Sprawdź, czy Twój dostawca rzeczywiście ma certyfikat Privacy Shield

On 08/07/2019 by admin in Blog

Jeśli w swojej codziennej pracy korzystasz z Gmaila, Kalendarza Google, Dysku Google lub iCloud, musisz wiedzieć, że używanie tych narzędzi wiąże się z przesyłaniem zgromadzonych tam danych poza obszar, na którym obowiązuje RODO (np. do USA).

Unijny ustawodawca, jak łatwo się domyślić, nie jest zadowolony z takiego stanu rzeczy. Obowiązujące przepisy mówią, że wysyłanie danych do krajów położonych poza Europejskim Obszarem Gospodarczym jest możliwe jedynie w drodze wyjątku.

W celu uregulowania zasad przesyłania danych osobowych z Europy do Stanów Zjednoczonych zawarto specjalne porozumienie znane pod nazwą „Tarcza Prywatności UE-USA”. W skrócie – jeżeli dane przedsiębiorstwo uczestniczy w Tarczy Prywatności, traktuje się je tak, jakby jego siedziba znajdowała się w Europe. W takiej sytuacji przekazywanie danych będzie możliwe bez spełniania dodatkowych wymogów.

Tarcza Prywatności oparta jest o mechanizm samocertyfikacji. W praktyce oznacza to, że w pełni zgodna z europejskimi przepisami w zakresie ochrony danych osobowych będzie jedynie współpraca z przedsiębiorcami, którzy uzyskali certyfikat wydany przez Departament Handlu USA. 

Trzeba jednak pamiętać, że nie wszystkie organizacje działające na terenie USA są automatycznie objęte Tarczą Prywatności, a jedynie te, które dobrowolnie zgłosiły się do udziału w programie i spełniły szereg wymagań analogicznych do tych wynikających z unijnych przepisów. Niektóre organizacje powołują się na swoich stronach internetowych i w politykach prywatności na spełnienie standardów programu Tarczy Prywatności, pomimo że nie posiadają oficjalnego certyfikatu albo utracił on już ważność. Dlatego też tak ważne jest odpowiednie zweryfikowanie, czy dany kontrahent znajduje się na liście udostępnianej przez Departament Handlu jeszcze przed rozpoczęciem współpracy i zainwestowaniem swojego czasu i pieniędzy.

Można samodzielnie sprawdzić, czy dany dostawca posiada certyfikat. Weryfikacja jest możliwa bez jakichkolwiek opłat i bez wychodzenia z domu pod adresem: www.privacyshield.gov.

W przypadku, w którym amerykański przedsiębiorca nie posiada certyfikatu Tarczy Prywatności, zazwyczaj najlepiej jest zawrzeć odrębną umowę o powierzeniu danych osobowych do przetwarzania (tzw. DPA) zawierającą tzw. standardowe klauzule ochrony danych wymagane przez art. 46 RODO. Jednak przygotowanie takiej umowy bądź zweryfikowanie jej pod kątem zapewnienia odpowiedniego poziomu ochrony najlepiej powierzyć już specjaliście w zakresie ochrony danych osobowych.

Autorzy: Jędrzej Brzykcy, Tomasz Wiese