Bezpieczna Przystań to porozumienie i oparty na nim program, który umożliwia przekazywanie danych pomiędzy europejskimi i amerykańskimi firmami podpisany i wynegocjowany ponad 10 lat temu. USA w europejskich regulacjach dotyczących danych osobowych należy do obszaru państw trzecich czyli nienależących do EOG (Europejskiego Obszaru Gospodarczego). Oznacza to, iż tamtejszy standard ochrony danych jest niższy, od tego wymaganego przez kraje UE.

Dyrektywa UE o ochronie danych osobowych, nie pozwalała na przekazywanie danych do państw trzecich, gdy nie zapewniały one stosownego poziomu zabezpieczeń. Zrobiono wyjątek w postaci podpisania „Safe Harbour”.

Zarządzanie programem

Safe Harbour jest administrowany przez Departament Handlu USA, kontrolowaniem programu zajmuje się zaś Federalna Komisja Handlu.

Do programu przynależy już ok. 3200 firm amerykańskich posiadających certyfikat programu. Certyfikacja jest dobrowolna i niestety polega jedynie na tym, że firma pragnąca przystąpić do przystani sama ocenia czy spełnia warunki programu i zgłasza to Departamentowi Handlu.

Kiedyś i dziś

Jeszcze 10 lat temu po utworzeniu Bezpiecznej Przystani, organy UE oceniły skuteczność programu na zadowalającą. Jednak w związku z pędzącym postępem technologicznym, aktualnie te rozwiązania nie są oceniane jako wystarczające. Skuteczność programu zależy od działań podejmowanych przez Departament Handu i Federalną Komisję Handlu USA. Wpływ instytucji Europejskich na funkcjonowanie programu jest aktualnie znikomy.

Organy USA odpowiedzialne za nadzorowanie przestrzegania zasad programu przez podmioty w nim uczestniczące zajęły się ich kontrolowaniem dopiero w 2009r. Jak do tej pory przez cały okres funkcjonowania Safe Harbour nie miało miejsca usunięcie z listy certyfikowanego podmiotu w związku z niezgodnością jego działania z zasadami programu.

Przepisy Polskie a Bezpieczna Przystań

W związku z istnieniem programu przekazanie danych osobowych z Polski do certyfikowanego odbiorcy w USA, należy traktować jako przekazanie do państwa bezpiecznego zgodnie z art. 47 ust. 1 ustawy o ochronie danych osobowych. Oznacza to, że nie wymaga ono wyrażenia zgody przez GIODO w trybie art. 48 ustawy. Według informacji Ministerstwa Administracji i Cyfryzacji wynika, że mogą wystąpić okoliczności, w których GIODO wymaga uzyskania zgody na przekazywanie danych do odbiorcy w USA, pomimo przystąpienia przez niego do programu. Taki wymóg może wystąpić, jeżeli kategorie przekazywanych danych oraz cele ich przetwarzania wykraczałyby poza zakres określony w certyfikacie programu.

MAiC proponuje następujące zmiany w programie Safe Harbour:

  1. konieczna jest proaktywna działalność Federalnej Komisji Handlu,
  2. działania podejmowane przez Federalną Komisję Handlu powinny być efektywne,
  3. Federalna Komisja Handlu powinna dokonywać co najmniej wstępnej oceny każdego z podmiotów chcących przystąpić do programu (np. poprzez analizę polityki prywatności i strony internetowej) pod kątem spełniania przez nie zasad „bezpiecznej przystani”,
  4. w kontroli certyfikowanych podmiotów powinny móc uczestniczyć także europejskie krajowe organy ochrony danych osobowych, w tym GIODO,
  5. należy ustanowić jedną, wyspecjalizowaną instytucję, jurysdykcji której poddawałyby się wszystkie podmioty przystępujące do programu i do której trafiałyby wszystkie skargi związane z funkcjonowaniem „bezpiecznej przystani”,
  6. należy zwiększyć transparentność samego programu „bezpiecznej przystani”, tak aby osoby, których dane są przetwarzane w jego ramach miały pełną wiedzę o przysługujących im prawach i mogły z nich korzystać bez ponoszenia dodatkowych kosztów,
  7. należy rozszerzyć kontrolę nad podmiotami, które przetwarzają dane na zlecenie podmiotów certyfikowanych (dalsze powierzenie przetwarzania danych przez podmiot certyfikowany podmiotowi spoza „bezpiecznej przystani”) poprzez wprowadzenie obowiązku regulowania tej kwestii umownie oraz zgłaszania przypadków dalszego powierzenia przetwarzania do Federalnej Komisji Handlu,
  8. podmioty certyfikowane, powinny jasno informować w polityce prywatności w jakim zakresie do przetwarzanych przez nie w ramach „bezpiecznej przystani” danych mogą mieć dostęp amerykańskie służby,
  9. europejskie organy nadzorcze powinny mieć możliwość podejmowania działań mających na celu ochronę danych osobowych obywateli Unii Europejskiej, w szczególności zawieszenia przekazywania danych, jeżeli dostęp do danych mają amerykańskie służby na przykład w ramach PRISM,
  10. w przypadku braku zmian w samym programie „bezpieczna przystań” oraz wyraźnej poprawy egzekwowania jego zasad przez stronę amerykańską, w dłużej perspektywie czasu rozsądnym krokiem będzie rozważenie uchylenia Decyzji przez Komisję i zastąpienie programu nowym narzędziem.

Wewnętrzna analiza programu „Bezpieczna Przystań” przez MAiC.

Zapraszamy do zapoznania się z naszą ofertą na wykonywanie dokumentacji danych osobowych!