Zasady Safe Harbor

Soje Harbor składa się z siedmiu zasad podstawowych oraz piętnastu często zadawanych pytań (FAQ), wyjaśniających podstawowe wątpliwości odnośnie do zasad posługiwania się Saje Harbor. Jak wspomniano, jest to dość szczególne rozwiązanie, polegające na utworzeniu kodeksu postępowania, do którego można przystąpić dobrowolnie. Przystąpienie do warunków gwarantuje wzruszalne domniemanie adekwatnej ochrony danych osobowych. W rozwiązaniu tym można dostrzec analogie do rozwiązań stosowanych przy osiąganiu standaryzacji technicznej, ponieważ podobnie jak przy normach technicznych, przedsiębiorca przyjmuje pewien standard, deklaruje to publicznie i cieszy się domniemaniem zgodności z normą techniczną. Podobnie tutaj, przedsiębiorcy amerykańscy, którzy dobrowolnie przystępują do Safe Harbor, są objęci skutkami decyzji Komisji uznającej adekwatność ochrony. Przedsiębiorstwo, które decyduje się na przyjęcie zasad, zostaje wpisane na listę prowadzoną przez Departament Handlu23, przy czym wpis podlega aktualizacji co dwanaście miesięcy, oraz jest zobowiązane do publicznego ogłaszania swojej przynależności do Safe Harbor (powinno się to znaleźć w tzw. published privacy policy statement). Przedsiębiorstwo takie musi również zapewnić możliwość weryfikacji przestrzegania zasad oraz poinformować o środkach odwoławczych i zaradczych w sytuacji, gdy osoba, której dane dotyczą, zgłasza zastrzeżenia. Jak wspomniano, przedsiębiorstwa przystępując do Safe Harbor muszą przestrzegać siedmiu zasad:

– 1) zasada informacji (notice) – organizacja lub przedsiębiorstwo musi informować o celach gromadzenia i wykorzystywania informacji, umożliwić kontakt w przypadku skarg lub zastrzeżeń, poinformować jakim podmiotom trzecim informacja będzie przekazywana, umożliwić ograniczenie dostępu lub wykorzystywania danych

– 2) zasada wyboru (choice) – podmiot uzyskujący dane osobowe, musi umożliwić osobie, której dane dotyczą, dokonanie wyboru, czy chce, by jej dane zostały udostępnione osobom trzecim, oraz czy zgadza się na to, by jej dane zostały wykorzystane w celach innych niż te, dla których zostały zebrane (możliwość opt-out). Dla przekazywania danych szczególnych (np., dotyczących zdrowia, rasy, pochodzenia itp.) wymagana jest wyraźna zgoda osoby, której dane dotyczą (opt-in)

– 3) zasada dalszego przekazywania (onward transfer) – jeżeli, przy zachowaniu obu wyżej wymienionych zasad, podmiot posiadający dane osobowe może je przekazać podmiotowi trzeciemu, musi się najpierw upewnić, iż ten podmiot również gwarantuje odpowiedni poziom ochrony tych danych osobowych. Jeżeli tak nie jest, podmiot przekazujący dane naraża się na odpowiedzialność za nieodpowiednie wykorzystanie danych osobowych, popełnione przez podmiot trzeci, któremu dane zostały przekazane

– 4) zasada bezpieczeństwa (security) – podmiot gromadzący, przechowujący lub wykorzystujący dane osobowe musi zapewnić, iż nie zostaną one utracone, nieodpowiednio wykorzystane, nie będę dostępne dla osób nieuprawnionych, nie będą ujawniane, zmieniane lub niszczone

– 5) zasada zachowywania integralności danych (data integńty) – nie można przetwarzać danych w sposób niezgodny z celem, dla jakiego dane zostały zebrane

– 6) zasada dostępu do danych (ticcess) – osoba, której dane dotyczą, winna mieć możliwość dostępu do tych danych, tak by móc je poprawić, zmienić lub usunąć, jeżeli nie odpowiadają prawdzie, chyba że koszty zagwarantowania takiego dostępu byłyby nieproporcjonalne do zagrożeń prywatności

– 7) zasada kontroli i możliwości odwołania (enforcement) – muszą istnieć środki gwarantujące możliwość wyegzekwowania zgodności z wyżej wymienionymi zasadami.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>