Uchylenie Tarczy prywatności – transfer danych do USA na nowych zasadach

Usługi informatyczne oferowane przez firmy ze Stanów Zjednoczonych zdominowały rynek. W szczególności dostawcy usług chmurowych, z których korzystamy w naszej codziennej pracy, w większości pochodzą ze Stanów Zjednoczonych. W celu właściwego funkcjonowania, firmy często są zmuszone do korzystania z usług podmiotów spoza Europejskiego Obszaru Gospodarczego, co wiąże się z koniecznością przekazywania danych osobowych klientów.

Wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 r. (sprawa

C‑311/18, Schrems II), stwierdzono nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności w relacji UE – Stany Zjednoczone (Privacy Shield). Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić jedynie na określonej, właściwej podstawie. Dotychczas transfer danych do Stanów Zjednoczonych odbywał się w oparciu o Tarczę Prywatności.

Wskutek wydania Wyroku w sprawie Schrems II, przekazywanie danych osobowych do Stanów Zjednoczonych w związku z Tarczą Prywatności stało się niezgodne z przepisami RODO, bowiem TSUE orzekł, że prawo USA nie zapewnia zasadniczo równoważnego stopnia ochrony jak w UE. W konsekwencji, powołanie się na wypełnienie obowiązków z Privacy Shiled przy przekazywaniu danych do USA jest niewystarczające oraz zachodzi konieczność każdorazowej oceny czy przekazywanie danych do USA jest zgodne z RODO.

Spośród dostępnych możliwości rozwiązania zaistniałego problemu,  szczególną uwagę należy zwrócić na tzw. standardowe klauzule umowne. TSUE uchylając Privacy Shield potwierdził, że decyzja Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich […] jest ważna. W konsekwencji wydawałoby się, że stosowanie standardowych klauzul umownych w relacji z podmiotem z USA będzie wystarczającą podstawą dla transferu danych osobowych, jednak bardziej szczegółowa analiza orzeczenia prowadzi do wniosku, że samo wprowadzenie standardowych klauzul umownych nie będzie wystarczające. Trybunał wskazał bowiem, że ma wątpliwości, czy prawo Stanów Zjednoczonych zapewnia stopień ochrony wymagany przez RODO, dlatego też „[..] mający siedzibę w Unii administrator i podmiot odbierający dane osobowe mają obowiązek uprzedniego sprawdzenia tego, czy w danym państwie trzecim jest przestrzegany wymagany przez prawo Unii stopień ochrony”.

Stosowanie standardowych klauzul umownych może zostać uzupełnione o stosowne zabezpieczenia dodatkowe. W kwestii możliwych do zastosowania zabezpieczeń dodatkowych wypowiedział się ostatnio niemiecki Organ do spraw Ochrony Danych i Wolności Informacji dla Badeni-Wirtembergii. Wskazał on na potencjalne zabezpieczenia dodatkowe takie jak szyfrowanie, czy anonimizacja. Polski prezes UODO poinformował, że „gdy w świetle dokonanej oceny poziom ochrony danych osobowych nie będzie merytorycznie równoważny z poziomem gwarantowanym w UE,  przekazywanie danych może być uzależnione od zapewnienia równoważnego poziomu ich ochrony za pomocą innych środków”.

Mając na uwadze, że przekazywanie danych osobowych do Stanów Zjednoczonych na podstawie Tarczy Prywatności nie jest już możliwe, firmy powinny dokonać przeglądu wiążących je umów. Wszelkie odwołania do Tarczy Prywatności jako podstawy zgodnego z prawem transferu danych do Stanów Zjednoczonych, powinny zostać zastąpione regulacjami zgodnymi z obowiązującym stanem prawnym. Powyższe tyczy się również klauzul informacyjnych dostępnych na stronach internetowych firm oraz polityk prywatności. Ponadto, w sytuacji transferu danych osobowych do USA, należy ze szczególną starannością przeanalizować dodatkowe zabezpieczenia.

W razie jakichkolwiek pytań zapraszamy do kontaktu z mecenas Wiolettą Gwizdałą:

Wioletta Gwizdała

tel.: +48 506 659 635,

e-mail: wioletta.gwizdala@sgp.pl