Czy przekazywanie danych osobowych do USA jest legalne? Analiza wyroku TSUE

Michał Nosowski

Autor: Michał Nosowski

Dodano: 22 lipca 2020
704bd84902a1b5d9326e6462888f300427ae75e3-xlarge(1)

16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał przełomowy wyrok, dotyczący kwestii przetwarzania danych osobowych i przekazywania ich do Stanów Zjednoczonych Ameryki. Rozstrzygnięcie Trybunału nie jest niestety korzystne dla przedsiębiorców, którzy korzystają z usług internetowych świadczonych przez firmy z USA. W wyroku uznano jeden z podstawowych instrumentów umożliwiających współpracę pomiędzy europejskimi a amerykańskimi firmami , jakim był program „Tarcza Prywatności” za niezapewniający odpowiedniej ochrony obywatelom UE, co w konsekwencji doprowadziło do uznania, że cały ten program jest nieważny. Tym samym znacznie utrudnione zostało zgodne z prawem przesyłanie danych do Stanów Zjednoczonych.

Czym była Tarcza Prywatności?

Tarcza Prywatności była specjalnym programem, prowadzonym przez Departament Handlu USA, który miał zapewnić odpowiednio wysoki poziom ochrony danych osobowych przez firmy z USA, świadczące usługi na rzecz europejskich klientów. Innymi słowy, te organizacje (amerykańskie firmy), które przystąpiły do programu, spełniały dodatkowe wymogi dotyczące ochrony danych osobowych, tak aby sprostać wyższym, europejskim standardom w tym zakresie. Program ten został zatwierdzony decyzją Komisji Europejskiej, która stwierdzała, że Tarcza Prywatności zapewnia odpowiedni poziom ochrony danych.

Uwaga

W programie Tarcza Prywatności brały udział setki amerykańskich firm m.in. dostawcy usług chmurowych, tacy jak Google, Microsoft czy Amazon, portale społecznościowe (Facebook, LinkedIn, Twitter) czy też np. twórcy rozwiązań do zarządzania projektami lub pracą zespołów (Slack, Trello, Jira) albo do komunikacji (Zoom, Cisco Webex). Można więc uznać, że program Tarcza Prywatności był podstawowym mechanizmem umożliwiającym zgodne z prawem przekazywanie danych osobowych pomiędzy amerykańskimi podmiotami świadczącymi usługi IT, a ich europejskimi klientami. Dzięki temu klienci ci mogli bez przeszkód zawierać z nimi np. umowy powierzenia przetwarzania danych.

Co stwierdził Trybunał?

Trybunał uznał, że decyzja, która stanowi podstawę do obowiązywania programu Tarcza Prywatności, jest nieważna. Oznacza to, że nie można się na nią powoływać i nie umożliwia ona przekazywania danych do USA. Trybunał wskazał bowiem, że mechanizmy zawarte w ramach Tarczy Prywatności nie zapewniają obywatelom UE skutecznej i odpowiedniej ochrony danych w zakresie w jakim są one przetwarzane w USA. Dotyczyło to zwłaszcza amerykańskich programów szpiegowskich, umożliwiających służbom z tego kraju dostęp do danych osobowych, przetwarzanych przez amerykańskie korporacje. Co istotne, taki dostęp odbywa się wyłącznie na podstawie amerykańskich przepisów prawa i nie uwzględnia kwestii związanych z unijnym poziomem ochrony prywatności.

Brak jest również możliwości skutecznego dochodzenia przez obywateli UE swoich praw na drodze sądowej, przed sądem amerykańskim. W praktyce sytuacja obywateli UE jest znacznie gorsza niż obywateli USA. Trybunał stwierdził również, że istniejący w ramach Tarczy Prywatności mechanizm zgłaszania skarg do ombudsmana (rzecznika) jest nieskuteczny, jako że wątpliwa jest jego realna niezależność i możliwość wpływania na działania amerykańskich służb.

Jak Trybunał ocenił Standardowe Klauzule Umowne?

Trybunał Sprawiedliwości UE badał w toku postępowania również ważność Standardowych Klauzul Umownych. Standardowe Klauzule Umowne to zaakceptowane przez Komisję Europejską wzory umów, które mogą być zawierane pomiędzy organizacjami z UE a podmiotami, które mają siedzibę poza Unią Europejską. Zawarcie takiej umowy co do zasady umożliwia zgodne z RODO przekazywanie danych osobowych obywateli UE do tego podmiotu spoza UE. Trybunał uznał, że Standardowe Klauzule Umowne są ważne i nadal mogą być stosowane. Tym samym teoretycznie możliwe byłoby oparcie przekazywania danych pomiędzy UE a USA na podstawie właśnie umów zawierających takie klauzule.

Niestety rozwiązanie to ma jedną dużą wadę – Trybunał wskazał, że w sytuacji gdy podmiot z UE, który działa jako administrator danych lub podmiot przetwarzający dane, chce oprzeć się na standardowych klauzulach umownych, powinien zweryfikować czy system prawny państwa, do którego dane będą przekazane, rzeczywiście pozwoli na wykonanie postanowień umowy zawierającej wskazane Standardowe Klauzule Umowne. Takie badanie powinno obejmować również kwestie związane z ewentualnym dostępem służb państwowych do danych. Co więcej, w przypadku gdy dany podmiot dojdzie do wniosku, że system prawny państwa, do którego mają być przesłane dane, nie zapewnia odpowiedniego poziomu ochrony, transfer danych nie powinien być w ogóle rozpoczynany, a jeśli już został rozpoczęty, należy go wstrzymać. Decyzje w tym zakresie mogą być podejmowane również przez organy nadzorcze, tzn. organy państw członkowskich UE, odpowiedzialne za stosowanie przepisów RODO.

W praktyce te wymogi, połączone z wnioskami Trybunału, dotyczącymi przetwarzania danych osobowych w Stanach Zjednoczonych i możliwościami jakie mają tamtejsze organy wywiadowcze, również nie pozwalają na bezpieczne powołanie się na Standardowe Klauzule Umowne przez podmioty z UE. Istnieje bowiem duże ryzyko, że USA zostałyby i tak uznane za kraj, który nie umożliwia skutecznej realizacji zasad, które wynikają z klauzul. Niestety, ewentualna odpowiedzialność za błąd w trakcie takiej oceny obciążała będzie administratora lub podmiot przetwarzający z Unii Europejskiej.

Co należy zrobić aby zgodnie z prawem przetwarzać dane osobowe?

Administratorzy danych z UE nie mogą już powoływać się na istnienie programu Tarcza Prywatności jako na podstawę przekazywania danych do USA. Również korzystanie w tym celu ze Standardowych Klauzul Umownych jest obarczone ryzykiem i nie może być uznane za bezpieczne. W praktyce dojdzie do rozdźwięku pomiędzy realnym działaniem podmiotów biznesowych, a wymogami prawnymi. Przedsiębiorcy z UE nie mogą bowiem pozwolić sobie na to, aby z dnia na dzień zaprzestać korzystania np. z usług chmurowych z USA. Oczywiście można wskazywać, że usługi chmurowe, które są świadczone przez europejskich dostawców, będą cieszyły się zwiększonym popytem – tego rodzaju przejście do usługodawców z terenu UE będzie jednak czasochłonne i uzależnione od wielu innych czynników (np. charakteru oferowanych przez nich rozwiązań). Innymi słowy, pomimo braku legalnej podstawy prawnej, dane nadal będą przekazywane do USA.

Uwaga

Warto tu odnotować stanowiska niektórych organów nadzorczych, dbających o przestrzeganie przepisów RODO. Przykładowo, berliński organ nadzorczy wskazał, że transfery danych do USA powinny być wstrzymane do momentu zmiany regulacji dotyczących takiego przekazywania danych, a tym samym ponownego ich zalegalizowania. Europejski Inspektor Ochrony Danych wskazał natomiast, iż to na USA ciąży obowiązek stworzenia kompleksowych ram prawnych dotyczących ochrony danych i prywatności, które rzeczywiście spełniają wymagania wskazane w wyroku TSUE.

W praktyce przedsiębiorcy zaczynają już powoływać się na Standardowe Klauzule Umowne jako na podstawę przekazywania danych do USA – dotyczy to np. usług Microsoft. Tego rodzaju działanie, mimo iż ryzykowne, jest lepsze niż nie podejmowanie jakichkolwiek czynności i udawanie, że Tarcza Prywatności nadal działa. Należy tu pamiętać, że Tarcza Prywatności stanowiła powszechnie wykorzystywaną przez administratorów podstawę do przetwarzania danych, która jest wspominana w wielu rejestrach czynności przetwarzania, politykach prywatności, obowiązkach informacyjnych oraz dziesiątkach innych dokumentów, mających na celu wykazanie zgodności organizacji z RODO. Informacje te będą musiały być zaktualizowane, a sposób ich aktualizacji będzie zależny od tego, w jaki sposób organizacje rozwiążą problem przekazywania danych do USA. Najbardziej oczywiste możliwości są dwie - wybór bezpiecznej ścieżki polegającej na zaprzestaniu takich transferów i znalezieniu dostawców usług IT z UE lub obranie bardziej ryzykownej drogi i powoływanie się na Standardowe Klauzule Umowne. Mam wrażenie, że w wielu przypadkach interesy biznesowe przeważą nad zapewnianiem pełnego bezpieczeństwa prawnego i wiele organizacji zdecyduje się na drugi wariant.

Orzecznictwo:

  • Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems.
Michał Nosowski

Autor: Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x