Unieważnienie tarczy prywatności UE-USA. Jak zabezpieczyć transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych?

Wyrok TSUE w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18).

Przypomnijmy, że dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w postępowaniu dotyczącym transferu danych osobowych z Unii Europejskiej do Stanów Zjednoczonych (sprawa Data Protection Commissioner a Facebook Ireland Ltd. i Maximilianem Schremsem- aktywista chroniący prywatności w Internecie; tzw. sprawa Schrems II).

Orzeczenie rozstrzygnęło spór, który zaistniał pomiędzy komisarzem ds. ochrony danych w Irlandii (ang. Data Protection Commissioner, "DPC") a Facebook Ireland Ltd.

W postępowaniu wszczętym przez DPC, M. Schrems zażądał wskazania przepisów prawa, w oparciu o które Facebook Ireland przekazuje dane osobowe użytkowników Facebooka z Unii Europejskiej do Stanów Zjednoczonych. Facebook Ireland wskazał, że zawarł umowę w sprawie przekazywania i przetwarzania danych ze spółką Facebook Inc. z siedzibą w USA, na podstawie  standardowych klauzul umownych wprowadzonych decyzją Komisji Europejskiej 2010/87/UE, które mogą stanowić podstawę dla bezpiecznego przekazania danych osobowych do państw trzecich. 

Zdaniem M. Schremsa standardowe klauzule umowne nie mogły stanowić podstawy dla przekazywania jego danych osobowych do Stanów Zjednoczonych, ponieważ prawo amerykańskie wymaga, aby spółka Facebook Inc. udostępniała dane osobowe swoich użytkowników amerykańskim organom, takim jak NSA i FBI w ramach programów nadzoru, co oznacza że brak jest środków ochrony prawnej, które zapewniałyby egzekwowanie praw do ochrony prywatności oraz danych osobowych w USA.

Konkluzje Trybunał Sprawiedliwości Unii Europejskiej

Wskutek zaistniałego sporu, TSUE musiał rozważyć, czy dwie główne podstawy dla transferu danych osobowych do USA w dalszym ciągu pozostają w mocy, tj.:

1) decyzja  wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy  95/46 Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA;

2) decyzja  Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy  95/46 Parlamentu Europejskiego i Rady, zmienionej decyzją  wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r.

TSUE przesądził, że:

1. Tarcza Prywatności UE-USA jest nieważna (TSUE usunął mechanizm legalizujący transfer danych osobowych do USA!);
2. standardowe klauzule umowne, co do zasady są ważne, jednak samo zawarcie standardowych klauzul umownych z podmiotem z USA nie zapewnia legalności transferu danych osobowych, więc administrator powinien dodatkowo je przeanalizować (administrator musi mieć pewność, że dane osobowe przekazywane poza obszar Europejskiego Obszaru Gospodarczego będą chronione co najmniej w równym stopniu jak na terenie EOG!).

Z oświadczenia Andrea Jelinek -Przewodniczącej Europejskiej Rady Ochrony Danych, z dnia 17.07.2020 r., zamieszczonego na stronie Europejskiej Rady Ochrony Danych, dowiadujemy się:

„Chociaż standardowe klauzule umowne pozostają ważne, TSUE podkreśla potrzebę zapewnienia, aby w praktyce utrzymały one stopień ochrony zasadniczo równoważny temu gwarantowanemu przez RODO w świetle Karty praw podstawowych Unii Europejskiej. Ocena, czy kraje, do których przesyłane są dane, zapewniają odpowiednią ochronę, jest przede wszystkim obowiązkiem podmiotu przekazującego dane i podmiotu odbierającego dane, przy rozważaniu skorzystania ze standardowych klauzul umownych. Dokonując takiej uprzedniej oceny, podmiot przekazujący dane (w razie potrzeby z pomocą podmiotu odbierającego dane) bierze pod uwagę treść standardowych klauzul umownych, szczególne okoliczności przekazywania, jak również system prawny mający zastosowanie w kraju podmiotu odbierającego dane. Badanie tych ostatnich odbywa się w świetle niewyczerpujących czynników określonych w art. 45 ust. 2 RODO. Jeżeli wynikiem przeprowadzonej oceny jest to, że kraj podmiotu odbierającego dane nie zapewnia zasadniczo równoważnego stopnia ochrony, podmiot przekazujący dane może rozważyć wprowadzenie dodatkowych środków w stosunku do środków zawartych w standardowych klauzulach umownych. EROD dokładnie analizuje, na czym mogłyby polegać te dodatkowe środki”.

W konsekwencji przedsiębiorcy, którzy chcą stosować standardowe klauzule umowne ochrony danych, muszą zlecić prawnikowi lub ekspertowi RODO ocenę, czy przesyłanie danych do państw trzecich jest bezpieczne.

Co dalej? Istotne Rekomendacje ?

Wydanie wyroku TSUE w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18), doprowadziło do sytuacji, w której od 16 lipca 2020 r. nie ma systemowego rozwiązania legalizującego przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych.

Dokonanie właściwej oceny, czy przesyłanie danych do państw trzecich jest bezpieczne, mają ułatwić rekomendacje Europejskiej Rady Ochrony Danych z dnia 10.11.2020 r., przedstawione podczas  41. posiedzenia plenarnego EROD:

1. „Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych”. Uwagi do nich można zgłaszać do 21 grudnia 2020 r. (początkowa data była ustalona do 30.11.2020 r.);
2. „Rekomendacje 2/2020 w zakresie europejskich gwarancji podstawowych dotyczących środków nadzoru”.

RODOMAPA

W rekomendacjach została przedstawiona mapa postępowania administratorów danych w przypadku transferu danych z UE do państw trzecich.

„Rodomapa” zawiera sześć najważniejszych kroków administratora:

1. określenie transferów danych;
2. weryfikacja narzędzi i podstaw do transferowania danych;
3. dokonanie oceny czy w prawie lub praktyce państwa trzeciego istnieje coś, co może naruszać skuteczność zabezpieczeń narzędzi transferu;
4. określenie i przyjęcie dodatkowych środków niezbędnych do podniesienia poziomu ochrony przekazywanych danych oraz procedur utrudniających do nich dostęp;
5. podjęcie wszystkich formalnych kroków proceduralnych w związku z przyjęciem dodatkowych procedur zabezpieczających;
6. monitorowanie zmian w przepisach państw spoza UE i ponowna ocena poziomu ochrony przekazywania danych.

Nowe regulacje

Dnia 20.11.2020 r., na 42. posiedzeniu plenarnym Europejskiej Rady Ochrony Danych, Komisja Europejska przedstawiła dwa nowe projekty standardowych klauzul umownych (SCC), a EROD przyjęła oświadczenie w sprawie przyszłego rozporządzenia o prywatności i łączności elektronicznej.

Pierwszy projekt zaprezentowany przez KE dotyczy umów między administratorami a podmiotami przetwarzającymi, natomiast drugi traktuje o przekazywaniu danych poza UE.

Projekty SCC między administratorem a podmiotem przetwarzającym są całkowicie nowe i zostały opracowane przez Komisję zgodnie z art. 28 ust. 7 RODO i art. 29 ust. 7 rozporządzenia 2018/1725. Zaprezentowane standardowe klauzule umowne będą miały wpływ na całą UE i będą miały na celu zapewnienie pełnej harmonizacji i prawnej gwarancji w całej UE, jeśli chodzi o umowy między administratorami a ich podmiotami przetwarzającymi.

Ponadto Komisja przedstawiła kolejny zestaw SCC dotyczących przekazywania danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. c) RODO. Nowe standardowe klauzule umowne zastąpią te dotyczące przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE, a które wymagały aktualizacji, aby były zgodne z wymogami RODO, a także z wyrokiem TSUE w sprawie „Schrems II” oraz żeby lepiej odzwierciedlały powszechne prowadzenie nowych i bardziej złożonych operacji przetwarzania, często z udziałem wielu podmiotów odbierających i przekazujących dane.

EROD przyjęła również oświadczenie w sprawie przyszłego rozporządzenia o prywatności i łączności elektronicznej. EROD podkreśla, iż wiele przepisów przyszłego rozporządzenia dotyczy przetwarzania danych osobowych i jest ściśle powiązana z przepisami RODO.

Przewodnicząca EROD Andrea Jelinek uważa, że: „Nadzór nad przetwarzaniem danych osobowych na podstawie rozporządzenia o prywatności i łączności elektronicznej powinien zostać powierzony tym samym organom krajowym, które są odpowiedzialne za egzekwowanie RODO. Zapewni to wysoki stopień ochrony danych, równe zasady oraz zharmonizowaną interpretację i egzekwowanie elementów rozporządzenia o prywatności i łączności elektronicznej dotyczących przetwarzania danych w całej UE”.

Prawnik potrzebny od zaraz !

Ze względu na przeobrażenia społeczne i gospodarcze, prawo również ulega zmianom. Unijny ustawodawca dąży do jak najlepszego zabezpieczenia transferu danych osobowych, a to wydaje się być niemożliwe bez ujednolicenia obowiązujących regulacji.

W artykule przedstawiłam historię podjętych przez  Europejską Radę Ochrony Danych działań, zmierzających do wyeliminowania wątpliwości, które powstały po wyroku TSUE z dnia 16 lipca 2020 r. (C-311/18).

Niestety aktualnie występuje więcej pytań niż odpowiedzi. Dlatego istotną rolę w procesie reform odgrywa prawnik, który powinien:

1) monitorować zmiany, nie tylko w polskim, ale także zagranicznym porządku prawnym;

2) przeprowadzić analizę transferu danych oraz prawa państw spoza UE;

3) wdrożyć bezpieczne mechanizmy przekazywania danych.

W mojej ocenie kierunek zmian jest słuszny i wymaga konsultacji pomiędzy EROD a organami nadzoru poszczególnych krajów członkowskich UE. Ponadto w zrozumieniu postulowanych przepisów powinien wyjść z pomocą Urząd Ochrony Danych Osobowych, poprzez stworzenie praktycznych poradników dla administratorów danych.

Najbardziej pożądanym efektem jest wypracowanie na poziomie unijnym rozwiązań, które pozwolą jednoznacznie wskazać kraje trzecie posiadające prawodawstwo, które obniża poziom ochrony danych przewidziany w mechanizmach legalizujących transfer.

Przedsiębiorcy muszą zacząć korzystać z porad prawników, ekspertów RODO lub zasięgać rad Urzędu Ochrony Danych Osobowych, albowiem jako podmioty transferujące dane są odpowiedzialni za dokonanie konkretnej oceny:

1. przekazywania danych,
2. prawa państw spoza UE,
3. wybranych narzędzi transferu danych.

Zgodnie z zasadą rozliczalności RODO, to na podmiotach przekazujących dane spoczywa obowiązek należytej staranności przy transferowaniu danych i prowadzeniu dokładnej dokumentacji związanej z przetwarzaniem.

Niniejszy artykuł został sporządzony w oparciu o stan prawny obowiązujący w dniu  jego sporządzenia tj. w dniu 10.12.2020 r. oraz na podstawie informacji publicznych z oficjalnej strony Europejskiej Rady Ochrony Danych Osobowych i Urzędu Ochrony Danych Osobowych.

Autor artykułu:

Prawnik Ewelina Fuławka

Centrum Prawne Online

www.centrumprawneonline.pl