Zaznacz stronę

Koniec Tarczy Prywatności – stanowiska organów nadzoru i praktyczny przewodnik

Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie nieważności Tarczy Prywatności UE – USA (Privacy Shield)[1] z 16 lipca 2020 r. wywołał prawdziwe „trzęsienie ziemi” w świecie danych osobowych [więcej o wyroku tutaj].

Co oznacza wyrok TSUE

Wiele podmiotów transferujących dane osobowe do Stanów Zjednoczonych z dnia na dzień straciło dotychczasową podstawę prawną pozwalającą na legalny transfer danych. Decyzja w sprawie adekwatności dotycząca USA nie stanowi już bowiem ważnej podstawy prawnej.

Należy jednak podkreślić, że wyrok wpływa nie tylko na transfer danych do USA, stawia także znak zapytania nad legalnością transferu na podstawie standardowych klauzul umownych poza Europejski Obszar Gospodarczy. TSUE wskazuje, że same klauzule umowne mogą nie stanowić środka zapewniającego równoważną do unijnej ochronę praw osób, których dane są przekazywane. A zatem stosowanie standardowych klauzul umownych bez jednoczesnej analizy przepisów państwa trzeciego i ewentualnego podjęcia dodatkowych środków może w przypadku niektórych krajów okazać się nieprawidłowe.

Zgodnie z wyrokiem ocena ustawodawstwa państwa trzeciego należy do podmiotu przekazującego i odbierającego dane. Dla pojedynczych podmiotów będzie to zadanie trudne i czasochłonne, które  ponadto może prowadzić do zupełnie rozbieżnych decyzji. Również ocena poszczególnych europejskich organów nadzorczych co do przepisów państw trzecich może nie być jednolita. Dlatego też Trybunał podkreślił możliwość zwracania się przez organy nadzoru o wydanie wiążącej decyzji do Europejskiej Rady Ochrony Danych („EROD”) w celu uniknięcia wydawania rozbieżnych decyzji odnośnie ustawodawstw państw trzecich.

Stanowiska organów nadzoru

Stanowisko Prezesa Urzędu Ochrony Danych Osobowych z 20 lipca 2020 r. w sprawie wyroku nie zawiera żadnych szczegółowych rekomendacji poza zapewnieniem o konieczności spójnego podejścia do oceny konsekwencji wyroku w całej Unii Europejskiej oraz niezbędności wspólnych działań krajowych organów nadzorczych w ramach Europejskiej Rady Ochrony Danych. Pojawiają się jednak bardziej jednoznaczne stanowiska zagranicznych organów nadzoru. Przykładowo niemiecki nadzorca stwierdził, że należy w ogóle zaprzestać transferu danych do USA.

EROD opublikowała swoje stanowisko i odpowiedzi na najczęściej pojawiające się pytania w sprawie wyroku. Podkreśla w nich, że przekazywanie danych na podstawie standardowych klauzul umownych będzie uzależnione od wyników analizy podmiotu przekazującego i odbierającego dane. Powinna ona uwzględniać okoliczności przekazywania oraz środki uzupełniające, jakie możemy zastosować. Jakie to mogą być środki, EROD obiecuje wskazać w przyszłości. Jeżeli jednak z analizy przeprowadzonej przez podmiot transferujące dane wynika, że nie są one objęte ochroną w stopniu równoważnym, konieczne będzie natychmiastowe zawieszenie przekazywania danych albo powiadomienie organu nadzorczego.

Praktyczny przewodnik

Jakie kroki w związku z wyrokiem przedsiębiorcy powinni podjąć już dziś?

  • Przejrzeć rejestr czynności przetwarzania pod kątem transferu danych poza EOG oraz kraje uznane przez Komisję Europejską za zapewniające odpowiedni poziom ochrony. Transfery danych do tych państw muszą zostać poddane dalszej analizie. Szczególną uwagę należy zwrócić na usługi IT, w tym rozwiązania chmurowe.
  • Zweryfikować, jaka jest podstawa prawna transferu danych do tych krajów. Jeśli podstawą prawną jest Tarcza Prywatności – niezbędne jest zaprzestanie transferu lub zapewnienie jego legalności na innej podstawie. Legalność powinna być oczywiście zapewniona w sposób ciągły, a wyrok nie przewiduje żadnego okresu przejściowego. W teorii zatem transfer powinien zostać wstrzymany w dniu wydania wyroku, co oczywiście w przypadku wielu usług nie było możliwe. Jednak tam, gdzie taka możliwość istnieje, rekomendowane jest (przynajmniej tymczasowe, do czasu ustalenia innej podstawy prawnej) wstrzymanie transferu danych do USA.
  • Jeśli transfer odbywa się na podstawie standardowych klauzul umownych – konieczna jest analiza tego, czy regulacje państwa trzeciego zapewniają równoważną ochronę praw osób, których dane dotyczą. Jeśli prawo nie zapewnia równoważnej ochrony, niezbędne będzie zweryfikowanie czy możliwe jest zaradzenie temu poprzez „środki uzupełniające” które możemy zastosować. Ewentualnie należy przeanalizować, czy możliwe jest skorzystanie z innej podstawy prawnej.
  • Alternatywnie, zamiast kroku numer 3) lub w przypadku, gdy analiza nie przyniesie pożądanych rezultatów – należy zweryfikować, czy istnieje możliwość taka zmiana ustawień lub umowy z dostawcą, która pozwoli na przetwarzanie danych na terytorium EOG. Takie rozwiązanie może być najprostsze i najtańsze. Jeżeli nie jest to możliwe – należy ocenić, czy usługi są dla nas kluczowe, czy też możemy z nich zrezygnować. Jeśli nie, należy (ponownie) przejść do kroku numer 3).
  • Zaktualizować dokumentację dotyczącą danych osobowych (m.in. klauzule informacyjne, rejestr czynności przetwarzania), jeżeli w związku z wcześniejszymi krokami dokonamy zmian w zakresie transferów. Ponadto, zaktualizować zasady zawierania nowych umów w kwestii transferu danych do państw trzecich.

[1] Wyrok C-311/18 Data Protection Commissioner/Maximilian Schrems i Facebook Ireland

 

Pobierz plik

 

W razie pytań zapraszamy do kontaktu:

 

Monika Maćkowska-Morytz
Adwokat, Counsel
T: +48 660 765 918
E:  m.mackowska-morytz@kochanski.pl

Aleksandra Piech
Radca prawny, Starszy Prawnik
T: +48 608 882 193
E:  a.piech@kochanski.pl