Nie miałem w planach na dziś tworzyć drugiego wpisu. Ale właśnie do rąk (a w sumie na pulpit komputera) wpadła mi analiza dotycząca funkcjonowania Tarczy Prywatności przeprowadzona przez Komisję Europejską. O tarczy i wątpliwościach związanych z jej działaniem pisałem już tutaj. W toku analizy wzięto pod uwagę wnioski płynące z orzeczenia Trybunału Sprawiedliwości Unii Europejskiej, dotyczące wadliwości poprzedniego systemu ochrony danych na linii UE-USA – czyli „bezpiecznej przystani”.
Co wykazała analiza Komisji Europejskiej?
Tarcza prywatności działa i ma się dobrze. Komisja Europejska używa m.in. takich oto sformułowań (cytaty z przywołanego komunikatu prasowego):
Władze USA wprowadziły niezbędne struktury i procedury w celu zapewnienia właściwego funkcjonowania Tarczy Prywatności, m.in. nowe możliwości dochodzenia roszczeń przez obywateli UE.
Wprowadzono mechanizmy rozpatrywania skarg oraz egzekwowania przepisów, zacieśniono również współpracę z europejskimi organami ochrony danych.
Proces certyfikacji przebiega sprawnie – Departament USA Handlu certyfikował do tej pory ponad 2,4 tys. przedsiębiorstw.
Wprawdzie kilka rzeczy nadal wymaga poprawy, zwłaszcza w zakresie regularnego monitorowania, czy przedsiębiorstwa, które przystąpiły do programu, rzeczywiście realizują jego postanowienia.
Generalnie jednak Tarcza prywatności zapewnia odpowiedni poziom ochrony danych osobowych, które dotyczą obywateli Unii Europejskiej i są przetwarzane przez amerykańskie firmy, które postanowiły wziąć udział w programie. Innymi słowy, istnieje cała grupa podmiotów (m.in. giganci internetowi, tacy jak Amazon, Google czy Microsoft), która dobrowolnie stwierdziła, że chcą podporządkować się unijnym wytycznym dot. ochrony prywatności i wziąć udział w programie. A teraz Komisja Europejska stwierdziła, że to rzeczywiście działa.
To ma kolosalne znaczenie dla setek tysięcy europejskich firm, które chciałyby korzystać z usług amerykańskich korporacji np. w zakresie usług chmurowych, ale miały obawy, czy mogą powierzyć im swoje dane osobowe. Teraz bowiem mamy pewne potwierdzenie organu UE, że to jest dopuszczalne i można to zrobić. Oczywiście, teoretycznie możliwe jest, że Trybunał Sprawiedliwości UE wcale się z tym nie zgodzi. Dlaczego ma się nie zgodzić? Tak było właśnie z poprzednikiem tarczy prywatności, czyli bezpieczną przystanią.
A przed Trybunałem Sprawiedliwości Unii Europejskiej toczą się dwa postępowania dotyczące stwierdzenia, czy tarcza prywatności jest wystarczającym mechanizmem ochrony danych, czy nie. Jeśli Trybunał Sprawiedliwości UE uzna, że tarcza nie spełnia wymogów stawianych przez unijne prawo, stwierdzi nieważność decyzji Komisji dotyczącej Tarczy prywatności.
Tak czy siak, komunikat Komisji potwierdza jedną ważną rzecz, którą usłyszałem niedawno – amerykańscy giganci mają zasoby i możliwości techniczne aby naprawdę dobrze zabezpieczyć te dane, które im są przekazane. Tym samym z ich pomocą możliwe jest spełnienie niektórych wymogów, stawianych przez RODO.
Firmy w USA, które biorą udział w programie tarcza prywatności włożyły bowiem dużo wysiłku (i pieniędzy) w to, aby dostosować się do nowych regulacji. I mają większe możliwości niż np. małe podmioty oferujące swoje usługi lokalnie.
I to jest dla nas dobra wiadomość – dzięki temu, że amerykańskie koncerny zostały potwierdzone jako „bezpieczne”, mamy większy wybór usług, które są świadczone na wysokim poziomie, a co za tym idzie – każdy może znaleźć coś, co mu odpowiada. A RODO wcale nie limituje nas tak bardzo w tym zakresie.
