Nasi eksperci w Parkiecie na temat przekazywanie danych osobowych do USA po wyroku Schrems II

11 grudnia 2020

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyrokiem z dnia 16 lipca 2020 r. (C-311/18) – tzw. Schrems II, orzekł, że decyzja Komisji Europejskiej odnośnie Tarczy Prywatności, czyli Privacy Shield, jest nieważna (decyzja Komisji 2016/1250). Decyzja ta potwierdzała, że system prawny Stanów Zjednoczonych umożliwia zabezpieczanie przetwarzanych danych osobowych (DO) na poziomie, który odpowiada poziomowi zabezpieczeń w UE. Uznanie przez TSUE, że ta decyzja Komisji jest nieważna, oznacza, że USA nie gwarantuje wymaganego przepisami UE (RODO) bezpieczeństwa przetwarzania DO.

 

Co to oznacza?

 

Główną przyczyną takiego rozstrzygnięcia jest fakt, że niektórzy przedsiębiorcy (dostawcy usług łączności elektronicznej) w USA są zobowiązani przekazywać dane amerykańskim służbom wywiadowczym (głównie NSA) lub nie mają możliwości zabezpieczenia danych przed nadzorem tych służb. Wyrok nie oznacza bezwzględnego zakazu przekazywania DO do USA, ale wpłynie na ograniczenie tego przepływu. Bez zmian możemy przekazywać DO z UE do USA, jeśli przekazujemy je podmiotom, które nie podlegają tym amerykańskim przepisom i jednocześnie mają możliwość zabezpieczenia DO przed ww. nadzorem (np. poprzez rozwiązania techniczne).

Wyrok nie dotyczy także DO przekazywanych w oparciu o art. 49 RODO, zwłaszcza na podstawie zgody osoby, której dane dotyczą oraz DO niezbędnych do zawarcia lub wykonania umowy (np. w związku z zakupami przez Internet).

 

Kogo to dotyczy?

 

Zmiana sytuacji prawnej najmocniej dotknie przedsiębiorców korzystających z usług chmurowych i e-mailowych amerykańskich dostawców. W szczególności tych, którzy przetwarzane przez siebie DO umieszczają na serwerach zlokalizowanych na terytorium USA (np. Google Analytics, Facebook Connect). Oczywiście, jeśli serwery dostawcy takich usług znajdują się na terytorium UE, ale dostawca ten podlega amerykańskim przepisom o nadzorze służb wywiadowczych, to taki podmiot również może nie być w stanie zapewnić przetwarzania DO zgodnie z RODO. Chyba że odpowiednio organizacyjnie, strukturalnie i technicznie oddzieli swoją działalność (i serwery) w UE od działalności i serwerów w USA.

 

Co ze standardowymi klauzulami umownymi

 

Po wyroku TSUE USA należy traktować jak państwo trzecie, co do którego Komisja nie stwierdziła, że państwo to gwarantuje ochronę DO na takim poziomie, jak UE. Do tej pory przyjmowano, że do takich państw można przekazywać DO w oparciu o umowę zawierającą tzw. standardowe klauzule umowne (SKU). Są to przykładowe, wzorcowe klauzule opracowane w decyzjach przez Komisję, regulujące zasady przekazywania i przetwarzania DO w państwie trzecim. Orzeczenie TSUE potwierdza, że decyzje te pozostają ważne i proponowane w nich klauzule nadal można stosować. Jednak przekazując DO w oparciu o SKU, musimy upewnić się, że w państwie trzecim można zapewnić taki poziom ochrony DO, jak w UE. Czyli żeby np. służby wywiadowcze tego państwa nie miały dostępu do DO.

 

Nowe klauzule

 

Komisja upubliczniła 12.11.2020 r. projekt decyzji, w której mają znaleźć się nowe SKU. Jednak z preambuły decyzji wynika, że eksporter DO ma zweryfikować, czy odbiorca DO w danym państwie ma możliwość zapewnienia bezpieczeństwa DO na poziomie odpowiadającym poziomowi w UE. Taka weryfikacja może okazać się niewykonalna nie tylko dla pojedynczych podmiotów chcących przekazać DO, ale nawet dla organów nadzorczych zajmujących się ochroną DO. Nowe klauzule niewiele zatem zmienią.

 

Dowiedz się więcej: PARKIET „Przekazywanie danych osobowych do USA po wyroku Schrems II”

 

 

czytaj także.

III FORUM ODBUDOWY UKRAINY (PAIH)

12 czerwca 2024

Zobacz więcej

Sejm uchwalił ustawę o ochronie sygnalistów

24 maja 2024

Zobacz więcej

Fundacja rodzinna po roku funkcjonowania – szanse i zagrożenia

22 maja 2024

Zobacz więcej

NDA jako podstawa do rozpoczęcia negocjacji

22 kwietnia 2024

Zobacz więcej

Puste faktury a odpowiedzialność karna

16 kwietnia 2024

Zobacz więcej

Greenwashing

10 kwietnia 2024

Zobacz więcej

Projekt ustawy o ochronie sygnalistów przyjęty przez Radę Ministrów

10 kwietnia 2024

Zobacz więcej

„Sygnaliści” oficjalnie w projekcie ustawy

15 marca 2024

Zobacz więcej

'Ustawa o ZUS' a uchwała Sądu Najwyższego

19 lutego 2024

Zobacz więcej

DEEPFAKE - kiedy AI wpadnie w ręce przestępców

14 lutego 2024

Zobacz więcej

Dobre Praktyki NewConnect 2024

9 stycznia 2024

Zobacz więcej

Kancelaria RKKW doradzała spółce z branży OZE w zawarciu nowej umowy finansowania

27 października 2023

Zobacz więcej