Koniec Privacy Shield – Opinia EROD dotycząca wyroku TSUE w sprawie Schrems II

W ostatnim artykule pisaliśmy o zapadłym w dniu 16 lipca 2020 r. orzeczeniu Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (Schrems II).

Wyrok unieważnił Tarczę Prywatności – mechanizm dotychczas legalizujący znaczną część transferów danych osobowych do USA – pozostawiając biznes z pytaniem jak dalej działać. Odpowiedzi można szukać w nowym stanowisku przygotowanym przez Europejską Radę Ochrony Danych (EROD) w formie FAQ.

W opublikowanym stanowisku EROD potwierdziła:

  • Nielegalność transferu danych na podstawie Tarczy Prywatności
  • Brak okresu przejściowego
  • Możliwość stosowania standardowych klauzul umownych (z ang. SCC) zatwierdzonych przez Komisję Europejską, jednak pod warunkiem dokonania przez transferującego dane szczegółowej analizy in. prawodawstwa państwa trzeciego i wdrożenia dodatkowych środków legalizujących taki transfer
  • Możliwość stosowania wiążących reguł korporacyjnych ( z ang. BCR), jednak pod warunkiem dokonania przez transferującego dane szczegółowej analizy, podobnie jak ma to miejsce w przypadku zastosowania SCC

Możliwość stosowania SCC czy BCR zależeć będzie od wyniku każdorazowej oceny transferu dokonanej przez podmiot transferujący dane. Oznacza to także nałożenie na uczestników rynku konieczności wdrożenia ewentualnych dodatkowych środków, które zapewnią, że prawodawstwo państwa trzeciego (np. USA) nie będzie miało negatywnego wpływu na odpowiedni stopień ochrony przesyłanych danych. Jednocześnie EROD nie wskazuje jakie to mogłyby być środki, i tak jak w przypadku całego RODO to po stronie administratora danych pozostaje zastosowanie takich zabezpieczeń i mechanizmów, które zapewnią danym odpowiedni stopień ochrony. Można uznać, że ocenie powinny podlegać w szczególności:

Prawodawstwo państwa trzeciego

Dokonując tej analizy prawodawstwa podmioty te powinny mieć  na uwadze chociażby poszanowanie takich wartości jak praworządność, prawa człowieka i podstawowe wolności. Analiza powinna obejmować zarówno  ustawodawstwo  ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego zapewniającego i egzekwującego przestrzeganie przepisów o ochronie danych czy międzynarodowe zobowiązania zaciągnięte przez państwo trzecie.

Rodzaj transferowanych danych i zastosowanych zabezpieczeń

Legalność transferu i ewentualna modyfikacja jego parametrów zależeć będzie od konkretnych przypadków, począwszy od stosowania zaawansowanych metod szyfrowania po ograniczenie do minimum zakresu przetwarzania danych osobowych w państwach trzecich.

Po ogłoszeniu wyroku Maximillian Schrems stwierdził, że „ Jeśli amerykańskie przedsiębiorstwa będą chciały nadal odgrywać ważną rolę na rynku UE, to jest oczywiste, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru” [1]. Jednak wbrew temu, wypowiedzi EROD sugerują, że na ten moment to nie na administracji USA, a na spółkach unijnych ciąży odpowiedzialność za znalezienie takich środków, które sprawią, że transferowane dane będą odpowiednio zabezpieczone. Przeprowadzanie takiej weryfikacji to ogromne wyzwanie organizacyjne i finansowe dla podmiotów europejskich.

 

Źrodła:

https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf

https://www.uodo.gov.pl/pl/138/1614

[1] Wypowiedź Maximilliana Schremsa z 16.07.2020 opublikowana https://noyb.eu/pl/node/189 [dostęp dnia 28.07.2020]

 

Autor

Ewa Boboli

Prawnik, aplikantka przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zdobywała w warszawskich kancelariach prawnych oraz spółkach. Doradzała spółkom w zakresie prawa ochrony danych osobowych, e-commerce, sporządzała dokumentację wymaganą przepisami RODO oraz ustawy o świadczeniu usług drogą elektroniczną. Obecnie prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.

Z tej samej kategorii

Kategorie