Wciąż na liście nie znajdziemy takich firm jak Google, Amazon (Web Services) lub Facebook. Szczególnie przystąpieniem Google, Amazon i innych popularnych firm hostingowych powinni być zainteresowani europejscy przedsiębiorcy, którzy korzystają w ramach prowadzonego przez siebie biznesu z serwerów znajdujących się w USA (np. działając na rynku e-commerce).

Za pośrednictwem strony internetowej www.privacyshield.gov każda zainteresowana osoba może zapoznać się z zasadami Tarczy Prywatności oraz listą organizacji, które przystąpiły do programu. Każdy podmiot posiada swego rodzaju profil w rejestrze Tarczy Prywatności, zawierający szereg informacji na jego temat. Podstawową informacją jest szczegółowy zakres danych osobowych pozyskiwanych przez dany podmiot, jak również cel, w którym dane są wykorzystywane. Dodatkowo możemy zapoznać się z polityką prywatności organizacji oraz danymi kontaktowymi, przeznaczonymi do składania zapytań oraz zażaleń w związku z przetwarzaniem danych osobowych nas dotyczących. Każda organizacja uczestnicząca w Tarczy Prywatności jest obowiązana do udzielenia odpowiedzi w terminie 45 dni.

Kolejne kilkanaście miesięcy funkcjonowania Tarczy Prywatności powinny zbliżyć nas do odpowiedzi na pytanie o skuteczność jej działania, ponieważ każda organizacja musi co roku odnawiać certyfikat. Pozwoli to obserwatorom zweryfikować sposób sprawowania nadzoru administracji USA nad podmiotami, które przystąpiły do programu. Jeszcze przed jego uruchomieniem wiele środowisk zajmujących się tematyką szeroko rozumianej ochrony prywatności sygnalizowało, iż w praktyce Tarcza Prywatności może bardzo szybko zostać zaskarżona i podzielić los Bezpiecznej Przystani. Podstawowymi zarzutami są brak realnego nadzoru nad uczestnikami Tarczy Prywatności, mechanizm samo-certyfikacji, który nie wymaga sprawdzenia funkcjonowania podmiotu przed jego przystąpieniem oraz arbitralne uznanie przez Komisję Europejską, iż uczestnicy programu dają gwarancje odpowiedniej ochrony danych osobowych.

Autor: Michał Rogoziński

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.