Ciąg dalszy sprawy Schrems II – co ze Standardowymi Klauzulami Umownymi
Wiemy już, że w wyniku orzeczenia Trybunału Sprawiedliwości UE nie można już powoływać się na Tarczę Prywatności w związku z transferem danych osobowych do USA. Taki transfer miał najczęściej miejsce w związku z korzystaniem z aplikacji chmurowych i pocztowych dostawców ze Stanów Zjednoczonych. Pozostaje więc zmiana regionu przechowywania danych osobowych na europejskich (nie każda aplikacja zapewnia taką możliwość). A co ze standardowymi klauzulami umownymi? W jakich sytuacjach można z ich skorzystać? W artykule rozwiewamy te wątpliwości.
Jak było
Stany Zjednoczone Ameryki Północnej są tzw. państwem trzecim w rozumieniu przepisów o ochronie danych osobowych. Z tego powodu najpierw musimy nieco nakreślić historyczne tło gdyż nie pozostaje ono bez wpływu na dzisiejsze rozwiązanie prawne w tym zakresie.
Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji.
Na mocy art. 25 ust. 6 dyrektywy 95/46/WE Komisja może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.
Najpierw Bezpieczna Przystań
W dniu 12 lipca 2016 roku został przyjęty tzw. Program Tarcza Prywatności UE-USA, który miał zapewnić odpowiednią ochronę danych osobowych obywateli w UE, przekazywanych do Stanów Zjednoczonych. Zastąpiła ona poprzednie rozwiązanie funkcjonujące pod nazwą Bezpiecznej Przystani (safe harbour), które zostało unieważnione orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 roku w sprawie Schrems (C-362/14). To nazwisko warto zapamiętać bo na tej sprawie przygoda z Panem Schrems się nie kończy.
Potem Tarcza Prywatności
Na mocy Tarczy przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE a pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów będzie dokonywał Departament Handlu Stanów Zjednoczonych. Dane te mają być na przykład wykluczone z masowej i bezkrytycznej inwigilacji, zostały wprowadzone mechanizmy rozstrzygania sporów (np. obywatel UE będzie mógł wnieść skargę do swojego krajowego organu ochrony danych a ten będzie się kontaktował z amerykańską Federalną Komisją Handlu).
Tarcza jest więc przykładem tzw. mechanizmu samocertyfikowania. Od momentu gdy rozpoczęła one swoje obowiązywanie najważniejsze było to aby przed przekazaniem danych osobowych do Stanów Zjednoczonych sprawdzić czy dane przedsiębiorstwo z siedzibą w Stanach Zjednoczonych posiada certyfikat. Wykaz podmiotów uczestniczących w Programie Tarcza Prywatności UE-USA dostępny jest pod adresem www.privacyshield.gov. Tym samym, dopóki dane przedsiębiorstwo (np. Zoom Video Communications lub Microsoft Corporation) uczestniczy w tym programie dopóty przetwarzanie danych osobowych w usługach Google nie różniło się niczym od przetwarzania tych danych na obszarze Europejskiego Obszaru Gospodarczego.
Co zmienił wyrok Schrems II
Tak było jeszcze do końca pierwszej połowy tego roku. Wyrok Trybunału Sprawiedliwości z dnia 16 lipca 2020 roku zapadły w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schrems (oznaczany obecnie skrótowo jako „Schrems II”) wzbudził nową falę wątpliwości co do sposobu w jaki tarcza funkcjonuje.
Nie wdając się w szczegóły tej sprawy przypatrzmy się tylko temu co z niej dla nas wynika w kontekście przekazywania danych do Stanów Zjednoczonych. Trybunał Sprawiedliwości orzekł, że porozumienie w sprawie Tarczy Prywatności – które samo w sobie zastąpiło swojego poprzednika czyli program Safe Harbor – nie przyznaje podmiotom danych skutecznych środków prawnych, których mogłyby one dochodzić przed sądami przeciwko organom amerykańskim. Krótko mówiąc - obywatel UE nie może kwestionować naruszenia porozumienia przez firmę w USA przed europejskim sądem.
W rezultacie sąd uznał, że Tarcza Prywatności nie spełnia swojej funkcji. Doszło do – jak się to określa – faktycznego unieważnienia Tarczy Prywatności.
Koniec z Tarczą Prywatności – a co z pozostałymi przesłankami
Przede wszystkim należy zauważyć, że orzeczenie Trybunału nie neguje innych mechanizmów pozwalających na przekazywanie danych poza EOG. Można więc przekazywać takie dane z wykorzystaniem standardowych klauzul umownych czy też reguł korporacyjnych. Trudno jednak uznać, że są to instrumenty mogące znaleźć w praktyce zastosowanie w przykładowym korzystaniu z aplikacji Zoom
Sytuacja po wyroku jest zupełnym novum i na pewno będzie się jeszcze dynamicznie zmieniać.
Nowa grupa robocza EROD
W Europie z kolei 2 września 2020 roku mieliśmy 37. posiedzenie plenarne Europejskiej Rady Ochrony Danych, na którym utworzono grupę roboczą ds. skarg wniesionych w następstwie wyroku TSUE w sprawie Schrems II. Chodzi o 101 identycznych skarg wniesionych do organów ochrony danych państw EOG przeciwko kilku administratorom w państwach członkowskich EOG w związku z korzystaniem przez nich z usług Google oraz Facebook, które obejmują przekazywanie danych osobowych.
Co jest jednak najważniejsze to to, że EROD utworzyła grupę roboczą mającą przygotować zalecenia w celu wsparcia administratorów i podmiotów przetwarzających w ich obowiązkach związanych z identyfikacją i wdrożeniem odpowiednich środków uzupełniających dla zapewnienia odpowiedniego stopnia ochrony przy przekazywaniu danych do państw trzecich.
Administratorzy mają się z tych zaleceń dowiedzieć, jakie powinni podjąć środki uzupełniające o charakterze prawnym, technicznym i organizacyjnym aby w odniesieniu do ich operacji przekazywania danych do państw trzecich spełniony został podstawowy standard równoważności.
Póki co EROD zastrzega, że nie istnieje jedno szybkie, uniwersalne rozwiązanie. Każda organizacja musi ocenić swoje operacje przetwarzania danych i przekazywania danych oraz przyjąć odpowiednie środki.
Zmiana regionu przechowywania danych
Jednym z rozwiązań jest skorzystanie z opcji zmiany regionu przechowywania danych na zlokalizowany w Europejskim Obszarze Gospodarczym. Taką możliwość zapewnia m.in. Microsoft i Google.
Co ze Standardowymi Klauzulami Umownymi
A czy zamiast tego można powołać się na Standardowe Klauzule Umowne (SCC) w przypadku przekazywania danych osobowych do USA? Teoretycznie tak, ale wymaga to spełnienia dość istotnego wymogu. Otóż administrator musi ocenić możliwość ewentualnego dostępu organów władzy publicznej państwa trzeciego do przekazanych w ten sposób danych osobowych, jak również istotne elementy składające się na jego system prawny. Innymi słowy – administrator musi ocenić, czy realizacja standardowych klauzul umownych w danym państwie jest możliwa.
7 wskazówek na koniec
Co zatem powinien zrobić administrator, który dotychczas przekazywał dane osobowe do podmiotów zlokalizowanych w USA? Najlepiej skorzystać z poniższych wskazówek.
|
1. |
Należy ustalić, czy jest możliwość zmiany regionu przechowywania danych. Czy dane osobowe są przetwarzane wyłącznie na terenie USA, czy również na obszarze EOG. Niektórzy dostawcy z USA umożliwiają bowiem wybór centrum danych, w ramach których przechowywane będą informacje zapisywane przez klienta z państwa członkowskiego Unii Europejskiej. |
|
2. |
Należy także zważyć, czy dana usługa, wiążąca się z przekazywaniem danych osobowych poza Unię Europejską, jest administratorowi w istocie niezbędna i czy może z niej zrezygnować bez uszczerbku dla swojej działalności. |
|
3. |
Administrator powinien odpowiedzieć sobie na pytanie czy dana usługa ma swój odpowiednik, który nie wiąże się z przekazywaniem danych poza teren EOG. W takim przypadku warto rozważyć zmianę dostawcy. |
|
4. |
Należy zweryfikować, jaki zakres danych jest przetwarzany przez dostawcę z USA w ramach współpracy. |
|
5. |
Administrator musi ocenić ryzyko polegające na możliwości uzyskania przez służby wywiadowcze dostępu do danych konkretnej osoby, które są przetwarzane na amerykańskich serwerach. Ryzyko to jest większe w przypadku przetwarzania danych, np. przez instytucje rządowe takie jak ministerstwa czy też placówki dyplomatyczne (takie dane mogą spotkać się z większym zainteresowaniem służb wywiadowczych). |
|
6. |
Należy sprawdzić podejście dostawcy do ewentualnych żądań związanych z udostępnianiem danych ze strony organów państwowych. W tym zakresie wartozweryfikować ewentualne doniesienia medialne w tym zakresie. Czasami dostawcy usług informatycznych z USA, w celu budowania zaufania do swoich usług, starają się chronić dane swoich klientów i np. sądownie kwestionują decyzje służb (organów ścigania), które nakazują udostępnianie danych osobowych |
|
7. |
Administrator powinien zbadać możliwość dodatkowego zabezpieczenia danych w celu zmniejszenia ryzyka związanego z przekazaniem danych nieuprawnionym podmiotom (np. algorytmy szyfrujące). |
Michał Nosowski, Marcin Sarna
- Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
- Jak wypełnić świadectwo pracy i nie przetwarzać danych w nadmiarze
- RODO a artykuł prasowy
- CV i list motywacyjny – czy muszą zawierać zgodę na przetwarzanie danych osobowych
- Jak spełnić obowiązek informacyjny RODO w praktyce
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
