Nowa rzeczywistość przetwarzania danych po wyroku Schrems II

Data dodania:

Od dnia wydania przez TSUE wyroku w sprawie C-311/18 transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną przetwarzania danych. Jakie kroki powinni podjąć przedsiębiorcy unijni po wyroku w sprawie Schrems II?

Wyrokiem z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie C-311/18 (Data Protection Commissioner/Maximilian Schrems i Facebook Ireland – dalej Schrems II), stwierdził nieważność decyzji Komisji Unii Europejskiej (dalej: Komisja EU) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA (eng. Privacy Shield). Jednocześnie Trybunał utrzymał w mocy decyzję Komisji EU nr 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich. Sprawa jest kontynuacją sporu toczącego się pomiędzy Maximilianem Schremsem, Facebook Ireland Ltd. i irlandzkim organem ds. ochrony danych osobowych, uprzednio rozstrzyganego przez TSUE (C 362/14 – tzw. Schrems I).

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:


• Stwierdzenie nieważności decyzji w sprawie Tarczy Prywatności,
• Klauzule modelowe zostały utrzymane w mocy (warunek: administratorzy danych powinni dokonać oceny obejmującej postanowienia uzgodnione między eksporterami i importerami danych, ale również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych osobowych,
• Natychmiastowy skutek wyroku.

Skutki wyroku TSUE w sprawie Schrems II

Wyrok TSUE z dnia 16 lipca 2020 r. przekreślił dotychczasowe zasady transferu danych osobowych z terenu Unii Europejskiej do Stanów Zjednoczonych, wykonywanych na podstawie decyzji Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield). Przyczyną stwierdzenia nieważności Tarczy Prywatności były przepisy prawa obowiązujące w Stanach Zjednoczonych. System prawny i praktyka uprawniają agencje wywiadowcze, w tym FBI, do niemal hurtowego gromadzenia danych osobowych w ramach programów szpiegujących PRISM i Upstream. Trybunał, uzasadniając swoje stanowisko, wskazał, że w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Unii Europejskiej ochrony na poziomie odpowiadającym wymogom RODO i Karty Praw Podstawowych. Obywatele UE nie mają też możliwości skutecznego dochodzenia swoich praw przed organami w USA.

Orzeczenie ma kluczowe znaczenie dla podmiotów działających w sektorze publicznym i prywatnym, które wykorzystują do codziennej działalności nowoczesne narzędzia IT. Trudno wyobrazić sobie prowadzenie większego lub mniejszego biznesu, czy działalności instytucji publicznej bez wsparcia usług chmurowych świadczonych za pośrednictwem: poczty elektronicznej, aplikacji do komunikacji, czy narzędzi do analizy statystyk serwisów www. Nie wspominając już o kontakcie z klientem za pośrednictwem mediów społecznościowych

Inna podstawa prawna czy wstrzymanie transferu danych?

Wszystkie podmioty, które dotychczas przekazywały dane osobowe w ramach współpracy transatlantyckiej (np. procesorom, spółce matce) powinny szybko znaleźć inną podstawę prawną przetwarzania danych. Co prawda, przepisy rozdziału V RODO przewidują inne możliwości legalizacji transferu danych, jednak w praktyce nie jest już takie proste zalegalizowanie transgranicznego przetwarzania na innej podstawie niż decyzja Komisji Europejskiej lub modelowe klauzule umowne. Dużo trudniej jest uzyskać wyraźną zgodę na transfer lub oczekiwać na zatwierdzenie ze strony organu nadzorczego. Jeżeli nie jest możliwe zastąpienie postanowień obalonej Tarczy Prywatności to administratorzy danych użytkowników z terenu Unii Europejskiej powinni czasowo wstrzymać wykonywanie transferu danych do USA.

Standardowe klauzule umowne

Legalizacji transferu można dokonać poprzez zastosowanie modelowych klauzul umownych określonych w decyzji Komisji nr 2010/87/UE, a których ważność potwierdził Trybunał w wydanym orzeczeniu.

Czym są standardowe klauzule modelowe (eng. Standard Contractual Clauses)? Standardowe klauzule modelowe to wzór umowy ustalony przez Komisję Europejską, w drodze decyzji, w celu zapewnienia poziomu ochrony danych osobowych zgodnych z RODO. Europejski Trybunał, w swoim orzeczeniu, nie podważył legalności standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO i Karty Praw Podstawowych. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa do danych na podstawie odpowiednich przepisów prawa krajowego.

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:

  • Wymagana analiza systemu państwa trzeciego,
  • Udzielenie w razie potrzeby dodatkowych zabezpieczeń w stosunku do tych zapewnionych w klauzulach,
  • Konieczność zawieszenia lub zakończenia transferu danych, w przypadku, gdy prawo państwa trzeciego nakłada na podmioty pochodzące z Unii zobowiązania, które pozostają w sprzeczności z klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie.

Transfery danych do USA po wyroku TSUE z dnia 16 lipca 2020 r.

Wyrok w sprawie Schrems II, wprowadził istotny element ryzyka związany z wykonywaniem transferów danych osobowych do Stanów Zjednoczonych. Już uzasadnienie wyroku TSUE z dnia 16 lipca 2020 r. zawiera krytyczną ocenę amerykańskiego systemu prawnego, pozwalającego na hurtowe gromadzenie danych osobowych przez amerykańskie agencje wywiadowcze bez względu na cel ich przetwarzania. Jakie są konsekwencje takiej oceny prawnej wyrażonej przez Trybunał? Wydaje się, że należy rozważyć wstrzymanie pewnych rodzajów transferów wykonywanych na podstawie klauzul umownych np. związanych z działalnością firm telekomunikacyjnych, jako podmiotów najbardziej narażonych na inwigilację ze strony amerykańskich służb. W określonych przypadkach umowne klauzule nie zapewnią optymalnego poziomu ochrony danych, bo przepisy prawa obowiązujące na terenie Stanów Zjednoczonych zezwalają na ingerowanie w prawa podmiotów danych, co stanowi naruszenie RODO.

Jakie kroki powinni podjąć administratorzy danych?

Od dnia wydania wyroku przez TSUE transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną legalizującą transfer danych przez Atlantyk. Jednocześnie przedsiębiorcy unijni powinni poczekać systemowe rozwiązania w sprawie przekazywania danych między Unią Europejską, a Stanami Zjednoczonymi. Należy również uważnie śledzić interpretacje urzędowe krajowych i wspólnotowych organów nadzoru, które pojawią się po obaleniu Tarczy Prywatności.
W pierwszej kolejności należy sprawdzić, które z używanych w firmie rozwiązań wiążą się z transferem danych do Stanów Zjednoczonych. Podejmujemy działania tylko w przypadku występowania transgranicznych transferów za Atlantyk. Następnie należy ustalić z podmiotami z jakich krajów zawarto standardowe klauzule umowne. Jeżeli dane osobowe były przetwarzane w ramach Tarczy Prywatności, to niezbędna będzie aktualizacja klauzul informacyjnych w części dotyczącej „informacji o transferach” i zmiana podstawy prawnej np. zastosowanie standardowych klauzul umownych. W innym przypadku należy poszukać takich usług lub nawiązać taką współpracę z kontrahentami oferującymi przetwarzanie danych osobowych na terenie Unii Europejskiej.

Więcej: nieoficjalne tłumaczenie dokumentu EROD w sprawie wyroku Schrems II https://uodo.gov.pl/pl/138/1614