Aktualności firm stowarzyszonych

Koniec Privacy Shield. Co to oznacza dla firm transferujących dane do USA?

Max Schrems po raz kolejny stanął w szranki z Facebookiem. I co ważne – skutecznie. Trybunał Sprawiedliwości orzekł bowiem o nieważności Privacy Shield. Tym samym duża rzesza firm przekazujących dane do USA pozostała bez podstawy prawnej do transferu danych, ale z ważnymi umowami. Co zatem powinny zrobić firmy, aby zapewnić zgodność z RODO? 

16 lipca 2020 Trybunał Sprawiedliwości UE ogłosił wyrok w sprawie C-311/18, w którym stwierdził nieważność decyzji Komisji Europejskiej ustanawiającej porozumienie Privacy Shield, na mocy którego transfer danych osobowych pomiędzy podmiotami w UE a podmiotami w USA będącymi członkami Privacy Shield mógł być dokonywany tak samo jak pomiędzy podmiotami wewnątrz UE, tj. bez podejmowania dodatkowych działań legalizujących taki transfer.

Uchylenie Privacy Shield oznacza zatem, że w jednej chwili wszyscy, którzy transferują dane do podmiotów z USA w oparciu o Privacy Shield, utracili legalną podstawę do dokonywania tego transferu.

Zgodność transferu danych z RODO

Podstawy prawne do dokonywania transferu do państw trzecich, czyli m.in. do USA, reguluje art. 44 -49 RODO. Jedną z podstaw prawnych jest decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony zapewniany w danym państwie, na danym terytorium, w danym sektorze lub przez określoną organizację międzynarodową. Właśnie tą podstawą była Privacy Shield.

Jednak najczęściej stosowaną podstawą transferu danych do państw trzecich, możliwą do zastosowania wobec każdego państwa, są standardowe klauzule umowne (tzw. „SCC”, czyli z ang. standard contractual clauses), czyli pewnego rodzaju porozumienie dotyczące ochrony transferowanych danych, zawierane przez podmiot transferujący z podmiotem odbierającym dane, przy czym treść tego porozumienia została opracowana i przyjęta przez Komisję Europejską. Tym samym podmiot z UE może zawrzeć z podmiotem z państwa trzeciego SCC do umowy głównej i tym samym zapewnić zgodność transferu danych z RODO (o ile podmiot odbierający zobowiązuje się spełnić wymogi ochrony danych zawarte w SCC).

Tym samym zawarcie SCC jest najłatwiejszym i najskuteczniejszym sposobem zapewnienia zgodności transferu danych do USA w sytuacji, gdy Privacy Shield przestaje obowiązywać. Tak też kilka lat temu podmioty poradziły sobie z podobną sytuacją, gdy również na skutek skargi Maxa Schremsa przeciwko Facebookowi zostało uchylone poprzednie porozumienie – Safe Harbour.

Tym razem jednak sytuacja jest troszkę inna. Trybunał przyjrzał się także SCC jako podstawie prawnej transferu. I – jak to zwykle bywa – w tym zakresie nie ma już tak jednoznacznej odpowiedzi. Trybunał orzekł bowiem, że decyzja Komisji Europejskiej wprowadzająca SCC pozostaje ważna, jednak zwrócił uwagę na fakt, że warunkiem dopuszczalności przekazywania danych do państwa trzeciego jest zapewnienie odpowiedniego stopnia ochrony tych danych, przy czym podmioty biorące udział w transferze danych powinny rozważyć, czy nie tylko one same zapewnią odpowiednią ochronę tych danych, ale także czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie tej ochrony. Tym samym Trybunał nie orzekł nieważności SCC, ale zakwestionował w badanej sprawie możliwość dokonywania transferu danych do USA na podstawie SCC.

Czy to oznacza, że SCC nie mogą być stosowane wobec podmiotów z USA?

Należy pamiętać, że wyrok zapadł w konkretnej sprawie, tj. przeciwko Facebookowi. Przepisy prawa wskazywane przez Trybunał jako nadmiernie ingerujące w prawa i wolności osób fizycznych podlegających RODO to przepisy dotyczące serwisów społecznościowych oraz dostawców Internetu, na mocy których określone organy USA (NSA, FBI, CIA) mają prawo do nadmiernej, niemalże nieograniczonej inwigilacji osób spoza USA.

I o ile przepisy dotyczące serwisów społecznościowych nie mają zastosowania do innych usług świadczonych przez podmioty z USA i można stwierdzić, że nie mają zastosowania do analizy ważności SCC w innych przypadkach, o tyle przepisy USA pozwalające na inwigilację ruchu w Internecie osób spoza USA mają faktyczne zastosowanie do większości usług świadczonych transgranicznie.

Nie oznacza to jednak, że każdy przypadek jest taki sam. O tym, czy SCC można zastosować jako ważną podstawę do transferu danych, powinny decydować zabezpieczenia danych, w szczególności zabezpieczenia ich przesyłu oraz charakter przetwarzania transgranicznego. Rację jednak należy przyznać tym, którzy podnoszą, że teraz każdy przypadek zastosowania SCC do transferu danych do USA będzie z założenia traktowany jako wątpliwy.

Inne podstawy transferu danych

RODO przewiduje również inne podstawy transferu danych, np. wyraźną zgodę osoby, której dane dotyczą, po poinformowaniu jej o ewentualnym ryzyku wynikającym z braku odpowiednich zabezpieczeń. Nie jest to zatem podstawa komfortowa do jej stosowania, a w niektórych przypadkach – niemożliwa.

Podstawą prawną mogą być również m.in. wiążące reguły korporacyjne, zatwierdzony kodeks postępowania, zatwierdzony mechanizm certyfikacji oraz zezwolenie właściwego organu nadzoru. Ponadto, transfer danych może nastąpić również w przypadku, gdy przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem. Fakt dokonywania transferu w celu realizacji umowy musi jednak wynikać z charakteru samego przedmiotu umowy, a nie jedynie z okoliczności dodatkowych, np. z wyboru podwykonawcy przez administratora.

Co zatem robić?

Sytuacja, w której znaleźli się zarówno administratorzy, jak i podmioty przetwarzające dane korzystające z usług podmiotów z USA, jest niekomfortowa. Podmioty te muszą bowiem zapewnić inną podstawę prawną,  jednocześnie możliwość zastosowania SCC stoi pod znakiem zapytania, a inne podstawy prawne wymagają długiego, czasami rocznego lub kilkuletniego przygotowania, procedowania wewnątrz firmy oraz z organem nadzoru i wdrożenia (np. BCR, zatwierdzony kodeks postępowania). Jeszcze inne, jak mechanizmy certyfikacji, są jeszcze przed nami (obecnie nie działa jeszcze mechanizm certyfikacji).

Wyrok Trybunału został dopiero wydany i przed dokonywaniem jakichkolwiek działań warto poczekać na stanowiska organów nadzoru – zarówno polskiego Prezesa UODO, jak i organów nadzoru w innych krajach UE.

W tym czasie na pewno warto zrobić przegląd transferów danych USA (te informacje powinniśmy znaleźć w rejestrze czynności przetwarzania) i ustalić:

• wstępną analizę ryzyka zastosowania SCC jako podstawy do dokonywania transferu, biorąc pod uwagę charakter przetwarzania oraz stosowane zabezpieczenia;
• możliwości zastosowania innych podstaw do transferu danych do USA;
• możliwości przeniesienia danych na terytorium UE (w tym w ramach tego samego podmiotu odbierającego dane, np. dostawcy, ale nawet w przypadku przetwarzania danych w grupie podmiotów czasami jest to łatwiejsze niż podejmowanie innych środków).

Nie zalecamy w tym miejscu analizy możliwości zmiany kontrahentów na tych z UE, ponieważ nie o to w tym wszystkim chodzi. Trudno jednak oprzeć się konkluzji, że nawet jeśli współpracujemy z dostawcą usług z USA, jeśli jest to możliwe ze względu na charakter tych usług, warto zapewnić lokalizację danych na terenie UE lub państwa trzeciego, którego przepisy lokalne nie wzbudzają tak dużych kontrowersji pod względem prywatności jak te z USA.

Służymy pomocą w zakresie analizy Państwa sytuacji w związku z uchyleniem Privacy Sheld i zapewnienia zgodności z RODO transferów danych dokonywanych do USA.