Zainteresowanym tematem transgranicznego przepływu danych do tzw. państwa trzeciego wyjaśniamy, że Tarcza Prywatności to narzędzie, które ma stanowić podstawę przekazywania danych osobowych do USA, wynikającą z art. 47 ust. 1 ustawy o ochronie danych osobowych.
Zgodnie z tą przesłanką przekazywanie danych osobowych do państwa trzeciego (w przypadku Tarczy Prywatności – do USA), może nastąpić, jeżeli to państwo zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Adekwatność poziomu ochrony deklarowanego przez kraj docelowy (USA) jest zatwierdzana w drodze decyzji Komisji Europejskiej. Poprzednia decyzja, która uznawała program Bezpiecznej Przystani (Safe Harbour), za podstawę istnienia odpowiedniego poziomu ochrony (tj. decyzja KE z dnia z dnia 26 lipca 2000 r.), została unieważniona przez Trybunał Sprawiedliwości UE w październiku 2015 r. w wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14). Przez kolejne miesiące, a konkretnie do 2 lutego 2016 r., pracowano nad nowym rozwiązaniem. Wspomnianego dnia Komisja Europejska poinformowała o zakończeniu negocjacji z USA w sprawie nowego mechanizmu transgranicznego przepływu danych, na nowych zasadach, zwanego Tarczą Prywatności.
Tak jak w przypadku Safe Harbour, aby ten mechanizm mógł być uznany za adekwatny do poziomu ochrony danych osobowych obowiązującego w UE, musi być zatwierdzony decyzją Komisji Europejskiej. Grupa Robocza art. 29 – organ opiniodawczy, którego członkami są organy ochrony danych osobowych każdego z państw członkowskich UE, zobowiązała Komisję Europejską do przekazania do końca lutego 2016 r. wszystkich dokumentów dotyczących tego nowego mechanizmu (Tarczy Prywatności). Wśród rzeczonych dokumentów znalazł się m. in. projekt decyzji Komisji Europejskiej w sprawie odpowiedniej ochrony danych osobowych (która dotyczy zatwierdzenia mechanizmu Tarczy Prywatności i tym samym daje nam podstawę do transferu danych), zawierającej ustalone zasady prywatności.
12 lipca 2016 r. program Tarczy Prywatności UE-USA został formalnie, w drodze decyzji z tego samego dnia, zaakceptowany przez Komisję Europejską. Również 12 lipca decyzja ta została przekazana państwom członkowskim i Komisja zadeklarowała jej wejście „niezwłocznie w życie”.
Mechanizm Tarczy Prywatności dotyczy wyłącznie sytuacji transferu danych do USA, czyli przesyłania danych na terytorium USA, a sam program dedykowany jest do zalegalizowania relacji z amerykańskimi podmiotami. Dokładniej rzecz ujmując, program ten dotyczy przekazywania danych ze wszystkich krajów Unii Europejskiej (w tym przez polskich administratorów danych) do tych przedsiębiorstw w USA, które przystąpią do programu i przetwarzać będą dane na terytorium USA.
W praktyce polega to na tym, że nowy mechanizm nakłada na amerykańskie spółki przetwarzające dane w USA bardziej restrykcyjne, niż program Safe Harbour, obowiązki dotyczące przetwarzania przez nie danych osobowych w USA. Analogicznie, jak w przypadku Safe Harbour, program ten polega na samocertyfikacji, czyli zadeklarowaniu, że dana amerykańska spółka, chcąc przetwarzać dane w USA, zapewnia gwarancje ochrony adekwatne do tych, obowiązujących w UE i stosuje się do wyznaczonych zasad. Wówczas może być zarejestrowana w jawnym rejestrze członków Tarczy Prywatności, z tym że procedura samocertyfikacji ma się odbywać co roku (tzn. certyfikat ma być odnawiany co rok). Warto doprecyzować, że zasady ochrony danych przyjmowane w ramach Tarczy Prywatności nakładają wymogi nie na nasze polskie Spółki, lecz podmioty amerykańskie, które muszą się do tych zasad dostosować, chcąc uzyskać certyfikat i dokonać rejestracji w programie (posiadać status członka programu Tarczy Prywatności, któremu mogą być dane transferowane).
W praktyce z zainteresowaniem oczekujemy na ruch firm, które dostarczają produkty czy usługi polskim podmiotom, w wyniku czego może dochodzić do transferu danych do USA (np. warto zweryfikować przypadki współpracy chociażby z Microsoft, Facebook, Google, Dropbox). Te spółki, jak i inne amerykańskie, mogą przystępować do programu Tarczy Prywatności. Firmy takie od 1 sierpnia będą mogły wystąpić o certyfikat w Departamencie Handlu USA, jak podano w komunikacie prasowym Komisji Europejskiej z dnia 12 lipca 2016 r. Certyfikat taki, podobnie jak wcześniej w przypadku Bezpieczniej Przystani, będzie potwierdzeniem, że dana spółka ciesząc się wydanym certyfikatem spełnia wymogi bezpieczeństwa zatwierdzone przez Komisję Europejską w ramach Tarczy Prywatności i transfer danych można uznać za spełniający podstawy formalne.