Koniec Tarczy Prywatności – problem z transferem danych do USA

• 24.07.2020

• Autor: Michał Madecki

• przekazywanie danych poza EOG

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał w dniu 16 lipca 2020 r. wyrok ws. C-311/18 dotyczący Tarczy Prywatności – mechanizmu legalizującego transfer danych osobowych do USA. TSUE uznał Tarczę Prywatności za nieważną, co powoduje, że wszystkie transfery danych do tego kraju oparte na tej podstawie, jeśli mają być kontynuowane, muszą zostać zastąpione innymi podstawami legalizującymi. TSUE zakwestionował również stosowanie standardowych klauzul umownych jako alternatywnego mechanizmu legalizującego transfer danych do USA. Wyrok ten stanowi istotny zwrot w przekazywaniu danych do USA oraz pozostawia wiele firm w niepewności co do podjęcia właściwych kroków mogących je zalegalizować.

Prawo ochrony danych osobowych Unii Europejskiej przykłada szczególną uwagę do transferu danych poza Europejski Obszar Gospodarczy (EOG). Oprócz zwykłych wymogów dotyczących udostępnienia lub powierzenia danych osobowych do innego podmiotu, wymagane jest spełnienie dodatkowych przesłanek. Jedną  z możliwości, na jakiej można się oprzeć jest decyzja Komisji Europejskiej, stwierdzająca odpowiedni stopień ochrony danych w kraju trzecim. Stany Zjednoczone nie spełniały europejskich standardów dotyczących ochrony danych osobowych, dlatego taka decyzja w stosunku do USA nie została wydana. Mając jednak na uwadze rozliczną sieć powiązań między Europą a Stanami Zjednoczonymi oraz de facto brak alternatywy wobec korzystania z usług amerykańskich gigantów technologicznych, w celu ułatwienia przesyłania danych osobowych między UE a USA została wydana decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA.  Tarcza Prywatności stanowiła swoisty mechanizm umożliwiający certyfikację podmiotów w USA, przy spełnieniu określonych kryteriów oraz nadzorze amerykańskiej Federalnej Komisji Handlu. Transfer danych osobowych do podmiotu w USA wpisanego na listę Privacy Shield mógł odbywać się bez konieczności spełnienia dodatkowych wymogów.

Z tej możliwość skorzystało wiele firm z USA, nie wyłączając czołowych graczy rynku nowych technologii. Właśnie w związku z transferem do jednej z takich firm zapadł wspomniany wyrok TSUE.  Obywatel Austrii – Max Schrems, jako użytkownik Facebooka wniósł do organu nadzorczego żądanie zakazania transferu jego danych przez Facebook Ireland do głównej spółki Facebooka w USA. Na kanwie tej sprawy TSUE orzekł o nieważności Tarczy Prywatności.

Co więcej, Trybunał nie ograniczył się do wskazania, że Tarcza Prywatności traci ważność, odniósł się także do innego mechanizmu związanego z transferem danych osobowych, a mianowicie do standardowych klauzul umownych, wydanych na podstawie decyzji Komisji Europejskiej. Są to rozbudowane zapisy umowne, ich zawarcie między stronami stanowiło przesłankę legalizującą transfer danych.

TSUE uznał jednak, że samo zawarcie standardowych klauzul umownych między stronami nie powoduje z automatu dopuszczalności transferu danych osobowych do podmiotu z USA. Zawarcie standardowych klauzul umownych miało powodować, że dane będą chronione w stopniu równie wysokim, co w Unii Europejskiej. Zawarcie standardowych klauzul z podmiotem mającym siedzibę w USA nie powoduje jednak, w ocenie TSUE, że zostanie zapewniony odpowiedni standard ochrony danych, z uwagi na możliwość niekontrolowanego dostępu do danych przez amerykańskie służby, np. FBI, CIA, NSA.

Z wyroku wynika zatem, że w miejsce usuniętej Tarczy Prywatności nie można zawrzeć standardowych klauzul umownych z podmiotami z USA (np. dostawcami usług w chmurze czy dostawcami plików cookies), do których na tej podstawie były przesyłane dane osobowe.

Ponadto TSUE wskazał, że również transfer do innych niż USA krajów trzecich na podstawie standardowych klauzul umownych musi być każdorazowo weryfikowany. Trybunał stwierdził, że to do administratorów lub podmiotów przekazujących dane poza EOG należy sprawdzenie w każdym konkretnym przypadku czy prawo państwa trzeciego zapewnia właściwą, w świetle prawa Unii Europejskiej, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych. Jest to zatem nowy wymóg, ustanowiony przez TSUE, konieczności weryfikacji nie tylko podmiotu, do którego dane mają być transferowane, ale i prawa krajowego, właściwego dla tego przedmiotu, pod kątem tego, czy prawo to nie stoi na przeszkodzie zapewnienia stopnia ochrony danych przewidzianego w standardowych klauzulach umownych. Powyższe stwierdzenia TSUE powodują wiele wątpliwości związanych z realną możliwością badania prawodawstwa innych krajów. TSUE nie podał bliższych kryteriów takiej oceny ani nie określił okresu przejściowego, co należy ocenić krytycznie z uwagi na rozliczne trudności, z którymi w konsekwencji muszą się zmierzyć wszystkie podmioty przekazujące dane osobowe poza EOG.

Wyrok TSUE w praktyce uniemożliwia transatlantycki transfer danych, co ma ogromne znaczenie gospodarcze. Obecnie czekamy na wytyczne Europejskiej Rady Ochrony Danych co do dalszego postępowania, a w szczególności na decyzje czy zostanie wprowadzony okres ochronny na przystosowanie się do tej zmiany.  Na ten moment warto dokonać przeglądu przypadków, w których był dokonywany transfer do USA na podstawie Tarczy Prywatności oraz standardowych klauzul umownych a także przygotowanie się na konieczność podjęcia dodatkowych działań.

Źródło:

Wyrok TSUE C-311/18 tzw. „Schrems II”

Autor

Michał Madecki

Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.