SSW Newsletter - Dane osobowe

Zgodnie z przepisami, przekazywanie danych osobowych poza Europejski Obszar Gospodarczy może się odbywać wył?cznie wtedy gdy odbiorca danych, np. w Stanach Zjednoczonych zagwarantuje odpowiedni, adekwatny poziom ochrony. W przypadku przekazywania danych osobowych do Stanów Zjednoczonych, uznawano, że ta przesłanka jest spełniona, jeżeli odbiorca danych w Stanach Zjednoczonych, przyst?pił do programu Safe Harbour (Bezpieczna Przystań), tj. uzyskał i posiada ważny certyfikat przynależności do programu Safe Harbour, określaj?cy w jakim zakresie i celu te dane mog? być przetwarzane.

W oparciu o program Safe Harbour przez ostatnie 15 lat odbywał się transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Zapadły wyrok Trybunału zakwestionował stosowany na podstawie programu Safe Harbour, przez tysi?ce przedsiębiorców z całej Unii Europejskiej, mechanizm transferu danych do Stanów Zjednoczonych.

Wyrok Trybunału zapadł w zwi?zku ze skarg? Pana Maximilliana Schrems, obywatela Austrii oraz działacza na rzecz ochrony prywatności, złożon? przed organem ochrony danych osobowych w Irlandii (gdzie mieści się siedziba spółki Facebook Ireland Ltd.), w zwi?zku z przechowywaniem jego danych jako użytkownika Facebooka na serwerach w Stanach Zjednoczonych, gdzie dane te były przetwarzane w sposób budz?cy w?tpliwości skarż?cego. Skarga zwi?zana była z informacjami ujawnionymi przez pana Edwarda Snowdena dotycz?cymi nadużyć w działalności amerykańskich służb specjalnych w zakresie dostępu oraz niekontrolowanego przetwarzania danych osobowych na bardzo szerok? skalę.

Trybunał uznał, że program Safe Harbour nie zapewnia stopnia ochrony praw podstawowych obywateli Unii Europejskiej, których dane osobowe s? przekazywane do Stanów Zjednoczonych, na poziomie równoważnym do tego, który jest zagwarantowany na terytorium Unii Europejskiej. W szczególności Trybunał zwrócił uwagę, że osoby, których dane były przekazywane do Stanów Zjednoczonych nie miały dostępu do tych danych, jak również nie zapewniono im możliwości zmiany lub usunięcia tych danych. Dane były ponadto wykorzystywane niezgodnie z celem, dla którego zostały przekazane (w szczególności w sposób nie znajduj?cy uzasadnienia były wykorzystywane przez amerykańskie służby specjalne).

Trybunał kwestionuj?c ważność decyzja Komisji Europejskiej, w oparciu o któr? funkcjonuje program Safe Harbour, stwierdził, że w przypadku kwestionowania legalności transferu danych do Stanów Zjednoczonych, który odbywa się na podstawie programu Safe Harbour, organy ochrony danych osobowych państw członkowskich, obowi?zane s? do samodzielnego zbadania czy w danym przypadku należyty poziom ochrony jest zapewniony.

Wyrok ten ma duże znaczenie w zakresie transferów danych osobowych do Stanów Zjednoczonych, opieraj?cych się głównie o fakt przyst?pienia odbiorcy danych w Stanach Zjednoczonych do programu Safe Harbour. Wynika to z faktu, że wiele podmiotów polskich przechowuje bazy danych osobowych na serwerach zlokalizowanych w Stanach Zjednoczonych, czy też przetwarza swoje dane osobowe w tzw. chmurze zlokalizowanej w Stanach Zjednoczonych, co z prawnego punktu widzenia oznacza transfer danych.

Maj?c na uwadze ten wyrok, przedsiębiorcy, w szczególności będ?cy części? międzynarodowych grup spółek, powinni zweryfikować dotychczasow? podstawę prawn? przekazywania danych osobowych do spółek z siedzib? w Stanach Zjednoczonych. Będzie to, w szczególności dotyczyć przedsiębiorców, których „centrala” – spółka matka jest położona w Stanach Zjednoczonych, w częstych przypadkach np. przechowywania danych osobowych pracowników lub klientów w globalnej bazie danych w centrali w Stanach Zjednoczonych, do której polski podmiot z grupy, ma zdalny dostęp.

O ile więc dotychczasowe przekazywanie danych osobowych odbywało się na podstawie faktu, że dany podmiot z siedzib? w Stanach Zjednoczonych jest członkiem programu Safe Harbour, należałoby rozważyć zastosowanie innego mechanizmu przekazywania danych osobowych do Stanów Zjednoczonych, tak aby zagwarantować adekwatny poziom ochrony przekazywanych danych w Stanach Zjednoczonych. Alternatyw? może być m.in. stosowanie umów transferowych wg. wzoru Komisji Europejskiej (tzw. standardowych klauzul umownych), uzyskiwanie pisemnej zgody osoby której dane dotycz?. Wybór danej metody legitymizuj?cej transfer, zależny jest od wielu czynników, w tym strategii biznesowej i organizacyjnej przetwarzania danych osobowych w spółce/grupie spółek w zakresie przepływów danych osobowych.

Wyrok ten powinien skłonić przedsiębiorców nie tylko do weryfikacji obecnego mechanizmu przekazywania danych osobowych do Stanów Zjednoczonych, ale też weryfikacji dokumentacji dotycz?cej przetwarzania danych, w kontekście m.in. obowi?zków informacyjnych, jakie spółka jako administrator danych powinna spełnić wobec osób, których dane osobowe dotycz?. Może mieć to np. wpływ na konieczność dostosowania zapisów w polityce prywatności dotycz?cych odbiorców danych w Stanach Zjednoczonych powołuj?cych się na przynależność do programu Safe Harbour, jako spełniaj?cego adekwatny poziom ochrony danych.

Wyrok będzie miał ogromne znaczenie dla praktyki transferu danych do Stanów Zjednoczonych dla przedsiębiorców ze wszystkich krajów członkowskich Unii Europejskiej. Czekamy obecnie na stanowisko Generalnego Inspektora Ochrony Danych Osobowych w tej kwestii, które dostarczyć może cennych wskazówek odnośnie praktycznych aspektów transferu danych do Stanów Zjednoczonych w obliczu nowej rzeczywistości prawnej, w której funkcjonujemy od dnia wydania omawianego wyroku Trybunału.

Kontakt:

Joanna Tomaszewska
Partner, Radca Prawny
Joanna.Tomaszewska@ssw.pl

Anna Turek
Associate, Adwokat
Anna.Turek@ssw.pl