BiznesRynekPolecane tematy

Schrems II: czy transfer danych osobowych do USA jest nadal możliwy?

Firmy na szeroką skalę wykorzystują usługi cloud computing, czy platformy automatyzacji marketingu dostarczane przez podmioty z rynku amerykańskiego. Korzystanie z nich wiąże się – co do zasady – z przekazywaniem danych osobowych. W grę wchodzi zatem konieczność zapewnienia zgodności z RODO/GDPR1. Z tego powodu niemałe zamieszanie wśród unijnych przedsiębiorców wywołała informacja o unieważnieniu podstawy transferu danych osobowych na linii Europejski Obszar Gospodarczy – USA w sprawie Schrems II.

Schrems II: czy transfer danych osobowych do USA jest nadal możliwy?

Odpowiadając na tytułowe pytanie, transfer danych osobowych do USA jest nadal możliwy, jednakże znacznie utrudniony, a standardowe klauzule umowne (jeden z mechanizmów transferu danych do państw trzecich np. USA) okazują się niewystarczające. Zaznaczyć należy, że skutki unieważnienia podstawy transferu danych osobowych do USA nie odnoszą się wyłącznie do tego kraju, a dotyczą transferu danych osobowych do wszystkich tzw. państw trzecich, krajów nienależących do Europejski Obszar Gospodarczy (EOG) i niezapewniających poziomu ochrony danych równoważnego z poziomem UE2.

W kwestii transferu danych osobowych poza EOG, RODO dzieli państwa na kraje:

  1. które zgodnie z decyzją Komisji Europejskiej zapewniają danym osobowym odpowiedni stopień ochrony np. Izrael, Szwajcaria, Japonia3;
  2. które tego stopnia nie zapewniają tzw. „państwa trzecie”, do których zalicza się np. Indie, Brazylię a także od niedawna… USA.

Powyższe rozróżnienie ma pierwszorzędne znaczenie w przypadku, gdy firma stoi przed podjęciem decyzji np. o wdrożeniu nowego rozwiązania IT, które wymaga transferu danych osobowych poza EOG.

Transfer danych osobowych poza EOG

W pierwszym przypadku, transfer danych osobowych do krajów zapewniających odpowiedni stopień ochrony danych nie wymaga ze strony podmiotu przekazującego dane dodatkowych zabezpieczeń organizacyjno–prawnych. Oznacza to, że transfer danych, np. na linii firma z Polski – firma z Japonii, odbywa się na tych samych warunkach, jak przekazanie danych firmie z Niemiec, nie wymaga to zatem specjalnego zezwolenia. Należy jednak mieć na uwadze, że transfer danych osobowych to przetwarzanie danych, a zatem inne obowiązki RODO – jak np. podstawa prawna przetwarzania – muszą zostać zachowane.

TSUE uznał, że standardowe klauzule umowne i inne narzędzia przekazywania, o których mowa w Art. 46 RODO, nie funkcjonują w próżni, a zatem samo ich podpisanie nie może „załatwiać sprawy”. Konieczne jest sprawdzenie czy prawo lub praktyka państwa trzeciego mają negatywny wpływ na skuteczność mechanizmów transferu danych osobowych, np. standardowych klauzul umownych. W wyroku jasno stwierdzono, że taki negatywny wpływ występuje w przypadku transferu danych osobowych do USA, tym samym, aby przekazać je do firmy z USA konieczne jest wdrożenie środków uzupełniających, które wypełnią luki w ochronie i podniosą poziom bezpieczeństwa danych do tego wymaganego przez prawo UE.

Jeszcze do niedawna USA zaliczało się do krajów względnie „bezpiecznych”. Jednakże za sprawą Schrems II, USA zostało uznane za „państwo trzecie”. W drugim przypadku, transfer danych osobowych do krajów niezapewniających odpowiedniego stopnia ochrony danych jest uzależniony od spełnienia dodatkowych warunków. RODO przewiduje, że administrator danych może przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują w kraju, do którego dane są przekazywane egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Przykładowym mechanizmem zabezpieczenia danych osobowych są standardowe klauzule umowne, po podpisaniu których transfer danych osobowych jest generalnie dozwolony. Generalnie, ponieważ samo podpisanie standardowych klauzul umownych może zostać uznane za niewystarczające, co wyraźnie podkreślił Trybunał Sprawiedliwości Unii Europejskiej w sprawie Schrems II4.

Privacy Shield vs. Schrems II

Jeszcze do niedawna – do czasu wyroku TSUE z dnia 16 lipca 2020 r. w sprawie Schrems II – transfer danych osobowych do USA nie wymagał specjalnych zezwoleń ani nie podlegał szczególnym wymogom. Działo się to wszystko za sprawą Privacy Shield, czyli decyzji Komisji Europejskiej stwierdzającej, że USA zapewnia odpowiedni stopień ochrony danych osobowych. Konsekwencją tego było, że przepływ danych osobowych do USA był swobodny i nieograniczony prawnie.

Echo wyroku TSUE zaczęło wybrzmiewać wśród organów nadzorczych nad ochroną danych osobowych w UE. Niektóre z nich nakazały administratorom danych zatrzymanie transferu danych osobowych do USA pomimo podpisania standardowych klauzul umownych. Takie rozstrzygnięcie wydał dnia 27 kwietnia 2021 r. portugalski organ nadzorczy CNPD. Decyzja dotyczyła Instituto Nacional de Estatistica (INE), podmiotu przeprowadzającego aktualnie spis powszechny. INE zaangażowała do tego przedsięwzięcia Cloudflare z USA. Portugalski organ nadzorczy stwierdził, że Clouflare podlega bezpośrednio amerykańskim przepisom dotyczącym nadzoru ze względu na bezpieczeństwo narodowe, które umożliwiają władzom USA dostęp do danych osobowych przetwarzanych przez tę firmę.

Jednakże wyrok TSUE w sprawie Schrems II odwrócił sytuację o 180 stopni i unieważnił podstawę transferu danych osobowych do USA, czyli wspomnianą Privacy Shield. Wyrok TSUE spowodował, że USA zostało uznane za państwo trzecie, które nie zapewnia poziomu ochrony danych osobowych merytorycznie równoważnego, jaki gwarantowany jest w EOG.

TSUE orzekł jednocześnie, że standardowe klauzule umowne pozostają ważne, a zatem mogą stanowić legalny mechanizm transferu danych osobowych do USA – nie postawił jednak po tym zdaniu kropki. TSUE dodał, że standardowe klauzule umowne i inne narzędzia przekazywania, o których mowa w art. 46 RODO, nie funkcjonują w próżni, a zatem samo ich podpisanie nie może „załatwiać sprawy”. Poza podpisaniem takiej umowy zabezpieczającej transfer, konieczne jest sprawdzenie czy prawo lub praktyka państwa trzeciego (takiego jak np. USA) mają negatywny wpływ na skuteczność mechanizmów transferu danych osobowych wymienionych w art. 46 RODO np. wspomnianych standardowych klauzul umownych.

RODO przewiduje, że administrator danych może przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują w kraju, do którego dane są przekazywane egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Przykładowym mechanizmem zabezpieczenia danych osobowych są standardowe klauzule umowne, po podpisaniu których transfer danych osobowych jest generalnie dozwolony. Generalnie, ponieważ samo podpisanie standardowych klauzul umownych może zostać uznane za niewystarczające.

W wyroku jasno stwierdzono, że taki negatywny wpływ występuje w przypadku transferu danych osobowych do USA, tym samym, aby przekazać dane osobowe do firmy z USA konieczne jest wdrożenie środków uzupełniających, które wypełnią luki w ochronie i podniosą poziom bezpieczeństwa danych do tego wymaganego przez prawo UE. Trybunał rzecz jasna nie wskazał, jakie to mogą być środki uzupełniające, jednak nakazał ich określenie w każdym konkretnym przypadku przekazywania danych do państw trzecich5.

Większość firm po wyroku unieważniającym transfer danych osobowych do USA wciąż bazuje wyłącznie na standardowych klauzulach umownych. Nie mogą być one jednak utożsamiane z magicznymi zaklęciami, które za pomocą podpisania kilku kartek sprawią, że dane osobowe wysyłane np. do USA lub Indii będą bezpieczne w stopniu równoważnym, w jakim byłyby bezpieczne, bez „opuszczenia” terenu Unii Europejskiej.

Reakcja organów nadzorczych na unieważnienie Privacy Shield

Echo wyroku TSUE unieważniającego Privacy Shield zaczęło również wybrzmiewać wśród organów nadzorczych nad ochroną danych osobowych w UE (w Polsce: Prezes Urzędu Ochrony Danych Osobowych). Niektóre organy nadzorcze nakazały administratorom danych zatrzymanie transferu danych osobowych do USA pomimo podpisania standardowych klauzul umownych.

Takie rozstrzygnięcie wydał dnia 27 kwietnia 2021 r. portugalski organ nadzorczy CNPD6. Decyzja dotyczyła Instituto Nacional de Estatistica (INE), podmiotu przeprowadzającego aktualnie w Portugalii spis powszechny. INE zaangażowała do tego przedsięwzięcia podmiot z USA – Cloudflare z siedzibą w Kalifornii. Portugalski organ nadzorczy stwierdził, że Clouflare podlega bezpośrednio amerykańskim przepisom dotyczącym nadzoru ze względu na bezpieczeństwo narodowe, które umożliwiają władzom USA dostęp do danych osobowych przetwarzanych przez Cloudflare. Portugalski organ nadzorczy ponadto zarzucił INE, że nie wdrożyła żadnych środków uzupełniających, aby zapewnić odpowiedni stopień ochrony danych osobowych transferowanych do USA, tym samym wydał decyzje o zawieszeniu w ciągu 12 godzin wszelkich transferów danych osobowych do USA lub innych państw trzecich. Takie rozstrzygnięcie zostało wydane pomimo tego, że INE i Cloudflare podpisali standardowe klauzule umowne.

Warto zastanowić się, ile polskich firm na stan dzisiejszy poddaje analizie ustawodawstwo państwa trzeciego oraz wdraża dodatkowe środki zabezpieczające transfer danych osobowych do państw trzecich. Wydaje się również, że firmy powinny opracować odpowiednie procedury na wypadek decyzji organu nadzorczego w sprawie zawieszenie transferu danych do USA. Ma to szczególne znaczenie w przypadku, gdy firma nie może w zasadzie funkcjonować bez konkretnego dostawcy.

W analogicznej sytuacji znalazła się firma z Niemiec wykorzystująca narzędzie do automatyzacji marketingu dostarczane przez Mailchimp z siedzibą z USA. Niezależnie od podpisania standardowych klauzul umownych, bawarski organ nadzorczy ocenił, że transfer danych osobowych do Mailchimp był nielegalny z analogicznych powodów jak w sprawie Cloudflare.

Powyższe decyzje organów nadzorczych pokazują, że mogą one w przyszłości przykuwać coraz więcej uwagi do tego, czy firmy podjęły większy wysiłek niż „przeklinanie” standardowych klauzul umownych (zazwyczaj w ten sposób następuje ich podpisanie z gigantami IT). Warto zastanowić się, ile polskich firm na stan dzisiejszy poddaje analizie ustawodawstwo państwa trzeciego oraz wdraża dodatkowe środki zabezpieczające transfer danych osobowych do państw trzecich. Wydaje się również, że firmy powinny opracować odpowiednie procedury na wypadek decyzji organu nadzorczego w sprawie zawieszenie transferu danych do USA. Ma to szczególne znaczenie w przypadku, gdy firma nie może w zasadzie funkcjonować bez konkretnego dostawcy.

Na koniec zadanie domowe. Należy sprawdzić czy przypadkiem w dokumentach wewnętrznych, zawieszonych na stronie internetowej w dalszym ciągu nie powołujemy się na Privacy Shield.

dr Bartosz Marcinkowski, Partner, radca prawny, Szef Zespołu Ochrony Danych Osobowych Domański Zakrzewski Palinka
Adam Prokop, prawnik, członek Zespołu Ochrony Danych Osobowych Domański Zakrzewski Palinka


1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
2 – Europejski Obszar Gospodarczy obejmuje kraje Unii Europejskiej oraz Lichtenstein, Norwegię, Islandię.
3 – Pełna lista krajów zapewniających odpowiedni stopień ochrony danych osobowych dostępna pod linkiem: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
4 Zob. Wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 r. w sprawie Schrems II (C – 311/18).
5 Zob. Zalecenia 01/2020 EROD dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopnień ochrony danych osobowych dostępne pod linkiem: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_pl.
6 Zob. https://www.cnpd.pt/comunicacao-publica/noticias/censos-2021-cnpd-suspende-fluxos-para-os-eua/.


Artykuł ukazał się na łamach Magazynu ITwiz nr. 3/2021. Zamów poniżej:

Magazyn ITwiz 3/2021

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *