W wyroku z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w wyroku w sprawie C-311/18 unieważnił decyzję Komisji Europejskiej, zgodnie z którą Tarcza Prywatności UE-USA zapewniała adekwatną ochronę dany osobowych i która to decyzja stanowiła podstawę do przekazywania danych osobowych poza Obszar UE.
Zdaniem TSUE ustawodawstwo amerykańskie przyznając pierwszeństwo wymaganiom dotyczącym bezpieczeństwa narodowego i interesu publicznego umożliwia organom władz publicznych USA ograniczenie ochrony danych osobowych, przez co w USA nie jest zapewniony odpowiedni stopień ochrony danych osobowych. Ponadto, TSUE odniósł się również do braków w zakresie ochrony sądowej osób, których dane osobowe są przekazywane do USA.
Oznacza to, że od momentu unieważnienia tej decyzji, transfery danych osobowych do podmiotów z USA nie mogą się już odbywać w oparciu o unieważnioną decyzję Komisji. Ma to szczególne znaczenie w przypadku współpracy z firmami takimi jak chociażby Google czy Facebook.
W związku z wyrokiem, przekazywanie danych osobowych do USA do podmiotów certyfikowanych w ramach Tarczy Prywatności zasadniczo nie ma już podstawy prawnej, chyba że dane te są przekazywane z zastrzeżeniem odpowiednich zabezpieczeń, w tym wiążących reguł korporacyjnych oraz wyjątków w odniesieniu do szczególnych sytuacji.
W przypadku konieczności dalszego przekazywania danych osobowych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego.
Zgodnie z moją wiedzą Google pracuje obecnie nad wdrożeniem standardowych klauzul umownych, które mają stać się podstawą przekazywania danych osobowych do USA w miejsce nieważnej decyzji Komisji.
Niestety, standardowe klauzule umowne mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego. Ma to miejsce w szczególności wówczas, gdy prawo tego państwa trzeciego pozwala organom jego władzy publicznej na ingerencję w prawa osób, których te dane dotyczą. Biorąc pod uwagę wnioski TSUE płynące z wyroku można mieć więc poważną wątpliwość, czy standardowe klauzule umowne będą stanowić wystarczającą podstawę do przekazania danych osobowych do USA. Konsekwentnie, bezpieczniejszą drogą byłoby udzielanie dodatkowych zabezpieczeń w stosunku do tych ustalonych w klauzulach.
Europejska Rada Ochrony Danych zobowiązała się do przygotowania wytycznych dotyczących wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem TSUE, które mogą być pomocne w znalezieniu właściwej, zgodnej z RODO drogi do przekazywania danych osobowych do USA.
Na ten moment rekomendujemy:
Jeżeli zainteresowała Cię ta informacja i chciałbyś się nas o coś dopytać lub poradzić, zapraszam do skontaktowania się z Kancelarią za pomocą formularza dostępnego po kliknięciu w poniższy przycisk: