{"id":645,"date":"2020-08-07T11:29:04","date_gmt":"2020-08-07T11:29:04","guid":{"rendered":"https:\/\/sawaryn.com\/?p=645"},"modified":"2026-04-22T08:38:15","modified_gmt":"2026-04-22T08:38:15","slug":"wazny-wyrok-w-sprawie-przekazywania-danych-osobowych-do-usa-jak-wyrok-tsue-wplywa-na-korzystanie-z-uslug-google-czy-facebook","status":"publish","type":"post","link":"https:\/\/sawaryn.com\/en\/publikacje\/wyrok-tsue-tarcza-prywatnosci-ue-usa-google\/","title":{"rendered":"Wa\u017cny wyrok w sprawie przekazywania danych osobowych do USA. Jak wyrok TSUE wp\u0142ywa na korzystanie z us\u0142ug Google czy Facebook?"},"content":{"rendered":"<h1>Tarcza Prywatno\u015bci UE-USA uniewa\u017cniona \u2013 co to oznacza dla Twojej firmy i transferu danych do USA<\/h1>\n<p>TSUE uniewa\u017cni\u0142 Tarcz\u0119 Prywatno\u015bci UE-USA (<strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/wyrok-tsue-tarcza-prywatnosci-ue-usa-google\/\">wyrok z 16 lipca 2020 r., sprawa C-311\/18<\/a><\/strong>). Je\u015bli Twoja firma przekazuje dane osobowe do USA \u2013 np. korzysta z Google, Facebooka lub innych ameryka\u0144skich dostawc\u00f3w \u2013 dotychczasowa podstawa prawna transferu przesta\u0142a obowi\u0105zywa\u0107. Musisz zweryfikowa\u0107, na jakiej podstawie przekazujesz dane, i wdro\u017cy\u0107 odpowiednie zabezpieczenia.<\/p>\n<h2>Dlaczego TSUE uniewa\u017cni\u0142 Tarcz\u0119 Prywatno\u015bci<\/h2>\n<p>TSUE uzna\u0142, \u017ce ameryka\u0144skie prawo nie zapewnia odpowiedniego poziomu ochrony danych osobowych. Powody:<\/p>\n<ul>\n<li><strong>Pierwsze\u0144stwo bezpiecze\u0144stwa narodowego<\/strong> \u2013 ustawodawstwo USA pozwala organom w\u0142adzy publicznej ogranicza\u0107 ochron\u0119 danych osobowych w imi\u0119 bezpiecze\u0144stwa narodowego i interesu publicznego.<\/li>\n<li><strong>Brak skutecznej ochrony s\u0105dowej<\/strong> \u2013 osoby, kt\u00f3rych dane s\u0105 przekazywane do USA, nie maj\u0105 wystarczaj\u0105cych \u015brodk\u00f3w ochrony prawnej przed ameryka\u0144skimi s\u0105dami.<\/li>\n<li><strong>Ingerencja organ\u00f3w publicznych<\/strong> \u2013 prawo USA umo\u017cliwia s\u0142u\u017cbom dost\u0119p do danych bez zapewnienia gwarancji por\u00f3wnywalnych z tymi obowi\u0105zuj\u0105cymi w UE.<\/li>\n<\/ul>\n<h2>Co to oznacza w praktyce<\/h2>\n<p>Od momentu wydania wyroku:<\/p>\n<ul>\n<li>Transfery danych do podmiot\u00f3w z USA <strong>nie mog\u0105<\/strong> opiera\u0107 si\u0119 na uniewa\u017cnionej decyzji Komisji (Tarcza Prywatno\u015bci).<\/li>\n<li>Dotyczy to ka\u017cdej firmy, kt\u00f3ra korzysta z <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/twoje-dane-w-obcych-rekach-jak-bezpiecznie-powierzac-przetwarzanie-danych\/\">us\u0142ug ameryka\u0144skich dostawc\u00f3w<\/a><\/strong> \u2013 w tym Google, Facebook, Amazon czy Microsoft.<\/li>\n<li><strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/transfer-danych-osobowych-poza-ue\/\">Przekazywanie danych do USA<\/a><\/strong> wymaga teraz <strong>innej podstawy prawnej<\/strong> and <strong>dodatkowych zabezpiecze\u0144<\/strong>.<\/li>\n<\/ul>\n<h2>Jakie zabezpieczenia mo\u017cna zastosowa\u0107 zamiast Tarczy Prywatno\u015bci<\/h2>\n<p>Je\u015bli musisz dalej przekazywa\u0107 dane osobowe do USA, RODO przewiduje kilka alternatywnych mechanizm\u00f3w:<\/p>\n<ul>\n<li><strong>Standardowe klauzule umowne (SCC)<\/strong> \u2013 przyj\u0119te przez Komisj\u0119 Europejsk\u0105 lub organ nadzorczy.<\/li>\n<li><strong>Wi\u0105\u017c\u0105ce regu\u0142y korporacyjne (BCR)<\/strong> \u2013 wewn\u0119trzne polityki ochrony danych w grupach kapita\u0142owych.<\/li>\n<li><strong>Klauzule umowne dopuszczone przez organ nadzorczy<\/strong> \u2013 indywidualnie zatwierdzone postanowienia.<\/li>\n<li><strong>Wyj\u0105tki dla szczeg\u00f3lnych sytuacji<\/strong> \u2013 np. wyra\u017ana zgoda osoby, kt\u00f3rej dane dotycz\u0105, lub wykonanie umowy.<\/li>\n<\/ul>\n<p>Ka\u017cde z tych zabezpiecze\u0144 musi gwarantowa\u0107 poziom ochrony por\u00f3wnywalny z tym, jaki obowi\u0105zuje przy przetwarzaniu danych wewn\u0105trz UE.<\/p>\n<h2>Czy standardowe klauzule umowne wystarcz\u0105<\/h2>\n<p>Kr\u00f3tka odpowied\u017a: <strong>nie zawsze<\/strong>. Oto dlaczego:<\/p>\n<ul>\n<li>TSUE wprost wskaza\u0142, \u017ce SCC mog\u0105 nie zapewni\u0107 skutecznej ochrony, je\u015bli prawo pa\u0144stwa trzeciego pozwala organom publicznym na ingerencj\u0119 w dane.<\/li>\n<li>W przypadku USA \u2013 bior\u0105c pod uwag\u0119 ustalenia TSUE dotycz\u0105ce uprawnie\u0144 ameryka\u0144skich s\u0142u\u017cb \u2013 samo zastosowanie SCC budzi powa\u017cne w\u0105tpliwo\u015bci.<\/li>\n<li><strong>Bezpieczniejsza droga<\/strong>: stosuj SCC razem z <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/rodo-zasady-privacy-by-design-i-privacy-by-default-w-praktyce\/\">dodatkowymi zabezpieczeniami technicznymi i organizacyjnymi<\/a><\/strong> (np. szyfrowanie, pseudonimizacja, ograniczenie zakresu przekazywanych danych).<\/li>\n<\/ul>\n<h2>Co zrobi\u0142 Google po wyroku<\/h2>\n<p>Google wdro\u017cy\u0142 standardowe klauzule umowne jako now\u0105 podstaw\u0119 transferu danych do USA \u2013 w miejsce uniewa\u017cnionej Tarczy Prywatno\u015bci.<\/p>\n<p>To jednak nie zamyka tematu po Twojej stronie. Jako administrator danych odpowiadasz za to, czy zastosowana podstawa prawna jest wystarczaj\u0105ca. Sam fakt, \u017ce Google wdro\u017cy\u0142 SCC, nie zwalnia Ci\u0119 z obowi\u0105zku:<\/p>\n<ul>\n<li>oceny ryzyka transferu,<\/li>\n<li>weryfikacji, czy SCC faktycznie chroni\u0105 dane w kontek\u015bcie prawa USA,<\/li>\n<li>wdro\u017cenia dodatkowych zabezpiecze\u0144, je\u015bli to konieczne.<\/li>\n<\/ul>\n<h2>Wytyczne Europejskiej Rady Ochrony Danych (EROD)<\/h2>\n<p>EROD opublikowa\u0142a wytyczne dotycz\u0105ce transferu danych do pa\u0144stw trzecich po wyroku TSUE. Zawieraj\u0105 one:<\/p>\n<ul>\n<li>Metodologi\u0119 oceny, czy transfer jest zgodny z RODO.<\/li>\n<li>Wskaz\u00f3wki dotycz\u0105ce doboru odpowiednich zabezpiecze\u0144.<\/li>\n<li>Praktyczne podej\u015bcie do analizy prawa pa\u0144stwa trzeciego pod k\u0105tem ryzyka dla danych osobowych.<\/li>\n<\/ul>\n<p>Skorzystaj z tych wytycznych jako punktu odniesienia przy ustalaniu, jak legalnie przekazywa\u0107 dane do USA.<\/p>\n<h2>Co musisz zrobi\u0107 \u2013 checklist<\/h2>\n<ol>\n<li><strong>Zweryfikuj transfery<\/strong> \u2013 sprawd\u017a, czy Twoja firma przekazuje dane osobowe do USA i na jakiej podstawie prawnej to robi.<\/li>\n<li><strong>Zaktualizuj polityk\u0119 prywatno\u015bci<\/strong> \u2013 usu\u0144 odniesienia do Tarczy Prywatno\u015bci z <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/jak-przygotowac-polityke-prywatnosci-i-cookies-zgodna-z-rodo\/\">polityki prywatno\u015bci<\/a><\/strong> i obowi\u0105zk\u00f3w informacyjnych wobec u\u017cytkownik\u00f3w.<\/li>\n<li><strong>Zawie\u015b transfery bez podstawy<\/strong> \u2013 je\u015bli jedyn\u0105 podstaw\u0105 by\u0142a Tarcza Prywatno\u015bci, wstrzymaj przekazywanie danych do czasu wdro\u017cenia nowego mechanizmu.<\/li>\n<li><strong>Znajd\u017a alternatywn\u0105 podstaw\u0119<\/strong> \u2013 przeanalizuj, czy mo\u017cesz oprze\u0107 transfer na standardowych klauzulach umownych, wi\u0105\u017c\u0105cych regu\u0142ach korporacyjnych lub innym mechanizmie z RODO.<\/li>\n<li><strong>Wdr\u00f3\u017c dodatkowe zabezpieczenia<\/strong> \u2013 je\u015bli stosujesz SCC, oce\u0144, czy potrzebujesz dodatkowych \u015brodk\u00f3w technicznych lub organizacyjnych.<\/li>\n<li><strong>Przejrzyj obowi\u0105zuj\u0105ce umowy<\/strong> \u2013 sprawd\u017a, czy porozumienia z kontrahentami z USA wymagaj\u0105 zmiany tre\u015bci lub uzupe\u0142nienia o nowe klauzule.<\/li>\n<\/ol>\n<h2>Kiedy dzia\u0142a\u0107<\/h2>\n<p>Wyrok obowi\u0105zuje od dnia wydania \u2013 16 lipca 2020 r. Je\u015bli do tej pory nie dostosowa\u0142e\u015b transfer\u00f3w danych, ka\u017cdy dzie\u0144 zw\u0142oki zwi\u0119ksza ryzyko naruszenia RODO. Organy nadzorcze mog\u0105 kwestionowa\u0107 transfery oparte wy\u0142\u0105cznie na Tarczy Prywatno\u015bci lub na samych SCC bez dodatkowej analizy ryzyka.<\/p>\n<p>Uporz\u0105dkuj podstawy prawne transferu, zaktualizuj dokumentacj\u0119 i wdr\u00f3\u017c zabezpieczenia \u2013 zanim temat pojawi si\u0119 przy kontroli lub audycie.<\/p>\n<h2>Najcz\u0119\u015bciej zadawane pytania<\/h2>\n<p><strong>Co w praktyce oznacza uniewa\u017cnienie Tarczy Prywatno\u015bci UE\u2013USA dla firmy, kt\u00f3ra korzysta z Google, Facebooka albo innych dostawc\u00f3w z USA?<\/strong> Dotychczasowa podstawa prawna transferu danych osobowych do USA przesta\u0142a obowi\u0105zywa\u0107. Je\u015bli Twoja firma korzysta z us\u0142ug Google, Facebooka, Amazona, Microsoftu lub innych ameryka\u0144skich dostawc\u00f3w, musisz zweryfikowa\u0107, na jakiej podstawie przekazujesz dane, i wdro\u017cy\u0107 inny mechanizm zabezpieczaj\u0105cy wraz z dodatkowymi \u015brodkami ochrony \u2013 w przeciwnym razie ka\u017cdy taki transfer narusza RODO.<\/p>\n<br>\n<p><strong>Na jakiej podstawie prawnej mo\u017cna dzi\u015b legalnie przekazywa\u0107 dane osobowe do USA po uniewa\u017cnieniu Tarczy Prywatno\u015bci?<\/strong> RODO przewiduje kilka alternatywnych mechanizm\u00f3w: standardowe klauzule umowne (SCC) przyj\u0119te przez Komisj\u0119 Europejsk\u0105, wi\u0105\u017c\u0105ce regu\u0142y korporacyjne (BCR) stosowane w grupach kapita\u0142owych, klauzule umowne indywidualnie zatwierdzone przez organ nadzorczy oraz wyj\u0105tki dla szczeg\u00f3lnych sytuacji \u2013 np. wyra\u017ana zgoda osoby, kt\u00f3rej dane dotycz\u0105, lub konieczno\u015b\u0107 wykonania umowy. Ka\u017cdy z tych mechanizm\u00f3w musi gwarantowa\u0107 poziom ochrony por\u00f3wnywalny z tym, jaki obowi\u0105zuje przy przetwarzaniu danych wewn\u0105trz UE.<\/p>\n<br>\n<p><strong>Czy same standardowe klauzule umowne wystarcz\u0105, \u017ceby bezpiecznie przekazywa\u0107 dane do USA?<\/strong> Nie zawsze. TSUE wprost wskaza\u0142, \u017ce SCC mog\u0105 nie zapewni\u0107 skutecznej ochrony, je\u015bli prawo pa\u0144stwa trzeciego \u2013 a tak jest w przypadku USA \u2013 pozwala organom publicznym na ingerencj\u0119 w dane. Bezpieczniejsza droga to stosowanie SCC razem z dodatkowymi zabezpieczeniami technicznymi i organizacyjnymi, takimi jak szyfrowanie, pseudonimizacja czy ograniczenie zakresu przekazywanych danych.<\/p>\n<br>\n<p><strong>Czy je\u015bli Google wdro\u017cy\u0142 standardowe klauzule umowne, to moja firma ma ju\u017c temat transferu danych do USA zamkni\u0119ty?<\/strong> Nie. Jako administrator danych odpowiadasz za to, czy zastosowana podstawa prawna jest wystarczaj\u0105ca \u2013 sam fakt, \u017ce Google wdro\u017cy\u0142 SCC, nie zwalnia Ci\u0119 z obowi\u0105zku oceny ryzyka transferu, weryfikacji, czy SCC faktycznie chroni\u0105 dane w kontek\u015bcie prawa USA, oraz wdro\u017cenia dodatkowych zabezpiecze\u0144, je\u015bli to konieczne.<\/p>\n<br>\n<p><strong>Jakie konkretne kroki powinna teraz podj\u0105\u0107 firma, \u017ceby uporz\u0105dkowa\u0107 transfer danych do USA i ograniczy\u0107 ryzyko naruszenia RODO?<\/strong> Zweryfikuj, czy Twoja firma przekazuje dane do USA i na jakiej podstawie prawnej to robi, a nast\u0119pnie usu\u0144 odniesienia do Tarczy Prywatno\u015bci z polityki prywatno\u015bci i obowi\u0105zk\u00f3w informacyjnych. Wstrzymaj transfery, kt\u00f3re opiera\u0142y si\u0119 wy\u0142\u0105cznie na Tarczy Prywatno\u015bci, znajd\u017a alternatywn\u0105 podstaw\u0119 prawn\u0105 (SCC, BCR lub inny mechanizm z RODO), wdr\u00f3\u017c dodatkowe zabezpieczenia techniczne i organizacyjne, a na koniec przejrzyj umowy z kontrahentami z USA pod k\u0105tem konieczno\u015bci ich uzupe\u0142nienia o nowe klauzule.<\/p>","protected":false},"excerpt":{"rendered":"<p>W wyroku z dnia 16 lipca 2020 r. Trybuna\u0142 Sprawiedliwo\u015bci Unii Europejskiej (\u201eTSUE\u201d) w wyroku w sprawie C-311\/18 uniewa\u017cni\u0142 decyzj\u0119 Komisji Europejskiej, zgodnie z kt\u00f3r\u0105 Tarcza Prywatno\u015bci UE-USA zapewnia\u0142a adekwatn\u0105 ochron\u0119 dany osobowych i kt\u00f3ra to decyzja stanowi\u0142a podstaw\u0119 do przekazywania danych osobowych poza Obszar UE. Zdaniem TSUE ustawodawstwo ameryka\u0144skie przyznaj\u0105c pierwsze\u0144stwo wymaganiom dotycz\u0105cym bezpiecze\u0144stwa [&hellip;]<\/p>","protected":false},"author":4,"featured_media":646,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[47],"tags":[269,270,271,266,268,267,265],"language":[],"ppma_author":[72],"class_list":["post-645","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rodo","tag-przekaz-danych","tag-przekazywanie-danych","tag-przekazywanie-danych-osobowych","tag-tarcza-prywatnosci","tag-wyrok-facebook","tag-wyrok-google","tag-wyrok-tsue"],"acf":[],"jetpack_featured_media_url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/11\/google.jpg","authors":[{"term_id":72,"user_id":4,"is_guest":0,"slug":"mateuszs","display_name":"Mateusz Sawaryn","avatar_url":{"url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png","url2x":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png"},"user_url":"https:\/\/www.linkedin.com\/in\/mateuszsawaryn\/","last_name":"Sawaryn","first_name":"Mateusz","description":""}],"_links":{"self":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/comments?post=645"}],"version-history":[{"count":5,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/645\/revisions"}],"predecessor-version":[{"id":4545,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/645\/revisions\/4545"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media\/646"}],"wp:attachment":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media?parent=645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/categories?post=645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/tags?post=645"},{"taxonomy":"language","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/language?post=645"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/ppma_author?post=645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}