Tarcza Prywatności już nie istnieje! Czy nadal możesz korzystać z Google lub Facebooka?

Czas czytania: 5 minut

Czy wiesz, że od 16 lipca już nie obowiązuje Tarcza Prywatności? Pewnie zapytasz co to takiego i dlaczego miałoby Cię to zainteresować, prawda? Jeśli korzystasz z usług Google albo Facebooka albo innych podmiotów z USA to musisz przeczytać ten wpis.

O tym, że Tarcza Prywatności została zdetronizowana przez Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie Shrems przeciwko Facebookowi wie już chyba każdy.

Mówię o tym od dłuższego czasu. Takie informacje przekazywałam również podczas webinarów np. Jak Legalnie Zdobywać Klientów i Sprzedawać w Social Mediach.

Co to jest Tarcza Prywatności?

Privacy Shield, czyli Tarcza Prywatności to program opracowany i wdrożony przez Departament Handlu Stanów Zjednoczonych.

Jej celem było umożliwienie firmom działającym w USA dobrowolne zastosowanie określonych wymogów ochrony danych osobowych i uzyskanie potwierdzenia spełnienia tych wymogów.

RODO kontra Facebook – czego nie zapewnia już Tarcza Prywatności?

Tarcza prywatności do tej pory zapewniała możliwość wysyłania danych do Stanów Zjednoczonych. 

Oczywiście, nie chodzi o bezmyślne wysyłanie danych do kogoś z USA. Chodzi głównie o możliwość korzystania z narzędzi dostarczanych przez amerykańskie podmioty. 

A takich jest całkiem sporo! Nawet jeśli wydaje ci się, że nie korzystasz z narzędzi z USA, to prawdopodobnie się mylisz. Większość podmiotów z Europy korzysta np. w części z serwerów albo narzędzi znajdujących się w USA. Jest więc ryzyko, że tam przesyłane są dane. 

A jakie podmioty są najpopularniejsze? 

Szybko można wymienić dla biznesów online :

• Facebooka
• Google i poczta Gmail
• dostawców narzędzi do wysyłki newsletterów np. Mailchimp
• dostawców wielu narzędzi marketingowych czy do badania zaangażowania klientów
• itp. 

Tarcza prywatności dawała podstawę do korzystania z takich narzędzi i wysyłania niejako danych poza Unię Europejską. 

Gdyby więc przyszedł do Ciebie UODO na kontrolę nie mógłby tego zakwestionować. Bo istniała podstawa prawna. Od 16 lipca jest inaczej…

O Tarczy i innych wskazówkach prawnych dzielę się na bieżąco na moim koncie na Instagramie. Zachęcam do obserwowania!:)

https://www.instagram.com/p/CElxYqfoh4E/

Komisja Europejska kontra Tarcza Prywatności

Komisja Europejska, po wszczęciu postępowania podjęła decyzję w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności EU-USA (decyzja 2010/87). Od tego się zaczęło. Była jeszcze jedna decyzja – 2016/1250.

Irlandzki sąd w tzw. pytaniu prejudycjalnym zwrócił się z kolei do Trybunału z pytaniem czy rzeczywiście Tarcza Prywatności zapewnia odpowiedni stopień ochrony, adekwatny do tego w Unii Europejskiej. Również w kontekście obowiązków, jakie mają organy nadzorcze. Podważył też ważność obu decyzji.

Trybunał stwierdził, że pierwsza decyzja jest w porządku. Druga za to jest nieważna.

Powiedział, że uregulowania Stanów Zjednoczonych nie dają takiej jak Unii możliwości obrony swoich praw nie-obywatelom Stanów. Nie jest zachowana zasada proporcjonalności. Programy nadzoru USA realizują zadania wynikające z amerykańskich przepisów prawnych, co może znacznie ograniczyć ochronę danych osobowych przekazywanych do Stanów.

Podstawa prawna wysyłania danych do USA

Żeby nadal wysyłać dane poza Unię Europejską trzeba mieć podstawę prawną. Do tej pory wskazywano Tarczę prywatności. Zasadniczo RODO mówi o takiej podstawie w Rozdziale 3.

Artykuł 44. Ogólna zasada przekazywania.
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

Co z tego wynika? Kiedy więc można przekazywać?

• gdy istnieje decyzja stwierdzająca odpowiedni stopień ochrony
• gdy podmiot zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

W tym drugim przypadku dzieje się to za pomocą:

1. prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
2. wiążących reguł korporacyjnych zgodnie z art. 47;
3. standardowych klauzul ochrony danych
4. zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
5. zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Brzmi enigmatyczne…? Tak, szczególnie, że póki co certyfikaty nie są wydawane, a kodeksy dopiero tworzone…

 

Konsekwencje dla biznesów online

Jak mnie znasz, wiesz że zawsze odnoszę takie działania od razu do biznesu, bo prawo musi iść w parze z biznesem.

I cóż… w tym wypadku bardzo się rozminęły… W dużym skrócie i za radą tych, którzy chcą mieć problem szybko z głowy: “Jeśli korzystasz z Facebooka lub Googla, to przestań. Kropka.”

Ja nie jestem zwolenniczką takiego działania. Żeby nie powiedziec, że jestem jego przeciwniczką.

Znam realia biznesów online i wiem, że bez pewnych narzędzi firmy odczują spadek przychodów, dezorganizację, itd. To w ogóle nie wchodzi w rachubę. Po prostu.

To co należy zrobić to znaleźć rozwiązanie.

Google i Facebook je znaleźli poprzez natychmiastową zmianę swoich polityk prywatności. Facebook i tak działał poprzez swoją spółkę z Irlandii, a teraz to poszerza. Polityka prywatności Google weszła w życie od końca sierpnia.

Potentaci szybko znaleźli inne podstawy w postaci standardowych klauzul umownych. To działanie akceptowalne (nie wiem czy poprawne w danym przypadku – nie mi to oceniać).

Co zrobił Google?

Google zaktualizował swoją politykę prywatności, która weszła w życie 28 sierpnia 2020r. Pisze także, że:

Administratorem danych osobowych użytkowników z Europejskiego Obszaru Gospodarczego lub Szwajcarii jest Google Ireland Limited, chyba że w informacjach na temat ochrony prywatności dotyczących konkretnej usługi wskazano inaczej. Oznacza to, że Google Ireland Limited jest podmiotem stowarzyszonym Google odpowiedzialnym za przetwarzanie danych osobowych i przestrzeganie obowiązujących przepisów chroniących prywatność.

W treści polityki jednak ciągle występuje zapis o Privacy Shield. Brzmi tak:

Ponieważ utrzymujemy serwery na całym świecie, Twoje dane mogą być przetwarzane na serwerach znajdujących się poza Twoim krajem zamieszkania. Przepisy dotyczące ochrony danych są różne w różnych krajach. W niektórych są bardziej restrykcyjne niż w innych. Bez względu na miejsce przetwarzania informacji stosujemy te same zabezpieczenia opisane w tej polityce. Przestrzegamy też pewnych przepisów prawnych dotyczących przesyłania danych, w tym procedur określonych w programach EU-U.S. i Swiss-U.S. Privacy Shield (Tarczy Prywatności UE-USA i Szwajcaria-USA).

I te zapisy dotyczą usług bezpłatnych.

Zmiany zaszły w usłudze GSuite (płatnej), w której jest możliwość zawarcia umowy powierzenia przetwarzania danych. W umowie dokonano zmian na standardowe klauzule umowne.

Co zrobił Facebook?

W polityce prywatności Facebooka nadal znajdują się się zapisy o Tarczy Prywatności. Mimo faktu, że data ostatniej aktualizacji to 21 sierpnia 2020 r.

Co ma zrobić mały biznes?

Tutaj odpowiem bardzo szybko, bo działań, które powinieneś podjąć jest kilka, ale są dosyć istotne:

1. Sprawdzić, z jakich narzędzi korzystasz
2. Czy podmioty, które te narzędzia oferują wysyłają dane do USA
3. Co znajduje się w ich polityce prywatności?
4. Czy masz z nimi podpisane umowy powierzenia przetwarzania danych osobowych?
5. Na jakiej podstawie prawnej możesz nadal przekazywać do nich dane?

Zaktualizuj swoją politykę prywatności

Gdy już to wszystko sprawdzisz przejdź do najważniejszego – ZAKTUALIZUJ SWOJĄ POLITYKĘ PRYWATNOŚCI!

• Usuń z niej zapisy o Tarczy prywatności, jeśli się tam znalazły (a wcześniej powinny)
• Dodaj zapis dotyczące odpowiedniej ochrony, jaką gwarantują teraz te podmioty, ale na innej podstawie prawnej (w przypadku Google – standardowe klauzule umowne).

W sklepie prawnym #Legalny Biznes Online znajdziesz wzór polityki prywatności oraz pakiety, które już są zaktualizowane o nowe zapisy.

Co jeszcze należy zrobić?

• zaktualizować swój rejestr czynności przetwarzania (dokumentacja wewnętrzna firmy)
• zaktualizować klauzule informacyjne stosowane do tej pory
• zmienić zapisy w innych miejscach czy umowach, gdzie występowała Tarcza Prywatności.

Klienci, którzy zakupili wzory w moim sklepie otrzymają aktualizacje bezpłatnie na adres e-mail, który wykorzystali do zakupu.

Daj znać w komentarzu, jak poradziłeś sobie z tym zagadnieniem.

Wszystkiego Legalnego!

Ilona Przetacznik

Stan prawny na dzień 7.09.2020 r.