Łatwiejszy transfer danych do USA
Tak, doczekaliśmy się kolejnych ram ochrony prywatności dla transferów danych do USA. Mieliśmy już SaveHarbours oraz PrivacyShield, teraz czas na Data Privacy Framework. O co chodzi? W Amerykańskim prawie wprowadzono zmiany, które pozwalają (w opiniii Komisji UE) zapewnić odpowiedni stopień ochrony dnaych osobowych przesyłanych do USA. Ale, ale. Diabeł tkwi w szczegółach.
Powtórzono schmat, który znamy już z PrivacyShield – na uproszczonych zasadach będziemy mogli realizować transfery tylko do tych firm w USA, które otrzymają odpowiedni certyfikat zgodności z DPF. Certyfikat, będzie wydawany z ograniczeniem czasowym. Dla europejskich administratorów danych oznacza to w praktyce możliwość korzystania z dostawców usług z USA, którzy posiadają taki certyfikat, bez obawy o zgodność transferu danych z RODO. Transfer danych w związku z korzystaniem z tych usług, będzie realizowany, tak jak do innych krajów, dla których Komisja UE wydała decyzję o wystarczającym stopniu ochrony. Po stronie klienta będzie zweryfikowanie, czy dostawca usługi posiada certyfikat (najlepiej bezpośrednio na stronie Ministerstwa Handlu USA) oraz poinformowanie osób, których dane dotyczą o transferze i decyzji wydanej przez Komisję UE.
Czy to coś zmienia? Aktualnie najwięksi dostawcy usług dokonywali transferu w oparciu o standardowe klauzule umowne. Ich stosowanie było o tyle problematyczne, że ich skuteczność była wielokrotnie podważana w przypadku transferów do USA, ze względu na ogromne uprawnienia inwigilacyjne przyznane amerykańskim służbom. Poza tym chyba wszyscy zastanawiamy się, czy zaraz nie będzie Schrems III i DPF przestaną mieć sens, tak jak poprzednie rozwiązania. Na pewno widzę zmianę na poziomie stanowym, gdyż zaczynając od Kalifornii, kolejne stany zaczynają uchwalać stanowe ramy prywatności swoich obywateli. Zatem coś w podejściu do prywatności w USA się zmienia, jednak chyba nie ma perspektyw na zmiany na poziomie federalnym. Od dawna zastanawiam się, czy nie łatwiej byłoby ustanowić ramy ochrony danych nie na poziomie USA-UE, a poszczególne stany UE. Zaczynając od Kalifornii, która w tym zakresie ma największe doświadczenie. Co ciekawe, pewnie w takim wypadku pojawiłyby się także wymagania dla transferu w drugą stroną, np. ze względu na bardzo silny nacisk na informowanie o wszelkiego rodzaju cookies.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
