[Wideo] Koniec Safe Harbour – nie wysyłaj bazy mailingowej do USA!
Powrót do listy wpisówJeśli byłeś na Mail My Day 2016, to pewnie wiesz już, że od 2016 roku przesyłanie danych osobowych do USA lub innych krajów spoza Unii Europejskiej jest z prawnego punktu widzenia dość ryzykowne.
Okazuje się, że temat wzbudza dyskusje i kontrowersje, dlatego poniżej wyjaśniamy tę kwestię dokładniej.
Dlaczego wypłynęliśmy z Safe Harbour?
Dowiedz się czym ryzykujesz, przesyłając dane osobowe swoich klientów do USA. Dlaczego porozumienie Safe Harbor straciło rację bytu i co to oznacza dla e-marketerów.
W 2015 roku Trybunał Sprawiedliwości UE wydał wyrok, którym unieważnił tzw. porozumienie Safe Harbour. Od stycznia 2016 roku nie jest więc już możliwe legalne przekazywanie danych osobowych do firm amerykańskich (a także na serwery), wyłącznie na podstawie ich deklaracji o zapewnieniu odpowiedniego stopnia ochrony danych osobowych.
Wycieki Snowdena pokazały bowiem, że takie deklaracje nie mają w ogóle pokrycia w amerykańskiej rzeczywistości. Amerykańskie prawo i tamtejsze urzędy mają naszą prywatność w mniejszym poważaniu.
Wymieniony wyżej wyrok zapadł na skutek skargi Maximilliana Schrems’a, młodego austriackiego prawnika, złożonej przeciwko właścicielom Facebook’a. Schrems twierdził, że deklaracje firm amerykańskich o tym, iż chronią one jego dane osobowe tak samo, jak podmioty europejskie, są iluzoryczne.
Przeciętny Europejczyk nie ma przecież żadnych praktycznych możliwości sprawdzenia, w jaki sposób postępuje się z jego danymi na innym kontynencie. Trybunał UE przyznał Schremsowi rację, a w organach Unii Europejskiej zawrzało. Od kilku miesięcy toczą się gorące dyskusje i tworzone jest nowe prawo, które ma ostatecznie uporządkować przepływ danych wędrujących światłowodami pod dnem Atlantyku.
A jak jest obecnie? Czy możesz legalnie korzystać np. z amerykańskiego systemu do e-mail marketingu?
Ratunek od zmian w Safe Harbour w standardowych klauzulach
Wiele osób propaguje opinię, że obecnie można nadal legalnie używać amerykańskich systemów przetwarzających dane osobowe (w tym systemów mailingowych), jeśli z firmą oferującą takie usługi podpiszemy tzw. Standardowe Klauzule Umowne. Z pozoru jest to dobre rozwiązanie, ponieważ rzeczywiście nadal obowiązują jeszcze unijne i polskie przepisy mówiące, że podpisanie takich standardowych klauzul uważane jest za zapewnienie odpowiedniego poziomu ochrony danych i wtedy nie jest wymagana zgoda GIODO na przekazywanie danych do USA.
Dlaczego naszym zdaniem to pozory? Ponieważ przepisy tak naprawdę nie mówią „podpisz klauzulę i masz problem z głowy”. Domyślamy się, że najpewniej nie lubisz czytać paragrafów i prawa, ale może jednak skusisz się na zagadkę logiczną?
Według art. 48 polskiej ustawy zgoda Giodo na przesył danych do USA nie jest wymagana, jeśli administrator danych „zapewni odpowiedni (taki sam jak w prawie polskim) poziom ochrony”. Może to zrobić poprzez podpisanie standardowych klauzul. Problem w tym, że standardowa klauzula dotycząca powierzania danych brzmi (upraszczamy nieco oryginalną treść):
Podmiot przekazujący dane [czyli Ty, jeśli przekazujesz bazę odbiorów swojego newsletter’a] gwarantuje, że przetwarzanie danych będzie się odbywało zgodnie z przepisami właściwego [czyli polskiego i unijnego] prawa o ochronie danych oraz bez naruszenia przepisów tego państwa.
Pomyśl teraz logicznie: czy podpisując Standardową Klauzulę rzeczywiście „zapewniłeś odpowiedni poziom ochrony”, o którym mowa z art. 48 polskiej ustawy? Nie, ponieważ Klauzula wymaga, byś to Ty zagwarantował, że Twój amerykański kontrahent będzie przestrzegał unijnego prawa (sic!).
Błędne koło? Wygląda na to, że tak. Konkluzja? To Twoim nadrzędnym obowiązkiem jest wykazanie bezpieczeństwa danych. Nie zapewnisz sobie tego skanem podpisu, czy innym kawałkiem papieru. Ochrona danych musi być realna. U Twojego pozaeuropejskiego kontrahenta ma być taka sama jak w Polsce.
Zgodnie z polskim prawem (art. 31 ustawy), jeżeli powierzasz przetwarzanie danych (np. w systemie email marketingowym), to nadal Ty jesteś administratorem danych i nadal ponosisz odpowiedzialność przed GIODO. Czy więc uważasz, że podpisując cokolwiek z firmą na drugim końcu świata, której przedstawicieli nigdy nie widziałeś na oczy, cokolwiek rzeczywiście gwarantujesz obiorcom swojego newslettera?
Pogłówkuj z nami jeszcze trochę: jeśli Safe Harbour był jednostronną, czyli niemożliwą do weryfikacji z Europy, deklaracją firm amerykańskich o zapewnieniu odpowiedniego stopnia bezpieczeństwa i właśnie dlatego został unieważniony, to czy coś więcej zyskujesz teraz, jeśli Twój amerykański kontrahent przesyła Ci skan podpisu na standardowej klauzuli? Jak myślisz, czy Max Schrems da się tak łatwo zbyć? Raczej nie, ponieważ tak samo jak wcześniej Safe Harbour, tak teraz on kwestionuje standardowe klauzule umowne.
O co cała burza w sprawie Safe Harbour?
Powinieneś też wiedzieć, że 14 kwietnia 2016 roku organy Unii Europejskiej przyjęły nowe prawo (tzw. rozporządzenie ogólne) dotyczące ochrony danych osobowych. Będzie ono obowiązywało w Polsce od 2018 roku. Dlaczego powinno Cię to zainteresować? Ponieważ nowe rozporządzenie znacząco zmieni reguły od lat obowiązujące w Polsce, do których być może już zdążyłeś się przyzwyczaić.
Najważniejsze z Twojego punktu widzenia jest to, że:
- osoba, której dane osobowe są przetwarzane, będzie mogła wnieść skargę do organu nadzorczego, domagając się odszkodowania (obecnie nie ma takiej możliwości, a w razie stwierdzenia naruszeń GIODO w większości przypadków jedynie nakazuje poprawienie procedur – bez nakładania kar);
- administratorowi danych (czyli Tobie) grozić będzie kara finansowa sięgająca aż 4% rocznego obrotu.
Jak widzisz, stawka w kwestii ochrony danych osobowych wzrasta. Nie powinieneś więc dać się zwieść prostym rozwiązaniom, takim jak kliknięcie w standardowe klauzule umowne. Po pierwsze, musisz na bieżąco śledzić, czy w ogóle będą one jeszcze obowiązywały (co bardzo wątpliwe w świetle obecnych działań Unii Europejskiej, zmierzających do zastąpienia Safe Harbor czymś nowym).
Po drugie, pamiętaj, że standardowa klauzula umowna zobowiązuje Ciebie do zagwarantowania, że Twój amerykański kontrahent stosuje się do wymogów prawa polskiego. Czy jesteś pewien, że firma, której powierzasz jeden ze swoich najcenniejszych zasobów - bazę mailingową - zna dokładnie nasze paragrafy? Czy założyłbyś się o to, wykładając na stół 4% swoich rocznych obrotów?
Jeśli nie, proponujemy pozostać przy krajowych, sprawdzonych rozwiązaniach.