August 2020

Ważny wyrok w sprawie przekazywania danych osobowych do USA. Jak wyrok TSUE wpływa na korzystanie z usług Google czy Facebook?

3 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents

W wyroku z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w wyroku w sprawie C-311/18 unieważnił decyzję Komisji Europejskiej, zgodnie z którą Tarcza Prywatności UE-USA zapewniała adekwatną ochronę dany osobowych i która to decyzja stanowiła podstawę do przekazywania danych osobowych poza Obszar UE.

Zdaniem TSUE ustawodawstwo amerykańskie przyznając pierwszeństwo wymaganiom dotyczącym bezpieczeństwa narodowego i interesu publicznego umożliwia organom władz publicznych USA ograniczenie ochrony danych osobowych, przez co w USA nie jest zapewniony odpowiedni stopień ochrony danych osobowych. Ponadto, TSUE odniósł się również do braków w zakresie ochrony sądowej osób, których dane osobowe są przekazywane do USA.


Co dalej z transferem danych osobowych do firm z USA?

Oznacza to, że od momentu unieważnienia tej decyzji, transfery danych osobowych do podmiotów z USA nie mogą się już odbywać w oparciu o unieważnioną decyzję Komisji. Ma to szczególne znaczenie w przypadku współpracy z firmami takimi jak chociażby Google czy Facebook.

W związku z wyrokiem, przekazywanie danych osobowych do USA do podmiotów certyfikowanych w ramach Tarczy Prywatności zasadniczo nie ma już podstawy prawnej, chyba że dane te są przekazywane z zastrzeżeniem odpowiednich zabezpieczeń, w tym wiążących reguł korporacyjnych oraz wyjątków w odniesieniu do szczególnych sytuacji.

W przypadku konieczności dalszego przekazywania danych osobowych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego.


Przekazywanie danych osobowych do USA - co na to Google?

Zgodnie z moją wiedzą Google pracuje obecnie nad wdrożeniem standardowych klauzul umownych, które mają stać się podstawą przekazywania danych osobowych do USA w miejsce nieważnej decyzji Komisji.

Niestety, standardowe klauzule umowne mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego. Ma to miejsce w szczególności wówczas, gdy prawo tego państwa trzeciego pozwala organom jego władzy publicznej na ingerencję w prawa osób, których te dane dotyczą. Biorąc pod uwagę wnioski TSUE płynące  z wyroku można mieć więc poważną wątpliwość, czy standardowe klauzule umowne będą stanowić wystarczającą podstawę do przekazania danych osobowych do USA. Konsekwentnie, bezpieczniejszą drogą byłoby udzielanie dodatkowych zabezpieczeń w stosunku do tych ustalonych w klauzulach.


Będą wytyczne Europejskiej Rady Ochrony Danych

Europejska Rada Ochrony Danych zobowiązała się do przygotowania wytycznych dotyczących wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem TSUE, które mogą być pomocne w znalezieniu właściwej, zgodnej z RODO drogi do przekazywania danych osobowych do USA.

Co w zamian za Tarczę Prywatności?

Na ten moment rekomendujemy:

  1. Weryfikację, czy Twoja firma przekazuje dane osobowe do USA, a jeśli tak to na jakiej podstawie;
  2. Zmianę treści polityki prywatności oraz treści obowiązku informacyjnego spełnianego wobec użytkowników w tych przypadkach, w jakich zawierają one odniesienie do Tarczy Prywatności;
  3. Zaprzestanie (zawieszenie) transferów danych osobowych do USA, jeśli są one przekazywane wyłącznie na podstawie Tarczy Prywatności;
  4. Analizę, czy istnieje inna podstawa przekazania danych osobowych, przykładowo obejmująca standardowe klauzule umowne;
  5. Sprawdzenie czy nie zachodzi konieczność zmiany treści obowiązujących porozumień.

Jeżeli zainteresowała Cię ta informacja i chciałbyś się nas o coś dopytać lub poradzić, zapraszam do skontaktowania się z Kancelarią za pomocą formularza dostępnego po kliknięciu w poniższy przycisk:

Is this article not enough?
If you still haven't found answers to your questions or require legal advice - we're here to help.

Fill out our contact form, let's talk.

Contact us
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents