Analizy i badania
Unieważnienie umowy Safe Harbor to nowe obowiązki dla przedsiębiorców
<p style="text-align: justify;">W dniu 6 października 2015 roku Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000 r., na mocy której podmioty amerykańskie, które przystąpiły do programu „Safe Harbor”, były traktowane jako zapewniające adekwatny poziom ochrony danych osobowych w rozumieniu przepisów europejskich. Rozstrzygnięcie to niesie szereg konsekwencji dla przedsiębiorców.</p>
>
Kilka słów o Safe Harbor
Dyrektywa 95/46 Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych zakazuje, co do zasady, udostępniania danych do krajów, które nie zapewniaj? ich odpowiedniego bezpieczeństwa i ochrony.
Z uwagi na brak jednolitej regulacji w zakresie ochrony danych Stany Zjednoczone nie zostały uznane za państwo gwarantuj?ce adekwatny poziom ich ochrony. W odpowiedzi na prężnie rozwijaj?ce się relacje biznesowe oraz gospodarcze Komisja Europejska, we współpracy z Departamentem Handlu USA, opracowała program Safe Harbor, zatwierdzony decyzj? Komisji Europejskiej w 2000 roku.
Przyst?pienie do programu automatycznie klasyfikowało podmioty amerykańskie jako zapewniaj?ce odpowiedni poziom ochrony, a tym samym spełniaj?ce wymagania określone przez Dyrektywę 95/46. W konsekwencji podmiotowi takiemu dane osobowe obywateli Unii Europejskiej mogły być udostępniane bez dodatkowych ograniczeń czy wymagań. Coraz częściej zadawano sobie jednak pytanie, czy Safe Harbor jest rzeczywiście bezpieczne?
Maximillian Schrems vs Facebook
W?tpliwości co do bezpieczeństwa swoich danych miał Max Schrems, austriacki aktywista oraz wieloletni użytkownik portalu Facebook. Zwrócił się on do irlandzkiego organu ochrony danych osobowych ze skarg? kwestionuj?c? legalność przesyłania danych osobowych przez spółkę Facebook Ireland Inc na serwery Facebooka zlokalizowane w Stanach Zjednoczonych. Max Schrems wskazywał, że jego dane nie s? odpowiednio zabezpieczone, a dostęp do nich ma wiele nieuprawnionych podmiotów, w tym władze USA. Powoływał się również na informacje ujawnione przez Edwarda Snowdena dotycz?ce działań amerykańskich agencji wywiadowczych, w szczególności NSA, argumentuj?c, iż Stany Zjednoczone nie podejmuj? działań w celu ochrony danych osobowych Europejczyków.
Irlandzki organ ochrony danych osobowych – wskazuj?c, iż Facebook przyst?pił do programu Safe Harbor – odmówił rozpatrzenia skargi Austriaka, uznaj?c się za pozbawiony kompetencji w tym zakresie. Irlandzki S?d Najwyższy, do którego sprawa została skierowana, wyst?pił z pytaniem prejudycjalnym do TSUE, który miał rozstrzygn?ć powstały spór.
Rozstrzygnięcie TSUE
Irlandzki S?d Najwyższy we wniosku o wydanie orzeczenia w trybie prejudycjalnym zwrócił się o wyjaśnienie, czy krajowy organ ochrony danych osobowych jest uprawniony do kontrolowania, czy państwo, do którego przekazywane s? dane, zapewnia adekwatny poziom ich ochrony. Kontrola miałaby dotyczyć kraju, co do którego Komisja Europejska wydała decyzję potwierdzaj?c?, iż zapewnia on adekwatny poziom ochrony danych osobowych.
TSUE rozstrzygn?ł, iż istnienie decyzji stwierdzaj?cej, że dane państwo trzecie zapewnia adekwatny poziom ochrony danych osobowych, nie wył?cza uprawnienia krajowych organów ochrony danych osobowych do kontrolowania, na jakich zasadach transferowane s? dane osobowe obywateli Europy. TSUE zwrócił uwagę nie tylko na uprawnienie, a nawet na obowi?zek krajowych organów ochrony danych osobowych w zakresie zgodności przekazywania danych ze standardami przewidzianymi przez Dyrektywę 95/46 oraz Kartę Praw Podstawowych Unii Europejskiej.
TSUE zwrócił również uwagę, iż zasady ochrony danych osobowych, przewidziane przez Safe Harbor, nie odpowiadaj? standardom przewidzianym przez ustawodawstwo UE. W konsekwencji uznał decyzję Komisji za nieważn?.
Skutki dla przedsiębiorców
W pierwszej kolejności przedsiębiorcy będ? musieli „na nowo” uregulować współpracę z podmiotami w Stanach Zjednoczonych.
Aby unikn?ć konieczności uzyskiwania zgody GIODO, przedsiębiorca zobowi?zany jest zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw wolności osoby, której dane dotycz?, co może nast?pić poprzez zawarcie umowy opartej o standardowe klauzule umowne, zatwierdzone przez Komisję Europejsk? lub wi?ż?ce reguły korporacyjne, zatwierdzone przez GIODO. Należy przy tym pamiętać, że zobowi?zania nałożone na kontrahenta z USA musz? odpowiadać wymaganiom przewidzianym przez przepisy UE.
Wyrok TSUE zwiększa również ryzyko kontroli Generalnego Inspektora Ochrony Danych Osobowych w zakresie weryfikacji podstaw prawnych przekazywania danych do państw trzecich. Jeśli GIODO stwierdzi, że przekazywanie danych do państw trzecich niezapewniaj?cych adekwatnego poziomu ochrony odbywa się bez podstawy prawnej, może takiego przekazywania zakazać, a po wejściu w życie unijnego Rozporz?dzenia o ochronie danych osobowych również nałożyć na dany podmiot karę finansow?.
***
Informacje zawarte w tym dokumencie nie stanowi? porady prawnej. Osoby zainteresowane uzyskaniem porady prawnej lub bardziej szczegółowych informacji prosimy o bezpośredni kontakt ze wskazanym wyżej prawnikiem. Pełna lista biur Eversheds International Limited i dane kontaktowe: eversheds.com
? Wierzbowski Eversheds 2015. Wierzbowski Eversheds jest członkiem Eversheds International Limited
Kontakt
W celu uzyskania dodatkowych informacji prosimy o kontakt:
Ewa Bereszko
prawnik
T: +48 22 50 50 780
ewa.bereszko@eversheds.pl
eversheds.pl
Zapisz się na nasz newsletter>
Otrzymuj cykliczne informacje o ważnych zmianach w prawie oraz organizowanych przez nas wydarzeniach