Co dalej z transferem danych osobowych do USA?
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok (sprawa Schrems II), który w praktyce przekreślił dotychczasowe zasady transferu danych osobowych do USA. Co znalazło się w wyroku i jakie niesie on ze sobą konsekwencje dla administratorów danych? Dowiesz się tego z LEX Ochrona Danych Osobowych.
Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok o kolosalnym znaczeniu dla europejskich administratorów danych, którzy w ramach prowadzonej przez siebie działalności transferują dane osobowe do USA, a także do innych krajów – bo wyrok ten można uznać za pierwszy w szeregu klocek domino, który właśnie się przewrócił.
Na jakiej podstawie można przekazać dane poza teren UE?
Możliwość przekazania danych osobowych do tzw. państwa trzeciego uzależniona jest od spełnienia określonych warunków. Warunki te mają trzystopniowy etapowy charakter.
Pierwszy stopień obejmuje konieczność uzyskania decyzji Komisji Europejskiej (KE), która uzna, że dany kraj lub sektor odpowiednio chronią dane osobowe (takim przykładem była właśnie decyzja o Tarczy Prywatności UE-USA). Przy braku takiej decyzji KE, administrator może przekazać dane do państwa trzeciego, jeżeli zapewni ono odpowiednie zabezpieczenia oraz pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Zapewnienie odpowiednich zabezpieczeń możliwe jest za pomocą np. standardowych klauzul ochrony danych przyjętych przez KE na podstawie decyzji w sprawie klauzul standardowych. W przypadku braku zapewnienia takich zabezpieczeń, transfer można już tylko oprzeć o konkretne przesłanki prawne, jak m.in.:
- zgodę podmiotu danych;
- konieczność wykonania umowy między administratorem a podmiotem danych;
- zawarcie lub wykonanie umowy zawartej w interesie podmiotu danych;
- niezbędność transferu danych ze względu na ważne interesy publiczne.
Co znalazło się w wyroku Schrems II?
W wyroku o sygnaturze C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems (tzw. sprawa Schrems II) TSUE przesądził, że:
- Tarcza Prywatności UE-USA jest nieważna (chodzi o decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA);
- standardowe klauzule umowne co do zasady są ważne (chodzi o decyzję Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady, zmienioną decyzją wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r), ale, co jest kluczowe, samo zawarcie standardowych klauzul umownych z podmiotem z USA nie zapewnia legalności transferu danych osobowych, co oznacza, że administrator powinien dodatkowo je przeanalizować.
Co w praktyce oznacza ten wyrok dla administratorów danych?
Głośno mówi się, że wyrok ten wprowadza nieokreśloną czasowo niepewność w zakresie transferu danych do USA, a być może także do innych krajów spoza UE.
W wielkim skrócie można powiedzieć, że wskutek wyroku TSUE:
- Komisja Europejska będzie znowu musiała pochylić się nad stworzeniem nowej lepszej decyzji, która wprowadzi następczynię Tarczy Prywatności UE-USA;
- przekazywanie danych osobowych do USA będzie bardzo trudne, bo oparcie transferu danych o inne niż decyzje takie jak Tarcza Prywatności lub standardowe klauzule umowne jest niełatwym zadaniem;
- można spodziewać się decyzji lokalnych organów nadzorczych (jak PUODO) zawieszających przekazywanie danych do USA, w sytuacji, kiedy odbywałoby się ono z naruszeniem zasad wynikających z wyroku TSUE;
- USA nie będą najpewniej jedynym krajem, do którego przekazywanie danych będzie utrudnione. O ile Tarcza Prywatności dotyczyła tylko USA, o tyle standardowe klauzule umowne odnoszą się do większej liczby państw.
Chcesz dowiedzieć się więcej o wyroku Schrems II? Zależy Ci na opinii ekspertów z zakresu ochrony danych osobowych?
W LEX Ochrona Danych osobowych znajdziesz komentarz praktyczny „Wyrok TSUE w sprawie Schrems przeciwko Facebook. Co dalej z transferami danych osobowych do Stanów Zjednoczonych?”, przygotowany przez radcę prawnego Witolda Chomiczewskiego z Kancelarii Lubasz&Wspólnicy.
Autor jest liderem specjalizacji e-Commerce, pełnomocnikiem Izby Gospodarki Elektronicznej ds. legislacji. Specjalizuje się w prawie IT, danych osobowych i nowych technologii. Ma bogate doświadczenie w obsłudze prawnej przedsiębiorców związanych z e-Commerce. Doradza m.in. spółkom zajmującym się marketingiem internetowym, w tym SEM i performance marketingiem. Reprezentuje branżę e-commerce w procesach legislacyjnych w Sejmie, Senacie i ministerstwach. Współautor komentarzy do m.in.: ustawy o świadczeniu usług drogą elektroniczną, ustawy o ochronie baz danych, ustawy o prawach konsumenta, RODO. Brał udział w projekcie realizowanym na zlecenie Komisji Europejskiej, Study on Liability of Internet Intermediaries, który dotyczył dyrektywy o handlu elektronicznym.
Redaktor Naczelna Działu Biznes
Product Manager Ochrona Danych Osobowych