16 lipca 2020 r. zapadł wyrok w sprawie podstawy do transferu danych osobowych do USA, mający ogromne znaczenie nie tylko dla osób, których dane dotyczą, ale przede wszystkim dla administratorów oraz podmiotów przetwarzających te dane. Trybunał Sprawiedliwości Unii Europejskiej rozstrzygnął spór pomiędzy irlandzkim Komisarzem Ochrony Danych (odpowiednik polskiego PUODO) a Facebook Ireland Ltd i Max’em Schrems’em – austriackim prawnikiem i aktywistą na rzecz ochrony danych. Rozstrzygnięta została kwestia zapewnienia odpowiedniego poziomu ochrony danych osobowych po ich transferze z Europejskiego Obszaru Gospodarczego na teren Stanów Zjednoczonych. Problem ten powstał ze wzglądu na sprzeczność przepisów europejskich i amerykańskich – prawo USA nakazuje Facebook’owi przekazywać dane użytkowników do Agencji Bezpieczeństwa Narodowego (NSA) czy Federalnego Biura Śledczego (FBI), w związku z czym dysponując danymi osobowymi Europejczyków nie jest w stanie zapewnić im ich praw. TSUE uznał, że obowiązująca do tej pory tzw. Tarcza Prywatości (Privacy Shield) jest nieważna, natomiast stosowanie standardowych klauzul umownych jak najbardziej może stanowić podstawę transferu danych z UE do kraju trzeciego, jednak pod warunkiem, że odbiorca danych zapewni im poziom bezpieczeństwa nie mniejszy niż określony przez RODO.
Privacy Shield
Porozumienie „Tarcza Prywatności” (EU – U.S. Privacy Shield Framework) zostało opracowane na potrzeby sprawniejszej współpracy podmiotów europejskich i amerykańskich na polu ochrony danych osobowych. Każda zainteresowana organizacja, która przystąpiła do programu (uczestnictwo było dobrowolne) i została zaakceptowana przez Departament Handlu Stanów Zjednoczonych jako spełniająca wymogi bezpieczeństwa i odpowiedniego poziomu ochrony danych umieszczana jest na stronie www.privacyshield.gov, co potwierdza, iż może być odbiorcą danych osobowych Europejczyków. Nadzór nad spełnianiem wymagań Tarczy Prywatności prowadzi Departament Handlu, przeprowadzając u uczestników okresowe audyty. Program funkcjonuje od lipca 2016 r. zrzeszając ponad 5 tys. organizacji. Poniżej wymienione zostały najistotniejsze zasady (często tożsame z wymaganiami RODO), które dotyczą podmiotów uczestniczących w programie:
- Cel przetwarzania i minimalizacji danych – należy przetwarzać jedynie dane niezbędne do osiągnięcia wskazanego celu;
- Integralność danych – dane muszą być kompletne i aktualne;
- Prawa osób – podmiot ma obowiązek informowania jaki jest cel i zakres przetwarzania, czy dane są przekazywane dalej, jaka jest odpowiedzialność podmiotu za dane osobowe, a także poprawienia lub usunięcia danych lub zaprzestania ich przetwarzania na wniosek osoby, której dane dotyczą;
- Zapewnienie bezpieczeństwa – środki ochrony danych osobowych powinny być adekwatne do ryzyka naruszenia ich bezpieczeństwa;
- Regulacje wewnętrze – należy wprowadzić szereg rozwiązań wewnątrz organizacji, aby zapewnić przestrzeganie zasad wynikających z Privacy Shield, podmiot musi być w stanie to udowodnić;
- Przekazywanie danych – jest możliwe jedynie po spełnieniu dwóch warunków: należy wskazać jasno określony cel przekazania danych oraz odbywać się ono będzie na podstawie umowy, w której znajdą się zapisy zobowiązujące podmiot odbierający do stosowania zasad ochrony nie mniejszych niż przewidzianych w Privacy Shield.
Jak więc widać poziom ochrony gwarantowany przez Privacy Shield nie wiele odbiegał od standardów europejskich. Jednak we wspomnianym wcześniej wyroku Schrems II TSUE orzekł, że postanowienia programu nie zapewniają odpowiedniego poziomu ochrony danych osobowych przy transferze danych z Europy do Stanów Zjednoczonych i stosowanie ich od daty wydania orzeczenia jest niedopuszczalne.
Standardowe klauzule umowne
W artykule 46 RODO jako odpowiednie zabezpieczenie danych osobowych przy transferze do państwa trzeciego wymienia się „standardowe klauzule ochrony danych”. Ale co to takiego?
Otóż Komisja Europejska wydała decyzję (Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady), w której podaje treść standardowych zapisów, które powinny znaleźć się w umowie z podmiotem odbierającym dane. Zgodnie z RODO jest to jedno z zabezpieczeń danych osobowych przy ich transferze poza EOG. TSUE we wspomnianym wcześniej wyroku potwierdził ważność decyzji KE, zwracając jednocześnie uwagę, iż stosowanie jedynie klauzul umownych może być jednak niewystarczającym środkiem ochrony danych osobowych podczas ich transferu poza EOG. Taka sytuacja może mieć miejsce, jeśli w danym państwie nie zapewnia się bezpieczeństwa danych osobowych na poziomie określonym przez RODO i wymaganym na terenie Unii Europejskiej. Odpowiedzialność za weryfikację poprawności i monitorowanie bezpieczeństwa eksportu danych leży po stronie administratora.
Podsumowując, wyrok Trybunału Sprawiedliwości UE spowodował zwiększenie ryzyka, iż transfer danych osobowych do USA nie będzie zapewniał odpowiedniego poziomu ich bezpieczeństwa. Każdy administrator powinien więc przeanalizować raz jeszcze komu powierza/przekazuje dane, czy dana organizacja znajduje się na terytorium państwa uznanego przez Komisję Europejską jako zapewniającego odpowiedni poziom ochrony oraz jakie zabezpieczenia są stosowane, jeśli w istocie do transferu dochodzi. Co więcej, zgodnie z art. 13 RODO należy pamiętać również o poinformowaniu o eksporcie danych osób, których dane te dotyczą.
Autor: Tomasz Cieślik