Poznań: + 48 61 22 23 997        Warszawa: + 48 22 506 52 42
Sommerrey & Partners Sommerrey & Partners
   Powrót do wszystkich artykułów

Transfer danych do USA w świetle wyroku z dnia 16 lipca 2020 r. w sprawie Privacy Shield.

W ostatnich miesiącach tematem powszechnym w opinii publicznej był wyrok Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie tzw. Tarczy Prywatności (dalej także: Privacy Shield). Czym jest Privacy Shield? Czego dotyczyło postępowanie? Jakie orzeczenie zostało wydane i jakie będą jego skutki dla administratorów danych? Jak dokonywać transferu danych poza Unię Europejską zgodnie z RODO ? Na te i inne pytania w tym zakresie znajdą Państwo odpowiedź w treści poniższego artykułu.

31 sierpnia 2020

W ostatnich miesiącach tematem powszechnym w opinii publicznej był wyrok Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie tzw. Tarczy Prywatności (dalej także: Privacy Shield). Czym jest Privacy Shield? Czego dotyczyło postępowanie? Jakie orzeczenie zostało wydane i jakie będą jego skutki dla administratorów danych? Jak dokonywać transferu danych poza Unię Europejską zgodnie z RODO[1]? Na te i inne pytania w tym zakresie znajdą Państwo odpowiedź w treści poniższego artykułu.

W dniu 16 lipca 2020 r. TSUE wydał w trybie prejudycjalnym orzeczenie w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximilian Schrems, prowadzonej pod sygnaturą C-311/18. Zgodnie z sentencją ww. wyroku „decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA jest nieważna” (zwana dalej: decyzją ws. Tarczy Prywatności).

Tarcza prywatności – rys historyczny

Decyzja ws. Tarczy Prywatności została podjęta w związku z uchyleniem przez TSUE (wyrok z dnia 6 października 2015 r. w sprawie o sygn. akt C‑362/14) decyzji w sprawie tzw. Bezpiecznej Przystani (z ang. Safe Harbour). Została ona jednak zakwestionowana przez Maximiliana Schremsa, który wykazał przed TSUE, że krajowe przepisy USA nie zapewniają odpowiedniego poziomu bezpieczeństwa danym osobowym, gdyż niemal nieograniczony dostęp do takich danych mają organy ścigania funkcjonujące w tym państwie, takie jak Federalne Biuro Śledcze, Centralna Agencja Wywiadowcza i inne. Trybunał podzielił stanowisko Schremsa i uznał tę decyzję Komisji za nieważną. W związku z tym, Komisja podjęła starania mające na celu zalegalizowanie transferu danych osobowych do USA i wydała decyzję ws. Tarczy Prywatności, która również została zakwestionowana przez Maximiliana Schremsa. Argumentacja opierała się na niemal identycznych podstawach, a mianowicie, że Stany Zjednoczone Ameryki nie zapewniają odpowiedniego poziomu bezpieczeństwa i ochrony danych osobowych. Trybunał ponownie podzielił stanowisko M. Schremsa i orzekł nieważność ww. decyzji.

Transfer danych osobowych do państw trzecich

Zgodnie z zasadą wyrażoną w art. 44 i n. RODO, przekazywanie przez administratorów danych osobowych do państw trzecich – czyli krajów spoza Unii Europejskiej i Europejskiego Obszaru Gospodarczego – jest możliwe wyłącznie po spełnieniu jednej z poniższych przesłanek:

  1. wobec kraju, do którego ma nastąpić przekazanie danych osobowych Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez przepisy tego kraju (art. 45 RODO);
  2. administrator lub podmiot przetwarzający zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Do takich zabezpieczeń należą m.in. standardowe klauzule umowne między administratorem lub podmiotem przetwarzającym pod warunkiem uzyskania zezwolenia organu nadzorczego (art. 46-47 RODO),

W razie braku ww. decyzji Komisji Europejskiej bądź odpowiednich zabezpieczeń zapewnianych przez administratora możliwe jest jednokrotne lub wielokrotne przekazywanie danych osobowych do takiego kraju, lecz jedynie w określonych przez art. 49 RODO wyjątkowych sytuacjach. Tego rodzaju transfer pozostaje jednak poza zainteresowaniem przedmiotu niniejszego artykułu.

Taką decyzją, stwierdzającą odpowiedni poziom ochrony, była właśnie decyzja Komisji ws. Tarczy Prywatności. Zgodnie z nią przekazywanie przez administratorów danych osobowych do podmiotów mających swoją siedzibę na terenie Stanów Zjednoczonych Ameryki jest zgodne z przepisami pod warunkiem, że podmiot ten dokonał samocertyfikacji w rozumieniu ww. decyzji. Taki stan powodował zalegalizowanie przesyłania do tego państwa danych osobowych, dotyczyło to m.in. takich podmiotów jak Google, Facebook, Microsoft etc. Tymczasem, zgodnie z ww. wyrokiem TSUE, decyzja Komisji ws. Tarczy Prywatności jest nieważna, co oznacza że dalsze przesyłanie danych osobowych w oparciu o tę przesłankę jest niezgodne z przepisami dotyczącymi ochrony danych osobowych wynikających z RODO oraz z Karty Praw Podstawowych.

Warto zaznaczyć, że TSUE nie wskazał żadnego okresu przejściowego w którym taki transfer będzie tymczasowo zalegalizowany, np. do momentu wydania nowej decyzji przez Komisję. Zgodnie z sentencją wyroku decyzja jest nieważna od dnia 16 lipca 2020 r., co oznacza że wszyscy administratorzy, powinni znaleźć inną podstawę przekazywania danych do USA, takich jak np. standardowe klauzule umowne (art. 46 RODO) czy też wiążące reguły korporacyjne. Niemniej jednak wskazać należy, że w każdym wypadku administrator powinien jednak dokonać oceny czy zastosowane przez niego zabezpieczenia będą gwarantowały, że amerykańskie prawo nie będzie wpływało niekorzystnie na odpowiedni poziom ochrony zagwarantowanej przez te środki ochrony. Jest to o tyle istotne, że w przypadku gdyby administrator doszedł do wniosku, że nie jest w stanie tego zagwarantować, powinien zawiesić lub wstrzymać przesyłanie danych do podmiotów mających swoją siedzibę na terenie USA. W przypadku dalszego transferu, pomimo braku podstawy do takiego działania, administrator naraża się nie tylko na kontrolę organu nadzorczego, ale również na karę administracyjną w wysokości nawet do 20 milionów euro bądź w przypadku przedsiębiorstwa – w wysokości 4% jego całkowitego rocznego światowego obrotu, przy czym zastosowanie ma kwota wyższa.

Na marginesie warto jednak wskazać, że w niektórych sytuacjach znaleźć mogą zastosowanie normy wyrażone w art. 49 RODO przewidujące szczególne podstawy do transferu danych poza Europejski Obszar Gospodarczy. Są to jednak wyjątki, a zgodnie z zasadą nieinterpretowania wyjątków rozszerzająco, nie jest możliwe uznanie, że w każdej sytuacji znajdą one zastosowanie. Szczegółowe rozważania na temat możliwości zastosowania wyjątków z art. 49 RODO przedstawiła w swoim stanowisku z 23 lipca 2020 r. Europejska Rada Ochrony Danych, zrzeszająca organy nadzorcze państw członkowskich. Możecie się z nim Państwo zapoznać tutaj , gdzie dostępna jest również polska wersja, lecz nie jest to tłumaczenie oficjalne. Z tej też przyczyny zalecamy lekturę w języku angielskim.

Przetwarzam dane do USA – co zrobić?

W takiej sytuacji administrator powinien zweryfikować na jakiej podstawie dokonuje transferu danych do USA. Jeżeli dotychczas odbywało się to w oparciu o Tarczę Prywatności, w takim wypadku należy jak najszybciej podjąć rozmowy z kontrahentami ze Stanów Zjednoczonych Ameryki w celu zastosowania innych środków ochrony danych osobowych, takich jak standardowe klauzule umowne czy też wiążące reguły korporacyjne. Wskazać jednak należy, że w przypadku, gdy administrator korzysta z usług takich podmiotów jak Google, Facebook czy Microsoft i inne, zawarcie stosownego porozumienia może być wysoce utrudnione lub wręcz uniemożliwione. W takiej sytuacji, zgodnie z przepisami RODO administrator powinien zawiesić bądź wstrzymać przesyłanie danych do tego kraju.

Należy także zwrócić uwagę, że w najbliższym czasie nie są wykluczone wzmożone kontrole PUODO w tym zakresie oraz wydawanie przez organ nadzorczy decyzji nakazujących zawieszenie tego typu transferu.

Niemniej jednak, Prezes Urzędu Ochrony Danych Osobowych, w swoim komunikacie z dnia 20 lipca 2020 r. podkreślił, że do oceny konsekwencji wyroku w sprawie C-311/18 i jego skutków należy podejść spójnie i konsekwentnie. W tym celu Europejska Rada Ochrony Danych wraz z Europejskim Inspektorem Ochrony Danych współpracują w zakresie wypracowania jednolitego stanowiska oraz wytycznych dla administratorów i podmiotów przetwarzających. Dlatego też zachęcamy do śledzenia stron PUODO , EROD oraz EIOD.

Z pełną treścią wyroku możecie się Państwo zapoznać pod adresem: LINK.

Jako Kancelaria zajmująca się również wspieraniem administratorów danych osobowych w zakresie przetwarzanych przez nich danych, zalecamy w obecnej sytuacji ponowne przeanalizowanie sposobu, charakteru, kontekstu i celu procesów przetwarzania danych osobowych w ramach prowadzonej przez Państwa organizacji, a w szczególności zwrócenie uwagi na procesy, w których dochodzi do transferu danych do państw trzecich, w tym do USA.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego: RODO



Może Cię zainteresować również:
Odpowiedzialność podmiotów zbiorowych – co warto wiedzieć?
Odpowiedzialność za niezłożenie sprawozdania finansowego w terminie
Przepisy przejściowe dotyczące przedawnienia

Kontakt z ekspertem
×

Jeśli potrzebujesz wsparcia ekspertów, wypełnij poniższy formularz kontaktowy

Zobacz wszystkich ekspertów
pl   en