Po wyroku TSUE z 6 października 2015 r. w sprawie Schrems (C-362/14) bezpieczna przystań nie okazała się być wcale tak bezpieczna i to, co praktycy wiedzieli od lat, nareszcie uzyskało oparcie w orzeczeniu Trybunału Sprawiedliwości. Jednak prawo tak jak i natura nie toleruje pustki i transfer danych osobowych między Unią Europejską a Stanami Zjednoczonymi znalazł się pod opieką nowego pakietu ochronnego tj. Tarczy Prywatności, zatwierdzonej przez Komisję Europejską 12 lipca 2016 r.
Co wiemy po ponad dwóch miesiącach funkcjonowania nowych regulacji i czy Tarcza będzie egidą, która przetrwa próbę czasu?
Wiemy, że nowe założenia, do których zaliczyć możemy między innymi kontrolę podmiotów wpisanych na listę jako członkowie programu i usprawnioną ochronę praw jednostek – w tym z krajów UE – budzą wiele kontrowersji. Z badań przeprowadzonych przez IAPP i EY w corocznym „Annual Privacy Governance Report” na rok 2016 ustalono, że na 600 ankietowanych przedsiębiorców 54% uczestniczy w transferze danych pomiędzy UE a USA, natomiast 50% z tych spełniało wymogi stawiane przez Safe Harbor. Co ciekawe tylko 34% ankietowanych przewidywało dostosowanie się do zasad Privacy Shield. Dla wielu spółek w dalszym ciągu dużo bardziej atrakcyjne są standardowe klauzule (stosowane przez 81%) albo zgoda osoby, której dane dotyczą (36% ankietowanych). Zastanawiający jest fakt, że wśród firm zatrudniających między 25 a 75 tysięcy pracowników 96% stosuje standardowe klauzule, natomiast tylko 26% zamierza implementować Tarczę Prywatności (przy czym 75% tych samych funkcjonowało zgodnie z Safe Harbor).
Mieszane zainteresowanie nowymi regulacjami przekładało się na niski odzew wśród przedsiębiorców. W ciągu pierwszych 2 tygodni, w których Amerykański Departament Handlu akceptował wnioski, tylko 40 uzyskało certyfikację. Z początkiem września certyfikację i wpis uzyskały już 103 spółki, 190 poddawanych było kontroli a kolejne 250 finalizowało przygotowania do uzyskania certyfikacji i wpisu na listę Departamentu Handlu Stanów Zjednoczonych.
Pozytywnie należy odebrać zaangażowanie jednej trzeciej podmiotów wpisanych na listę i wskazanie przez nie europejskich organów ochrony danych osobowych jako odpowiedzialnych w kwestiach skarg na przetwarzanie danych osobowych. Pozwoli to w łatwiejszy sposób dociekać ochrony praw przez osoby, których dane dotyczą.
Ponadto uzyskanie wpisu na listę podmiotów certyfikowanych przez spółki takie jak Microsoft i Google pozwala z większym spokojem patrzeć na przyszłość tego porozumienia. Jednak tylko czas pokaże czy ochrona danych osobowych między UE a USA wyjdzie z tej próby z tarczą czy na tarczy.
