Obalona Tarcza Prywatności. Jak wyrok Schrems II zmienia podstawy przekazywania danych do USA i innych państw trzecich.

Czego dotyczy wyrok?

Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) 16 lipca 2020 roku wydał wyrok w sprawie Schrems II (C-311/18), który ma rewolucyjne znaczenie w kontekście przekazywania danych do USA i innych państw trzecich. Transfery takie z dnia na dzień zostały obciążone znaczącym ryzykiem prawnym, a przecież niemal każdy podmiot albo jego poddostawcy przekazują dane osobowe do państw trzecich, w tym do USA (chociażby w formie usług chmurowych, korzystania z centrów danych, serwerów, czy też plików cookies). Tym samym wyrok ten ma znaczenie praktycznie dla wszystkich podmiotów, które outsoursują określone usługi lub w ramach np. grupy spółek przetwarzają je poza Europejskim Obszarem Gospodarczym („EOG”), poza krajami uznanymi przez Komisję Europejską za gwarantujące adekwatny poziom ochrony.

Jakie były najważniejsze elementy orzeczenia?

Rewolucyjność wyroku polega na tym, że TSUE unieważnił jedną z fundamentalnych podstaw przekazywania danych do USA, czyli Tarczę Prywatności (eng. Privacy Shield). Dotychczas pozwalała ona z mocy decyzji Komisji Europejskiej, na przekazywanie danych bez specjalnego pozwolenia (poza procedurą samocertyfikacji Privacy Shield). Na jej podstawie dane w pewnym zakresie przekazywało do odbiorców w Stanach Zjednoczonych m.in., Google i Facebook. W praktyce oznacza to, że od 16 lipca 2020 roku transfery danych dokonywane na tej podstawie do USA są niezgodne z prawem.

Jednocześnie co do drugiej z podstaw transferu danych – standardowych klauzul umownych („SCC”) – TSUE potwierdził jej ważność. Mogą więc one wciąż stanowić ważną podstawę dokonywania transferu do państw trzecich, w tym do USA.

TSUE orzekł jednak, że warunkiem ich skuteczności jest zapewnienie ochrony danych w stopniu merytorycznie równoważnym temu gwarantowanemu w UE. Oznacza to, że również ta podstawa musi być wykorzystywana z dużą ostrożnością zarówno wobec tego, czy same postanowienia umowy pomiędzy podmiotami przekazującymi dane są adekwatne, jak i wobec kształtu systemu prawnego określonego państwa trzeciego. Jeżeli (tak jak w USA) istnieje ryzyko że władze państwa trzeciego będą miały dostęp do danych, to nie można uznać, że są one bezpieczne na takim poziomie jak w UE. Stąd w wątpliwość poddano przekazywanie danych do innych krajów, w których uprawnienia do inwigilacji są większe, jak np. Rosja, czy Chiny.

Ocena, czy kraje do których przesyłane są dane zapewniają odpowiednią ochronę, jest przede wszystkim obowiązkiem podmiotu przekazującego dane i podmiotu odbierającego dane. To duże obciążenie i wyzwanie dla przedsiębiorców. Dalsza weryfikacja czy ocena ta była prawidłowa spoczywać będzie na organach nadzorczych ochrony danych (w tym na naszym Prezesie Urzędu Ochrony Danych Osobowych („PUODO”), które będą miały możliwość wydawania decyzji o zakazie lub zawieszeniu przekazywania danych, gdy uznają, że warunki określone w SCC nie są lub nie mogą być przestrzegane w danym państwie trzecim.

Jakie kroki należy podjąć?

Co można zrobić, aby zabezpieczyć swoją organizację w kontekście legalnego przekazywania danych osobowych do państw trzecich, w tym do USA?

• Przygotuj się do zawarcia dotychczasowych umów przekazywania danych do odbiorców w USA w oparciu o SCC, jeżeli ich podstawą była nieważna już Tarcza Prywatności;
• Dokonaj rewizji dotychczas zawartych umów transferowych opartych na SCC dotyczących wysyłania danych osobowych poza EOG (w tym do USA), pod kątem ryzyk i możliwości wprowadzenia ewentualnych „zabezpieczeń dodatkowych” w stosunku do tych zapewnianych klauzulach;
• Weź pod uwagę, że przy nowych transferach danych do państw trzecich, w tym do USA, nie można już stosować SCC „z automatu” korzystając tylko ze wzoru tej umowy. Niezbędne jest aby zarówno eksporter danych jak i importer danych, sprawdzili czy wymagany prawem UE stopień ochrony danych jest zapewniony w państwie trzecim. Co ważne, dotyczy to nie tylko transferów do USA, ale wszelkich transferów danych opartych na SCC do jakichkolwiek państw trzecich;
• Przeanalizuj, czy istnieje możliwość dodatkowego zabezpieczenia danych, np. poprzez szyfrowanie;
• Uważnie obserwuj działania i wszelkie rekomendacje w kontekście wyroku Schrems II, w tym Europejskiej Rady Ochrony Danych oraz PUODO;
• Rozważ możliwość szerszego wykorzystania centrów przetwarzania danych znajdujących się na terenie EOG.

Obecna sytuacja jest wyjątkowa zarówno dla przedsiębiorców jak i dla europejskich organów nadzorczych ochrony danych. Niezbędne jest wypracowanie spójnego podejścia. Jako, że wyrok oddziałuje na wszystkie państwa członkowskie UE, należy spodziewać się reakcji Europejskiej Rady Ochrony Danych składającej się z przedstawicieli krajowych organów nadzorczych ochrony danych i Europejskiego Inspektora Ochrony Danych. Wkrótce powinny dać one szczegółowe wytyczne między innymi co do tego, w jaki sposób przekazywać dane na podstawie SCC do państw trzecich (w tym USA) aby mieć pewność, że jest ono zgodne z prawem.