Zaznacz stronę

Wyrok TSUE w sprawie transferu danych do USA

W dniu 16 lipca Trybunał Sprawiedliwości Unii Europejskiej ogłosił wyrok w sprawie C-311/18 (Data Protection Commissioner/Maximilian Schrems i Facebook Ireland)

Co orzekł Trybunał?

Trybunał Sprawiedliwości stwierdził nieważność decyzji Komisji Europejskiej 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE- USA (Privacy Shield).

Jednocześnie Trybunał orzekł, że Decyzja Komisji Europejskiej 2010/1250 w sprawie standardowych klauzul umownych na podstawie których może być dokonywany transfer danych poza EOG jest zgodna z RODO, zwracając jednak uwagę na to, że osoby których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul muszą korzystać z równoważnego stopnia ochrony, jaki jest gwarantowany w Unii. Konieczne jest zatem uwzględnienie – poza postanowieniami umownymi pomiędzy stronami – prawa państwa trzeciego, do którego dane są przekazywane. Trybunał wskazał, iż same klauzule umowne mogą nie stanowić wystarczającego środka zapewniającego w praktyce skuteczną ochronę danych przekazywanych do państwa trzeciego, w szczególności w przypadku gdy prawo tego państwa pozwala jego organom publicznym na ingerencję w prawa osób, których te dane dotyczą.

Jakie są konsekwencje wyroku?

Wszystkie podmioty, które przekazywały dotychczas dane osobowe do Stanów Zjednoczonych na podstawie decyzji w sprawie adekwatności dotyczącej Tarczy Prywatności UE-USA, muszą w inny sposób zalegalizować transfer danych do USA.

Co istotne, pomimo że decyzja Komisji Europejskiej 2010/87 w sprawie standardowych klauzul umownych nie została uchylona przez Trybunał, to zgodnie z uzasadnieniem wyroku, Trybunał podkreślił, że przed przekazaniem danych do państwa trzeciego, zarówno administrator jak i podmiot odbierający dane mają obowiązek upewnienia się, że ustawodawstwo państwa trzeciego daje podmiotowi odbierającemu dane możliwość dostosowania się do standardowych klauzul. Ponadto, podmiot odbierający dane jest zobowiązany poinformować administratora o ewentualnej niemożliwości zastosowania się do klauzul oraz o wszelkich zmianach ustawodawstwa, które mogą mieć istotne negatywne skutki dla zabezpieczeń i obowiązków określonych w klauzulach.

Trybunał jednoznacznie nie orzekł o zakazie transferu danych z wykorzystaniem standardowych klauzul umownych do USA, wydaje się jednak, że wyrok ten należy w taki sposób interpretować. Nieważność decyzji w sprawie Tarczy Prywatności została orzeczona ze względu na ograniczenia ochrony danych osobowych wynikające z niespełnienia zasady proporcjonalności przez przepisy dotyczące dostępu do danych i wykorzystywania ich przez organy amerykańskich władz publicznych oraz ograniczenia prawa do ochrony sądowej. Oznaczałoby to, że transfer danych do Stanów Zjednoczonych w oparciu o standardowe klauzule umowne także nie jest możliwy, ponieważ podmiot mający siedzibę w USA, ze względu na obowiązujące regulacje, nie jest w stanie spełnić ciążących na nim obowiązków umownych zawartych w standardowych klauzulach. Z ostatecznym przesądzeniem tej kwestii należy poczekać na komentarz Urzędu Ochrony Danych Osobowych, jednak taka interpretacja wydaje się bardzo prawdopodobna.

Jakie działania należy podjąć?

Każdy przypadek transferu danych do USA trzeba przeanalizować i zweryfikować czy istnieje odpowiednia dla danej sytuacji podstawa prawna transferu danych osobowych do USA, w szczególności pod kątem możliwości zastosowania wyjątków z art. 49 RODO.

Należy również przeanalizować dokonywane w oparciu o standardowe klauzule umowne transfery danych do krajów innych niż USA, pod kątem tego, czy podmiot odbierający dane będzie w stanie, z uwagi na obowiązujące w danym kraju przepisy prawa, zagwarantować wynikające z nich obowiązki.

 

Masz pytania? Skontaktuj się z nami

 

Monika Maćkowska-Morytz
Adwokat, Counsel
T: +48 660 765 918
E: m.mackowska-morytz@kochanski.pl

Aleksandra Piech
Radca prawny, Starszy Prawnik
T: +48 608 882 193
E: a.piech@kochanski.pl