LexDigital

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

Co w praktyce oznacza wyrok?

Przestała istnieć główna podstawa prawna do przesyłania danych z UE, czyli „Privacy Shield”. Obecnie „Privacy Shield”, jest główną podstawą prawną do transferu danych przez tysiące innych firm (w tym przez Facebook). Teraz, po stwierdzeniu nieważności Tarczy wiele przedsiębiorstw będzie musiało znaleźć inny sposób na legalizację tego przesyłu np. w oparciu o tzw. standardowe klauzule umowne.

Na jakiego rodzaju podmioty wpływa wyrok? Wyrok ma wpływ na wszystkie firmy mające siedzibę w UE, a współpracujące z amerykańskimi partnerami np. posiadające serwery w USA.

Jakie działania należy podjąć?

1. Wybór podstawy prawnej transferu

Jeżeli do transferu danych do USA wykorzystywaliśmy decyzję stwierdzającą odpowiedni poziom ochrony w postaci Privacy Shield musimy wybrać i wdrożyć jedno z następujących rozwiązań:

Standardowe klauzule ochrony danych – są to standardowe klauzule umowne przyjęte przez Komisję Europejską lub przez organ nadzorczy i zatwierdzone przez Komisję Europejską. Wiążące reguły korporacyjne – są to reguły tworzone na potrzeby konkretnej grupy spółek, w której ustalone są zasady transferu danych, zatwierdzone przez organ nadzorczy.

Zatwierdzone kodeksy postępowania – są to kodeksy postępowania opracowane przez zrzeszenia i inne podmioty reprezentujące określone grupy przedsiębiorców. Kodeks postępowania może być uznany za odpowiednie zabezpieczenie dopiero po zatwierdzeniu jego treści przez właściwy organ nadzorczy. Na ten moment w Polsce żaden ze zgłoszonych kodeksów nie został formalnie zatwierdzony przez PUODO.

Zatwierdzony mechanizm certyfikacji – jest to możliwość uzyskania przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności z RODO.

W obecnej sytuacji prawnej najbardziej efektywną drogą zalegalizowania transferu do USA będzie podpisanie standardowych klauzul umownych. Klauzule te powinny zostać zawarte w umowie z odbiorcą danych.

2. Aktualizacja Polityki prywatności i Polityki cookies na stronach internetowych

Tak jak w przypadku obowiązków informacyjnych treści, które udostępniamy na naszych stronach internetowych mogą zawierać informacje o wykorzystaniu Privacy Shield jako mechanizmu bezpiecznego udostępnienia danych. Należy pamiętać o aktualizacji tych zapisów.

3. Zmiany w obowiązkach informacyjnych.

Obowiązkiem Administratora jest wskazanie w obowiązku informacyjnym czy dane osobowe podmiotu będą przekazywane poza EOG. Jeżeli tak, musi on przedstawić osobie, której dane przetwarza miejsce, do którego dane będą przekazane. A więc, jeżeli wskazujemy w obowiązku informacyjnym, że dane są przekazywane do USA na podstawie Privacy Shield, będzie to równoznaczne z koniecznością zmiany zapisów w klauzulach infrmacyjnych.

4. Aktualizacja Rejestru Czynności Przetwarzania oraz Rejestru Kategorii Przetwarzania

W RCP i RKCP wskazujemy czy w danym procesie przetwarzania dochodzi do transferu danych do Państw trzecich, jeżeli tak musimy udokumentować z jakich zabezpieczeń korzystamy. Będzie to kolejne miejsce w dokumentacji ochrony danych osobowych, które należy zaktualizować.

5. Zmiany w obowiązkach informacyjnych.

Obowiązkiem Administratora jest wskazanie w obowiązku informacyjnym czy dane osobowe podmiotu będą przekazywane poza EOG. Jeżeli tak, musi on przedstawić osobie, której dane przetwarza miejsce, do którego dane będą przekazane. A więc, jeżeli wskazujemy w obowiązku informacyjnym, że dane są przekazywane do USA na podstawie Privacy Shield, będzie to równoznaczne z koniecznością zmiany zapisów w klauzulach infrmacyjnych.

6. Przegląd analizy ryzyka procesów przetwarzania (w tym DPIA)

Podczas wykonywania analizy ryzyka w procesach przetwarzania danych osobowych istotną kwestią jest element transferu danych do Państw trzecich. Zmiana mechanizmu zabezpieczenia może wpłynąć na ostateczny wynik analizy, a co za tym idzie na rekomendowane działania minimalizujące ryzyko.

Polecane

4 lata RODO

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

Testy penetracyjne w perspektywie RODO

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP