Safe – harbor
Wiedza 3 lutego 2017 Krzysztof Sadecki
Mamy rok 2015. Coraz więcej polskich firm decyduje się na to, żeby mieć siedzibę główną w Stanach Zjednoczonych. Jednocześnie coraz więcej firm amerykańskich chce przenosić swoje interesy na terytorium Unii Europejskiej. Ale ustawodawstwo unijne i ustawodawstwo obowiązujące w Stanach Zjednoczonych różnią się zasadniczo. Dzisiaj zajmiemy się jedną z tych różnic, a mianowicie polityką prywatności, jaka obowiązuje w Unii Europejskiej.
Wprowadzenie
Jak wszyscy wiemy, Unia Europejska to duży polityczno-ekonomiczny związek składający się z 28 państw, o łącznej populacji 500 milionów osób. Bogactwo gospodarcze Unii Europejskiej przyciąga tutaj wiele amerykańskich firm. Jednak większość z tych firm nie jest w ogóle zaznajomiona z przepisami, które dotyczą polityki prywatności na terenie Unii Europejskiej. Prawda jest taka, że dla wielu firm amerykańskich temat ten często pozostaje tematem tabu i wiele amerykańskich firm uznaje, że pierwszą instancją sądową jest dla nich sąd amerykański i ustawodawstwo amerykańskie w kwestii polityki prywatności. Natomiast ustawodawstwo europejskie jest uznawane za temat marginalny. Zadaniem tego artykułu jest wyjaśnienie, jakie kategorie amerykańskich spółek wchodzą w zakres unijnego prawa dotyczącego polityki prywatności. Następnie zostało omówione w jaki sposób amerykańskie firmy mogą sobie zapewnić pełną zgodność z przepisami unijnymi dotyczącymi ochrony danych osobowych. Na koniec zamieszczone jest krótkie podsumowanie.
Rodzaje amerykańskich firm wchodzących w zakres przepisów dotyczących ochrony prywatności w Unii Europejskiej
Ta część artykułu pokazuje, jakie są kategorie amerykańskich firm, które wchodzą w zakres obecnych przepisów dotyczących ochrony prywatności. Następnie przedstawiono amerykańskie firmy, które wejdą w zakres nowego rozporządzenia, które zastąpi obecnie istniejącą politykę prywatności.
Obecne unijne przepisy dotyczące ochrony prywatności oraz ochrony danych osobowych
Obecne przepisy unijne obejmują zasadniczo dwa przypadki. W przypadku pierwszym administrator danych osobowych ma swoją siedzibę na terenie Unii Europejskiej. W drugim przypadku administrator danych osobowych używa sprzętu znajdującego się na terenie Unii Europejskiej wyłącznie w celu przetwarzania danych osobowych. Poniżej zostały omówione szczegółowo oba te przypadki.
Firma posiada siedzibę na terenie Unii Europejskiej
Trybunał Sprawiedliwości przy Unii Europejskiej doskonale wyjaśnił pojęcie siedziby, stwierdzając, że stabilne utworzenie siedziby firmy na terenie Unii Europejskiej wymaga tego, żeby zarówno zasoby ludzkie, jak i zasoby techniczne, które są niezbędne do świadczenia określonych usług, muszą się znajdować na terenie Unii Europejskiej oraz być tutaj stale dostępne. Tak więc, jeżeli posiadamy tylko komputer lub serwer na terenie Unii Europejskiej, jest mało prawdopodobne, żeby się to kwalifikowało pod pojęcie siedziby, ponieważ wtedy serwer jest traktowany tylko jako obiekt techniczny lub instrument do przetwarzania informacji. Jednocześnie istnieje też druga strona medalu. Firma ze Stanów Zjednoczonych nie musi posiadać osobowości prawnej na terenie Unii Europejskiej.
Przykładem jest fima Google, która do niedawna korzystała z tzw. prawa do bycia zapomnianym. W sprawie firmy Google Trybunał Sprawiedliwości podjął decyzję w maju 2014 i doskonale wyjaśnił pojęcie siedziby. Otóż Trybunał Sprawiedliwości stwierdził, że jeżeli istnieją jakiekolwiek powiązania gospodarcze pomiędzy firmą spoza Unii Europejskiej oraz jej filią na terenie Unii Europejskiej, to oznacza, że unijne przepisy dotyczące ochrony prywatności i przetwarzania danych osobowych mają zastosowanie także do firmy spoza Unii Europejskiej, o ile świadczy ona usługi na terenie Unii Europejskiej. Dokładniej, Trybunał Sprawiedliwości stwierdził, że jeśli Google Espania generuje przychody ze sprzedaży reklam i jest zależna od spółki Google Inc, to oznacza, że obie spółki są wystarczająco powiązane ze sobą oraz z usługą dotyczącą wyszukiwania informacji, która jest oferowana przez Google Inc. Oznacza to, zdaniem Trybunału Europejskiego, że działania spółki Google Espania podlegają prawom ochrony prywatności obowiązującym w Unii Europejskiej i jednocześnie ten sam obowiązek rozciągnął na firmę Google, jeśli ta chce świadczyć swoje usługi na terenie Unii Europejskiej.
Korzystanie tylko i wyłącznie ze sprzętu położonego na terytorium Unii Europejskiej
Prawa do prywatności, jakie obowiązują na terenie Unii Europejskiej nie definiują szczegółowo pojęcia sprzęt. A więc pojęcie sprzętu może być naprawdę bardzo szeroko rozumiane. Poniżej przedstawiono dwa przykłady definicji sprzętu w rozumieniu przepisów Unii Europejskiej.
Po pierwsze załóżmy, że istnieje jakaś firma z Australii, która gromadzi i przetwarza dane osobowe, zgromadzone na telefonach użytkowników z Unii Europejskiej. Działalność tej firmy musi być całkowicie zgodna z unijnym prawem dotyczącym ochrony prywatności. Dzieje się tak, ponieważ telefon jest definiowany jako sprzęt według postanowień Trybunału Sprawiedliwości. Po drugie, wyobraźmy sobie, że istnieje spółka, która świadczy usługi w chmurze obliczeniowej i pozwala przesyłać jednostkom informacje oraz umawiać się na spotkania prywatne. Działalność tej firmy, świadczona na terenie Unii Europejskiej musi być w pełni zgodna z unijnym prawem ochrony prywatności o ile firma przetwarza te informacje na serwerach znajdujących się na serwerach na terenie Unii Europejskiej. Jednocześnie należy zauważyć, że stosowanie przepisów unijnych dotyczących ochrony prywatności nie ma zastosowania, jeśli urządzenia pełnią tylko i wyłącznie funkcję tranzytową, co oznacza, że przesyłają dalej wybrane informacje. Jednocześnie te same prawa będą mieć zastosowanie w chwili kiedy urządzenia zaczną generować pliki cookies, wykonywać obliczenia oraz używać jakichkolwiek skryptów JavaScript.
Nowe rozporządzenia dotyczące ochrony prywatności
Już wkrótce Unia Europejska planuje przyjąć nową ustawę o ochronie prywatności o nazwie General Data Protection Regulation (GDPR ). Propozycja wprowadzenia GDPR pochodzi z 2012 roku i jeśli zostanie przyjęta, to oznacza, że wejdzie w życie w 2017 roku. GDPR jest stosowana do osób fizycznych lub prawnych z siedzibą na terytorium Unii Europejskiej oraz osób fizycznych lub prawnych, które przetwarzają dane osobowe mieszkańców Unii Europejskiej. W skrócie ustalenia GDPR będą miały zastosowanie do wszystkich firm, jakie przetwarzają dane osobowe mieszkańców Unii Europejskiej.
Zapewnienie zgodności z przepisami unijnymi
Departament Handlu USA w porozumieniu z Komisją Europejską opracował tzw. bezpieczną przystań, czyli safe-harbor framework, znany również jako US-EU Safe Harbor Framework. Bezpieczna przystań pozwala zapewnić amerykańskim firmom zgodność z przepisami Unii Eurpejskiej, dotyczącymi ochrony prywatności. Definiuje go siedem zasad: powiadomienie, wybór, dalsze przekazywanie, dostęp, bezpieczeństwo, integralność danych oraz egzekwowanie. Prześledźmy po kolei wszystkie te zasady, Pierwszy element to powiadomienie. Aby amerykańska firma była zgodna z tą zasadą, musi poinformować osoby, których dane kontaktowe są zbierane oraz w jakim celu będą wykorzystywane. Cele muszą być opisane szczegółowo. Dodatkowo firma musi także podawać swoje dane kontaktowe, rodzaje stron trzecich, jakim ujawnia informacje osobowe oraz środki, jakich używa w USA w celu ograniczenia wykorzystania i ujawniania danych osobowych.
Zasada wyboru polega na tym, żeby zapewnić wszystkim osobom możliwość wyboru, czy ich dane osobowe zostaną ujawnione osobom trzecim w celach niezgodnych z celem pierwotnym, dla którego zostały początkowo zebrane dane osobowe. Co więcej, jeżeli amerykańska firma planuje ujawniać poufne dane osobowe osobom trzecim lub wykorzystywać te informacje niezgodnie z ich pierwotnym przeznaczeniem, to wtedy firma musi podać wszystkie osoby oraz instytucje, jakim przekazuje dane osobowe oraz dokładną informację o tym, jakie informacje zostały zebrane przy okazji. Informacje te muszą być podawane jawnie.
Kolejna zasada to tzw. dalsze przekazywanie. Jeżeli amerykańska firma zamierza przekazywać dane osobowe jakiejkolwiek stronie trzeciej, to koniecznie musi się upewnić, że strona trzecia spełnia zasady USA-EU Safe Harbor Framework. Istnieje wyjście alternatywne z tej sytuacji. Otóż jeśli amerykańska firma zamierza przekazywać dane osobowe stronie trzeciej, musi podpisać pisemną umowę ze stroną trzecią, w której jest sprecyzowane to, że strona trzecia zapewnia taki sam stopień bezpieczeństwa informacji, jaki jest wymagany przez USA-EU Safe Harbor Framework.
Kolejnym elementem jest dostęp. Dostęp wymaga od wszystkich firm amerykańskich, jakie przetwarzają dane osobowe na terenie Unii Europejskiej, aby zapewnić dostęp osobom, których dane osobowe są gromadzone, do danych osobowych na ich temat oraz zapewnienia możliwości poprawienia, zmiany lub usunięcia danych osobowych.
Następna zasada to bezpieczeństwo. Przestrzeganie zasady bezpieczeństwa wymaga od amerykańskich firm dołożenia wszelkich starań, aby zapewnić, ze wszystkie dane osobowe na temat różnych osób są gromadzone w sposób, jaki zabezpiecza je przed nieuprawnionymi działaniami, takimi jak nadużywanie lub niszczenie.
Kolejna zasada to integralność danych. Wymaga ona, aby amerykańskie firmy zebrały wszystkie dane osobowe, które są istotne do celów, w jakich są one wykorzystywane.
Ostatnią z zasad jest egzekwowanie. Zasada egzekwowania wymaga od amerykańskich firm, aby posiadały mechanizmy do składania skarg indywidualnych oraz rejestrowania takich skarg, procedury weryfikowania, które pozwalają jednoznacznie stwierdzić, że dana firma posiada wdrożony Safe-Harbor Framework oraz zobowiązanie do naprawienia wszystkich problemów związanych z niezgodnościami z Safe-Harbor Framework. Zwykle za weryfikację tych firm odpowiada Departament Handlu USA.
Ale istnieje jeszcze jedna sprawa. Dodatkowa egzekucja egzekwowania Safe-Harbor Framework może pochodzić od amerykańskiej Federalnej Komisji Handlu lub innych agencji federalnych, które posiadają zdolność do egzekwowania obietnic poczynionych przez firmy z USA. Na przykład Federalna Komisja Handlu może rozważyć, że firma nie przestrzega obietnicy stosowania Safe-Harbor Framework i stanowi to naruszenie ustaw Federalnej Komisji Handlu, w której ten organ zakazuje nieuczciwych oraz wprowadzających w błąd praktyk. W 2010 roku Federalna Komisja Handlu wszczęła postepowania wobec kilku firm amerykańskich, które zobowiązywały się do przestrzegania Safe-Harbor Framework, a tak naprawdę go nie przestrzegały.
Certyfikat zgodności z prawem ochrony prywatności obowiązującym w UE
Każda amerykańska firma, która zobowiązała się do przestrzegania Safe-Harbor Framework, musi każdego roku przedstawiać certyfikat zgodności z Safe-Harbor do Departamentu Handlu USA. Ocena tego, czy dana firma spełnia wszystkie siedem zasad może być wykonana przez samą spółkę lub przez firmy prywatne. Poniżej znajdują się przykłady takich firm.
Programy certyfikacyjne oferowane przez firmy prywatne
W tej sekcji omówiono dwa programy, jakie mogą potwierdzić zgodność z US-EU Safe Harbor Framework. Pierwszą z nich jest TRUSTe, natomiast druga to PrivacyTrust.
Program oceny polityki prywatności TRUSTe pozwala firmom sprawdzić ich zgodność z US-EU Safe Harbor Framework i pomóc im w certyfikacji własnej w Departamencie Handlu USA. Dodatkowo program oceny prywatności obejmuje procedurę rozstrzygania sporów na temat przechowywania danych osobowych zgodnie z Safe-Harbor Framework.
PrivacyTrust służy podobnym celom i poświadcza zgodność firm amerykańskich z Safe-Harbor Framwork. Dodatkowo umożliwia dostarczanie pomocy przed i po certyfikacji własnej.
Wnioski
W tym artykule pokazano, że można wymagać od amerykańskich firm przestrzegania przepisów ochrony prywatności ustalonych przez Trybunał Sprawiedliwości, nawet jeśli firmy te nie mają siedziby w Unii Europejskiej. Na przykład, użycie serwera do przechowywania danych osobowych, jaki znajduje się w Unii Europejskiej, jest wystarczającym powodem dostosowania się do wytycznych Unii Europejskiej.
Dobrą wiadomością dla spółek amerykańskich jest to, że nie muszą poznawać przepisów regulujących prywatność we wszystkich 28 krajach wspólnoty, aby zapewnić sobie zgodność z polityką prywatności. Taka zgodność może być uzyskana poprzez używanie tylko i wyłącznie Safe-Harbor Framework.
Jeśli firmy amerykańskie przestrzegają wszystkich siedmiu zasad, zawartych w tym artykule, mogą wystąpić do Departamentu Handlu USA. Lista firm posiadających ten certyfikat znajduje się pod adresem: https://safeharbor.export. gov/list.aspx. Jeśli firma nie posiada zgodności z Safe-Harbor Framework, to dwie wymienione wyżej firmy mogą jej pomóc to uzyskać.
Read it in english version: http://www.businessmantoday.us/safe-harbor/