Czy to koniec przekazywania danych osobowych do USA?
Od 16 lipca 2020 r. przedsiębiorcy przekazujący dane osobowe z Unii Europejskiej do USA, w tym dane osobowe pracowników, mają trudny orzech do zgryzienia. Trybunał Sprawiedliwości Unii Europejskiej unieważnił bowiem decyzję w sprawie Privacy Shield, pozbawiając przedsiębiorców możliwości opierania transferów danych do USA na tej podstawie. Jednak wyrok Trybunału (tzw. Schrems II) może mieć poważne konsekwencje dla przedsiębiorców przekazujących dane także do innych krajów spoza Europejskiego Obszaru Gospodarczego.
Privacy Shield – koniec przekazywania danych na tej podstawie
W świetle przepisów RODO przekazywanie danych osobowych do państwa trzeciego, czyli znajdującego się poza obszarem Europejskiego Obszaru Gospodarczego („EOG”), może odbywać się co do zasady jedynie wtedy, gdy w stosunku do danego kraju zostanie wydana decyzja Komisji Europejskiej dotycząca zapewniania odpowiedniego stopnia ochrony danych lub zostaną zapewnione odpowiednie zabezpieczenia określone wprost w przepisach RODO (np. poprzez zastosowanie standardowych klauzul umownych lub wiążących reguł korporacyjnych).
Przedsiębiorcy przesyłający dane do USA korzystali dotychczas z decyzji wykonawczej Komisji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. Tarczę Prywatności UE – USA (Privacy Shield). Jednak w swoim wyroku w sprawie C-311/18 TSUE orzekł, że decyzja ta jest nieważna z uwagi na fakt, że USA nie zapewnia odpowiedniego stopnia ochrony przekazywanych z Unii Europejskiej danych osobowych. Zarzuty TSUE dotyczą w głównej mierze programów umożliwiających amerykańskim władzom uzyskiwanie dostępu do przekazywanych do USA danych osobowych ze względu na bezpieczeństwo narodowe. W takich przypadkach lokalne przepisy nie przyznają osobom, których dane dotyczą, praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.
Powyższe oznacza, że przedsiębiorcy, którzy transferowali dane osobowe do USA, w tym także dane osobowe pracowników na podstawie Tarczy Prywatności, powinni niezwłocznie – wraz z wydaniem przez TSUE wyroku w sprawie C-311/18 – zaprzestać przekazywania danych osobowych na tej podstawie.
Czy rozwiązaniem są standardowe klauzule umowne?
W sytuacji gdy unieważniona została Tarcza Prywatności, naturalnym rozwiązaniem byłoby zwrócenie się ku standardowym klauzulom umownym. W swoim wyroku TSUE odniósł się także do tego zabezpieczenia transferów do krajów trzecich. TSUE podtrzymał ważność decyzji w sprawie klauzul, uznając, że brak jest ustaleń, które mogłyby mieć wpływ na ważność decyzji Komisji w tym zakresie. TSUE nie podważył więc możliwości korzystania przez przedsiębiorców z tej podstawy przekazywania danych.
Jednak co istotne, TSUE w swoim wyroku kładzie kres automatyzmowi stosowania standardowych klauzul umownych. TSUE wskazuje bowiem, że do administratora danych lub podmiotu przetwarzającego należy sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach. TSUE podkreślił w ten sposób, że podmioty przekazujące dane do krajów trzecich nie powinny automatycznie uznawać, że posłużenie się standardowymi klauzulami umownymi będzie wystarczające do zapewnienia odpowiedniego poziomu ochrony danych. Kwestia ta powinna być każdorazowo poddawana indywidualnej analizie związanej z krajem, do którego dane mają być transferowane.
Co to oznacza w praktyce? Przedsiębiorcy transferujący dane do krajów trzecich mogą posługiwać się standardowymi klauzulami umownymi. Transfer jednak powinien być poprzedzony analizą, czy w kraju, do którego dane będą przekazywane, przestrzegana jest ochrona danych w stopniu wymaganym przez prawo Unii Europejskiej. Dopiero to pozwoli ustalić, czy gwarancje udzielone przez standardowe klauzule umowne mogą być przestrzegane w praktyce. Jeśli tak nie jest, przedsiębiorca transferujący dane osobowe powinien rozważyć, czy jest on w stanie zastosować dodatkowe środki zapewniające ochronę danych na odpowiednim poziomie. W praktyce spełnienie tych wymogów, zwłaszcza dotyczących indywidualnej oceny, czy dany kraj zapewnia odpowiedni poziom ochrony, może okazać się trudne. Co pocieszające, Europejska Rada Ochrony Danych („EROD”) pracuje nad wskazówkami dotyczącymi dodatkowych środków uzupełniających standardowe klauzule umowne. Stworzyła także grupę zadaniową, która zajmie się skargami wniesionymi w następstwie wyroku TSUE w sprawie C-311/18.
A co z transferami do USA z zastosowaniem standardowych klauzul umownych? Co prawda EROD w swoich wyjaśnieniach opublikowanych po wyroku TSUE wskazuje, że to, czy możliwe będzie przekazywanie danych osobowych na podstawie standardowych klauzul umownych, zależeć będzie od wyniku Twojej oceny, biorąc pod uwagę okoliczności przekazywania oraz środki uzupełniające, które możesz zastosować. Środki uzupełniające, wraz ze standardowymi klauzulami umownymi, po każdorazowej analizie okoliczności towarzyszących przekazywaniu, musiałyby zapewnić, że prawo USA nie ma negatywnego wpływu na odpowiedni stopień ochrony, który gwarantują.
Wydaje się jednak, że w świetle ustaleń TSUE dotyczących niezapewniania przez USA odpowiedniego poziomu ochrony danych, indywidualna ocena dokonywana przez podmiot przekazujący dane, która doprowadziłaby go do odmiennych wniosków, musiałaby zostać przeprowadzona w sposób wysoce ostrożny. Jednym z problemów podniesionych przez TSUE jest możliwość uzyskiwania dostępu przez amerykańskie władze do danych, które są w tranzycie w kierunku terytorium USA, poprzez dostęp do podwodnych kabli na dnie Atlantyku. Podmiot przesyłający dane do USA musiałby więc m.in. zapewnić, że zastosowane przez niego środki uniemożliwiają uzyskanie takiego dostępu.
EROD w swoich wyjaśnieniach potwierdza, że uwagi TSUE dotyczące weryfikacji zapewnienia odpowiedniego poziomu ochrony dotyczą także stosowania wiążących reguł korporacyjnych.
Czy można przekazywać dane na innej podstawie?
Warto pamiętać, że w razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń, przekazanie danych do państwa trzeciego może nastąpić na podstawie wyjątków wskazanych w art. 49 RODO. Są to m.in. wyraźna zgoda osoby, której dane dotyczą, poinformowanej o ewentualnym ryzyku, z którym ze względu na brak wspomnianych decyzji lub zabezpieczeń może wiązać się przekazanie, niezbędność wykonania umowy między podmiotem danych a administratorem lub niezbędność zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą. Niewątpliwie przepis ten będzie teraz przedmiotem wnikliwych analiz wśród przedsiębiorców.
Co w praktyce powinni zrobić przedsiębiorcy?
Nie jest jasne, także dla europejskich organów nadzoru, jak w praktyce będzie teraz wyglądało przekazywanie danych do krajów trzecich. Niemniej jednak punktem wyjścia dla przedsiębiorców powinien być szczegółowy przegląd transferów danych poza EOG (w tym transferów dokonywanych za pośrednictwem podmiotów przetwarzających).
W ramach przeglądu należy przede wszystkim zidentyfikować transfery dokonywane do USA, w tym także ich podstawę prawną. W przypadku transferów na podstawie Tarczy Prywatności należy zaprzestać transferu na teren USA (jeśli transfer wykonywany jest w związku z korzystaniem z określonego narzędzia IT warto zweryfikować, czy dostawca umożliwia korzystanie z serwerów zlokalizowanych na terenie Unii Europejskiej) albo ostrożnie rozważyć transfer na innej podstawie.
W przypadku transferów na podstawie umów opartych o standardowe klauzule umowne lub wiążących reguł korporacyjnych należy dokonać analizy mającej na celu rozstrzygnięcie, czy kraj, do którego dane osobowe są przekazywane, zapewnia odpowiedni poziom ochrony danych, a jeśli nie, to jakie środki zabezpieczające można zastosować w celu jego zapewnienia.
Niewątpliwie nadal należy śledzić wskazówki publikowane przez EROD, a także rozwój spraw toczących się w związku ze skargami wniesionymi w następstwie wyroku TSUE w sprawie C-311/18 przez NYOB (organizacja założona przez Maxa Schremsa), w tym także do PUODO, które mogą okazać się pomocne dla zapewnienia zgodności z wymogami wskazanymi przez TSUE.
Katarzyna Żukowska, Karolina Romanowska