2020-07-20
Koniec Privacy Shield. Co to oznacza dla firm transferujących dane do USA?

privacy shield max schrems Max Schrems po raz kolejny stanął w szranki z Facebookiem. I co ważne – skutecznie. Trybunał Sprawiedliwości orzekł bowiem o nieważności Privacy Shield. Tym samym duża rzesza firm przekazujących dane do USA pozostała bez podstawy prawnej do transferu danych, ale z ważnymi umowami. Co zatem powinny zrobić firmy, aby zapewnić zgodność z RODO?  

Autorką tekstu jest Agnieszka Sagan-Jeżowska

16 lipca 2020 Trybunał Sprawiedliwości UE ogłosił wyrok w sprawie C-311/18, w którym stwierdził nieważność decyzji Komisji Europejskiej ustanawiającej porozumienie Privacy Shield, na mocy którego transfer danych osobowych pomiędzy podmiotami w UE a podmiotami w USA będącymi członkami Privacy Shield mógł być dokonywany tak samo jak pomiędzy podmiotami wewnątrz UE, tj. bez podejmowania dodatkowych działań legalizujących taki transfer.

Uchylenie Privacy Shield oznacza zatem, że w jednej chwili wszyscy, którzy transferują dane do podmiotów z USA w oparciu o Privacy Shield, utracili legalną podstawę do dokonywania tego transferu.

Zgodność transferu danych z RODO

Podstawy prawne do dokonywania transferu do państw trzecich, czyli m.in. do USA, reguluje art. 44 -49 RODO. Jedną z podstaw prawnych jest decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony zapewniany w danym państwie, na danym terytorium, w danym sektorze lub przez określoną organizację międzynarodową. Właśnie tą podstawą była Privacy Shield.

Jednak najczęściej stosowaną podstawą transferu danych do państw trzecich, możliwą do zastosowania wobec każdego państwa, są standardowe klauzule umowne (tzw. „SCC”, z ang. standard contractual clauses), czyli pewnego rodzaju porozumienie dotyczące ochrony transferowanych danych, zawierane przez podmiot transferujący z podmiotem odbierającym dane, przy czym treść tego porozumienia została opracowana i przyjęta przez Komisję Europejską. Tym samym podmiot z UE może zawrzeć z podmiotem z państwa trzeciego SCC do umowy głównej i tym samym zapewnić zgodność transferu danych z RODO (o ile podmiot odbierający zobowiązuje się spełnić wymogi ochrony danych zawarte w SCC).

Tym samym zawarcie SCC jest najłatwiejszym i najskuteczniejszym sposobem zapewnienia zgodności transferu danych do USA w sytuacji, gdy Privacy Shield przestaje obowiązywać. Tak też kilka lat temu podmioty poradziły sobie z podobną sytuacją, gdy również na skutek skargi Maxa Schremsa przeciwko Facebookowi zostało uchylone poprzednie porozumienie – Safe Harbour.

Tym razem jednak sytuacja jest troszkę inna. Trybunał przyjrzał się także SCC jako podstawie prawnej transferu. I – jak to zwykle bywa – w tym zakresie nie ma już tak jednoznacznej odpowiedzi. Trybunał orzekł bowiem, że decyzja Komisji Europejskiej wprowadzająca SCC pozostaje ważna, jednak zwrócił uwagę na fakt, że warunkiem dopuszczalności przekazywania danych do państwa trzeciego jest zapewnienie odpowiedniego stopnia ochrony tych danych, przy czym podmioty biorące udział w transferze danych powinny rozważyć, czy nie tylko one same zapewnią odpowiednią ochronę tych danych, ale także czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie tej ochrony. Tym samym Trybunał nie orzekł nieważności SCC, ale zakwestionował w badanej sprawie możliwość dokonywania transferu danych do USA na podstawie SCC.

Czy to oznacza, że SCC nie mogą być stosowane wobec podmiotów z USA?

Należy pamiętać, że wyrok zapadł w konkretnej sprawie, tj. przeciwko Facebookowi. Przepisy prawa wskazywane przez Trybunał jako nadmiernie ingerujące w prawa i wolności osób fizycznych podlegających RODO to przepisy dotyczące serwisów społecznościowych oraz dostawców Internetu, na mocy których określone organy USA (NSA, FBI, CIA) mają prawo do nadmiernej, niemalże nieograniczonej inwigilacji osób spoza USA.

I o ile przepisy dotyczące serwisów społecznościowych nie mają zastosowania do innych usług świadczonych przez podmioty z USA i można stwierdzić, że nie mają zastosowania do analizy ważności SCC w innych przypadkach, o tyle przepisy USA pozwalające na inwigilację ruchu w Internecie osób spoza USA mają faktyczne zastosowanie do większości usług świadczonych transgranicznie.

Nie oznacza to jednak, że każdy przypadek jest taki sam. O tym, czy SCC można zastosować jako ważną podstawę do transferu danych, powinny decydować zabezpieczenia danych, w szczególności zabezpieczenia ich przesyłu oraz charakter przetwarzania transgranicznego. Rację jednak należy przyznać tym, którzy podnoszą, że teraz każdy przypadek zastosowania SCC do transferu danych do USA będzie z założenia traktowany jako wątpliwy.

Inne podstawy transferu danych

RODO przewiduje również inne podstawy transferu danych, np. wyraźną zgodę osoby, której dane dotyczą, po poinformowaniu jej o ewentualnym ryzyku wynikającym z braku odpowiednich zabezpieczeń. Nie jest to zatem podstawa komfortowa do jej stosowania, a w niektórych przypadkach – niemożliwa.

Podstawą prawną mogą być również m.in. wiążące reguły korporacyjne, zatwierdzony kodeks postępowania, zatwierdzony mechanizm certyfikacji oraz zezwolenie właściwego organu nadzoru. Ponadto, transfer danych może nastąpić również w przypadku, gdy przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem. Fakt dokonywania transferu w celu realizacji umowy musi jednak wynikać z charakteru samego przedmiotu umowy, a nie jedynie z okoliczności dodatkowych, np. z wyboru podwykonawcy przez administratora.

Co zatem robić?

Sytuacja, w której znaleźli się zarówno administratorzy, jak i podmioty przetwarzające dane korzystające z usług podmiotów z USA, jest niekomfortowa. Podmioty te muszą bowiem zapewnić inną podstawę prawną,  jednocześnie możliwość zastosowania SCC stoi pod znakiem zapytania, a inne podstawy prawne wymagają długiego, czasami rocznego lub kilkuletniego przygotowania, procedowania wewnątrz firmy oraz z organem nadzoru i wdrożenia (np. BCR, zatwierdzony kodeks postępowania). Jeszcze inne, jak mechanizmy certyfikacji, są jeszcze przed nami (obecnie nie działa jeszcze mechanizm certyfikacji).

Wyrok Trybunału został dopiero wydany i przed dokonywaniem jakichkolwiek działań warto poczekać na stanowiska organów nadzoru – zarówno polskiego Prezesa UODO, jak i organów nadzoru w innych krajach UE.

W tym czasie na pewno warto zrobić przegląd transferów danych USA (te informacje powinniśmy znaleźć w rejestrze czynności przetwarzania) i ustalić:

  • wstępną analizę ryzyka zastosowania SCC jako podstawy do dokonywania transferu, biorąc pod uwagę charakter przetwarzania oraz stosowane zabezpieczenia;
  • możliwości zastosowania innych podstaw do transferu danych do USA;
  • możliwości przeniesienia danych na terytorium UE (w tym w ramach tego samego podmiotu odbierającego dane, np. dostawcy, ale nawet w przypadku przetwarzania danych w grupie podmiotów czasami jest to łatwiejsze niż podejmowanie innych środków).

Nie zalecamy w tym miejscu analizy możliwości zmiany kontrahentów na kontrahentów z UE, ponieważ nie o to w tym wszystkim chodzi. Trudno jednak oprzeć się konkluzji, że nawet jeśli współpracujemy z dostawcą usług z USA, jeśli jest to możliwe ze względu na charakter tych usług, warto zapewnić lokalizację danych na terenie UE lub państwa trzeciego, którego przepisy lokalne nie wzbudzają tak dużych kontrowersji pod względem prywatności jak te z USA.

Służymy pomocą w dokonaniu analizy Państwa sytuacji w związku z uchyleniem Privacy Sheld i zapewnienia zgodności z RODO transferów danych dokonywanych do USA.

 ***

Zachęcamy też do zapoznania się z komentarzem przygotowanym przez prawników z innych biur Eversheds Sutherland >>

 




Dodaj komentarz
Nick/Pseudonim
WWW
Treść

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


O serwisie

Blog kancelarii Eversheds Sutherlandna którym piszemy o otoczeniu prawnym wytwarzania, sprzedaży, promocji i utylizacji produktów konsumenckich. Omawiamy kierunki zmian w prawie konsumenckim i ich wpływ na biznes m.in. w kontekście "Nowego ładu dla konsumentów" KE. Poruszamy kwestie regulacyjne związane z pełnym cyklem życia produktu - od pomysłu przez wprowadzenie do obrotu, działania promocyjne, dystrybucję, handel międzynarodowy, relacje z konsumentami, w tym sprawy związane z rękojmią, gwarancją i odpowiedzialnością za produkt przez prawo konkurencji, utylizację i recykling produktów oraz zgodność działalności biznesowej z regulacjami i najlepszymi praktykami dotyczącymi ochrony środowiska. Odnosimy się również do zagadnień związanych z prawnymi aspektami doboru marki produktu oraz egzekwowaniem jej skutecznej ochrony. Serwis tworzą prawnicy zespołu Commercial oraz zaproszeni goście.  

O autorach
Bądź na bieżąco

Zapisz się na newsletter. Zostaw nam adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. Do subskrybentów bloga w pierwszej kolejności trafiać będą również przygotowywane przez nas materiały specjalne.


Tagi
UOKiK (6)gry wideo (6)gry komputerowe (6)Koronawirus (6)prawo autorskie (5)
dyrektywa omnibus (5)GameDev (5)sprzedaż online (4)RODO (4)konsumenci (4)COVID-19 (3)sprzedaż detaliczna (3)Dane osobowe (3)sprzedaż konsumencka (3)ochrona własności intelektualnej (3)wyroby medyczne (3)konsument w sieci (3)zbiorowe interesy konsumentów (2)Komisja Europejska (2)domeny (2)gospodarka obiegu zamkniętego (2)środki ochrony indywidualnej (2)ochrona środowiska (2)wprowadzenie do obrotu (2)Pośrednictwo internetowe (2)nieuczciwe praktyki rynkowe (2)Usługi telekomunikacyjne (2)umowy (2)Badania kliniczne (2)piractwo domenowe (2)uprawnienia konsumenckie (2)placówki handlowe i usługowe (2)reklama (2)system kaucyjny (2)prawo konkurencji (2)P2B (2)produkt jednorazowego użytku z tworzyw sztucznych (1)Prawo komunikacji elektronicznej (1)jednoosobowi przedsiębiorcy (1)wyroby akcyzowe (1)aktualizacja oprogramowania (1)kodeks cywilny (1)akcyza (1)Znakowanie (1)naruszenie znaku towarowego (1)substancje niebezpieczne (1)odstąpienie od umowy (1)Produkty lecznicze (1)Rozszerzona odpowiedzialność producenta (1)sklep internetowy (1)Max Schrems (1)Dyrektywa Digital Single Market (1)greenwashing (1)social media (1)zatory płatnicze (1)Nowy ład dla konsumentów (1)internet rzeczy (1)dyrektywa plastikowa (1)sprzęt RTV/AGD (1)Platforma Usług Elektronicznych Skarbowo-Celnych (1)inteligentne urządzenia (1)znaki towarowe (1)Europejska Agencja Chemiczna (1)produkty biobójcze (1)odpowiedzialność za produkt (1)opłata recyklingowa (1)substancje chemiczne w produktach (1)muzyka (1)TSUE (1)zielony ład (1)Privacy shield (1)influencer marketing (1)Marketing bezpośredni (1)
więcej...
Archiwum
2024
Poznaj inne nasze serwisy

Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Przechodzę do serwisu