Tag: Transfer danych do USA

Od dnia wydania przez TSUE wyroku w sprawie C-311/18 transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną przetwarzania danych. Jakie kroki powinni podjąć przedsiębiorcy unijni po wyroku w sprawie Schrems II?

Wyrokiem z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie C-311/18 (Data Protection Commissioner/Maximilian Schrems i Facebook Ireland – dalej Schrems II), stwierdził nieważność decyzji Komisji Unii Europejskiej (dalej: Komisja EU) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA (eng. Privacy Shield). Jednocześnie Trybunał utrzymał w mocy decyzję Komisji EU nr 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich. Sprawa jest kontynuacją sporu toczącego się pomiędzy Maximilianem Schremsem, Facebook Ireland Ltd. i irlandzkim organem ds. ochrony danych osobowych, uprzednio rozstrzyganego przez TSUE (C 362/14 – tzw. Schrems I).

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:

• Stwierdzenie nieważności decyzji w sprawie Tarczy Prywatności,
• Klauzule modelowe zostały utrzymane w mocy (warunek: administratorzy danych powinni dokonać oceny obejmującej postanowienia uzgodnione między eksporterami i importerami danych, ale również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych osobowych,
• Natychmiastowy skutek wyroku.

Skutki wyroku TSUE w sprawie Schrems II

Wyrok TSUE z dnia 16 lipca 2020 r. przekreślił dotychczasowe zasady transferu danych osobowych z terenu Unii Europejskiej do Stanów Zjednoczonych, wykonywanych na podstawie decyzji Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield). Przyczyną stwierdzenia nieważności Tarczy Prywatności były przepisy prawa obowiązujące w Stanach Zjednoczonych. System prawny i praktyka uprawniają agencje wywiadowcze, w tym FBI, do niemal hurtowego gromadzenia danych osobowych w ramach programów szpiegujących PRISM i Upstream. Trybunał, uzasadniając swoje stanowisko, wskazał, że w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Unii Europejskiej ochrony na poziomie odpowiadającym wymogom RODO i Karty Praw Podstawowych. Obywatele UE nie mają też możliwości skutecznego dochodzenia swoich praw przed organami w USA.

Orzeczenie ma kluczowe znaczenie dla podmiotów działających w sektorze publicznym i prywatnym, które wykorzystują do codziennej działalności nowoczesne narzędzia IT. Trudno wyobrazić sobie prowadzenie większego lub mniejszego biznesu, czy działalności instytucji publicznej bez wsparcia usług chmurowych świadczonych za pośrednictwem: poczty elektronicznej, aplikacji do komunikacji, czy narzędzi do analizy statystyk serwisów www. Nie wspominając już o kontakcie z klientem za pośrednictwem mediów społecznościowych

Inna podstawa prawna czy wstrzymanie transferu danych?

Wszystkie podmioty, które dotychczas przekazywały dane osobowe w ramach współpracy transatlantyckiej (np. procesorom, spółce matce) powinny szybko znaleźć inną podstawę prawną przetwarzania danych. Co prawda, przepisy rozdziału V RODO przewidują inne możliwości legalizacji transferu danych, jednak w praktyce nie jest już takie proste zalegalizowanie transgranicznego przetwarzania na innej podstawie niż decyzja Komisji Europejskiej lub modelowe klauzule umowne. Dużo trudniej jest uzyskać wyraźną zgodę na transfer lub oczekiwać na zatwierdzenie ze strony organu nadzorczego. Jeżeli nie jest możliwe zastąpienie postanowień obalonej Tarczy Prywatności to administratorzy danych użytkowników z terenu Unii Europejskiej powinni czasowo wstrzymać wykonywanie transferu danych do USA.

Standardowe klauzule umowne

Legalizacji transferu można dokonać poprzez zastosowanie modelowych klauzul umownych określonych w decyzji Komisji nr 2010/87/UE, a których ważność potwierdził Trybunał w wydanym orzeczeniu.

Czym są standardowe klauzule modelowe (eng. Standard Contractual Clauses)? Standardowe klauzule modelowe to wzór umowy ustalony przez Komisję Europejską, w drodze decyzji, w celu zapewnienia poziomu ochrony danych osobowych zgodnych z RODO. Europejski Trybunał, w swoim orzeczeniu, nie podważył legalności standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO i Karty Praw Podstawowych. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa do danych na podstawie odpowiednich przepisów prawa krajowego.

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:

• Wymagana analiza systemu państwa trzeciego,
• Udzielenie w razie potrzeby dodatkowych zabezpieczeń w stosunku do tych zapewnionych w klauzulach,
• Konieczność zawieszenia lub zakończenia transferu danych, w przypadku, gdy prawo państwa trzeciego nakłada na podmioty pochodzące z Unii zobowiązania, które pozostają w sprzeczności z klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie.

Transfery danych do USA po wyroku TSUE z dnia 16 lipca 2020 r.

Wyrok w sprawie Schrems II, wprowadził istotny element ryzyka związany z wykonywaniem transferów danych osobowych do Stanów Zjednoczonych. Już uzasadnienie wyroku TSUE z dnia 16 lipca 2020 r. zawiera krytyczną ocenę amerykańskiego systemu prawnego, pozwalającego na hurtowe gromadzenie danych osobowych przez amerykańskie agencje wywiadowcze bez względu na cel ich przetwarzania. Jakie są konsekwencje takiej oceny prawnej wyrażonej przez Trybunał? Wydaje się, że należy rozważyć wstrzymanie pewnych rodzajów transferów wykonywanych na podstawie klauzul umownych np. związanych z działalnością firm telekomunikacyjnych, jako podmiotów najbardziej narażonych na inwigilację ze strony amerykańskich służb. W określonych przypadkach umowne klauzule nie zapewnią optymalnego poziomu ochrony danych, bo przepisy prawa obowiązujące na terenie Stanów Zjednoczonych zezwalają na ingerowanie w prawa podmiotów danych, co stanowi naruszenie RODO.

Jakie kroki powinni podjąć administratorzy danych?

Od dnia wydania wyroku przez TSUE transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną legalizującą transfer danych przez Atlantyk. Jednocześnie przedsiębiorcy unijni powinni poczekać systemowe rozwiązania w sprawie przekazywania danych między Unią Europejską, a Stanami Zjednoczonymi. Należy również uważnie śledzić interpretacje urzędowe krajowych i wspólnotowych organów nadzoru, które pojawią się po obaleniu Tarczy Prywatności.
W pierwszej kolejności należy sprawdzić, które z używanych w firmie rozwiązań wiążą się z transferem danych do Stanów Zjednoczonych. Podejmujemy działania tylko w przypadku występowania transgranicznych transferów za Atlantyk. Następnie należy ustalić z podmiotami z jakich krajów zawarto standardowe klauzule umowne. Jeżeli dane osobowe były przetwarzane w ramach Tarczy Prywatności, to niezbędna będzie aktualizacja klauzul informacyjnych w części dotyczącej „informacji o transferach” i zmiana podstawy prawnej np. zastosowanie standardowych klauzul umownych. W innym przypadku należy poszukać takich usług lub nawiązać taką współpracę z kontrahentami oferującymi przetwarzanie danych osobowych na terenie Unii Europejskiej.

Więcej: nieoficjalne tłumaczenie dokumentu EROD w sprawie wyroku Schrems II https://uodo.gov.pl/pl/138/1614

Od 16 lipca 2020 r. Facebook nie może przekazywać do USA danych osobowych europejskich użytkowników na podstawie Tarczy Prywatności. Co dalej z transferem danych osobowych obywateli europejskich do USA?

16 lipca 2020 r. przed Europejskim Trybunałem Sprawiedliwości w Luksemburgu (dalej TSUE), zapadło przełomowe orzeczenie sądowe ważne dla globalnych korporacji transferujących na ogromną skalę dane osobowe z Europy do USA na podstawie programu Tarcza Prywatności UE-USA. Tarcza miała zapewnić odpowiednią ochronę danych osobowych obywateli UE, przekazywanych do Stanów Zjednoczonych. Warto wspomnieć, że na dzień wydania wyroku C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (dalej sprawa Schrems II) z Tarczy Prywatności korzystało ponad 5000 podmiotów z sektora publicznego i prywatnego. (vide: https://www.privacyshield.gov/list).

Skargi Schremsa

Maximilian Schrems, austriacki prawnik i aktywista, po raz pierwszy złożył skargę przeciwko firmie Facebook Ireland Ltd. do irlandzkiego komisarza ds. Ochrony danych (dalej: DPC), w 2013 roku. Pan Schrems, jako użytkownik portalu społecznościowego Facebook, sprzeciwił się udostępnianiu jego danych osobowych do USA, które uprawniają agencje wywiadu (np. FBI) do gromadzenia na ogromną skalę danych bez względu na cel ich przetwarzania.

Irlandzki urząd ochrony danych osobowych odrzucił skargę argumentując, że jest związany decyzją Komisji Europejskiej nr 2000/520 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną „Bezpieczną przystanią (eng. „Safe Harbour”).

Na zakończenie sprawy „Schrems I” irlandzki Sąd Najwyższy, do którego odwołał się M.Schrems, zwrócił się do TSUE z pytaniem prejudycjalnym. Trybunał po rozpoznaniu sprawy wyrokiem z dnia 6 października 2015 r. sygn. akt C-362/14 stwierdził nieważność decyzji Komisji Europejskiej nr 2000/520, dotyczącej tzw. „Bezpiecznej Przystani”, co w praktyce przekreślało możliwość transferu danych osobowych z UE do USA na tej podstawie prawnej.

Po wydaniu przez Trybunał wyroku w sprawie Schrems I, sprawa została zwrócona do ponownego rozpatrzenia irlandzkiemu komisarzowi ds. Ochrony danych. Maximilian Shrems podtrzymał żądanie skargi dotyczące zakazu transferu danych dowodząc, że wewnętrzne prawo Stanów Zjednoczonych nakazuje Facebook Inc. udostępnienie danych osobowych obywateli innych państw amerykańskim agencjom wywiadowczym w ramach programów PRISM i Upstream. W ocenie irlandzkiego organu nadzorczego, kwestią najistotniejszą była ocena ważności decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych, dlatego też w maju 2016 r. zwrócił się on do irlandzkiego sądu o wystąpienie do TSUE w tym zakresie w trybie prejudycjalnym.

Irlandzki Sąd Najwyższy ponownie zwrócił się do TSUE z pytaniem prejudycjalnym w sprawie zgodności z prawem wspólnotowym decyzji Komisji Europejskiej nr 2010/87 w sprawie standardowych klauzul ochrony. W międzyczasie, Komisja wydała też nową decyzję nr 2016/1250 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną Tarczą Prywatności (Privacy Shield), a więc porozumienia pomiędzy UE i USA, zastępującego Bezpieczną Przystań. Sąd Najwyższy w Irlandii wniósł o zbadanie przez TSUE obu tych decyzji.
I tu dochodzimy do podstaw wydania drugiego wyroku (Schrems II).

TSUE stwierdza nieważność Tarczy Prywatności

16 lipca 2020 r. w ogłoszonym wyroku TSUE stwierdza brak skutecznych mechanizmów ochronnych dla europejskich użytkowników Facebook w prawie USA i na tej podstawie orzekł o nieważności mechanizmu Tarczy Prywatności. W rozpatrywanym wyroku zasadnicze znaczenie mają dwie kwestie: legalność tzw. Tarczy Prywatności oraz utrzymanie ważności standardowych klauzul umownych.

TSUE uznał, że decyzja Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield) jest nieważna, bo w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Europy ochrony na poziomie odpowiadającym wymogom RODO. W konsekwencji należało wstrzymać te transfery danych osobowych do USA, które jako podstawę prawną wskazywały Tarczę. Warto jednak podkreślić, że samo uznanie przez Trybunał nieważności Tarczy Prywatności nie sprawia, że dane osobowe przestaną być transferowane na terenie USA. W efekcie luki prawnej powstałej po orzeczeniu TSUE podmioty przekazujące dane osobowe do USA są zmuszone do znalezienia innej podstawy prawnej legalizującej tę operację w oparciu o RODO.

Standardowe klauzule umowne

TSUE wypowiedział się także w sprawie standardowych klauzul umownych (eng. Standard Contractual Clauses) które można zawrzeć w umowie z odbiorcą danych ze Stanów Zjednoczonych. Europejski Trybunał w swoim orzeczeniu nie podważył legalności standardowych klauzul umownych dotyczących przekazywana danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa na podstawie odpowiednich przepisów prawa krajowego.

Konsekwencją wydanego w sprawie Schrems II wyroku jest obowiązek dokonywania przy operacji przekazywania danych osobowych przez importera i eksportera danych osobowych każdorazowej analizy okoliczności związanych z transferem zarówno już w obowiązujących umowach, jak i przy nowo zawieranych transakcjach.

Bezprecedensowe skutki

W związku z wydaniem przez TSUE precedensowego orzeczenia należy oczekiwać wytycznych ze strony Europejskiego Inspektora Ochrony Danych, Europejskiej Rady Ochrony Danych i organów nadzoru w zakresie transferu danych UE-USA oraz prób oparcia transferu danych osobowych użytkowników z Europy do Stanów Zjednoczonych na innej podstawie prawnej. Do chwili, kiedy Komisja Europejska zajmie oficjalne stanowisko niezbędne jest zadbanie o zawarcie z odbiorcami danych Standardowych Klauzul Umownych w celu zapewnienia zgodnego z prawem transferu danych.

Więcej: Wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18 (Schrems II).
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=pl&mode=lst&dir=&occ=first&part=1&cid=10397632
Więcej: Odpowiedź Europejskiej Rady Ochrony Danych na pytania związane z konsekwencjami wyroku TSUE w sprawie C-311/18 (Schrems II).
https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en