Unieważnienie Privacy Shield wyrokiem TSUE

« Aktualności 18 sierpnia 2020

Wyrok Trybunału Sprawiedliwości Unii Europejskiej wydany 16 lipca 2020 roku w sprawie C-311/18 - Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi niewątpliwie spowoduje znaczące zmiany w zakresie przekazywania danych osobowych do państw trzecich. Chociaż nie istnieją jeszcze szczegółowe regulacje prawne i wytyczne jak po ogłoszeniu wyroku wyglądać ma przekazywanie danych osobowych poza EOG, chcielibyśmy opierając się na wyroku TSUE i wskazówkach EROD opracowanych na jego podstawie wskazać możliwości dostosowania dokumentów dotyczących danych osobowych do obowiązującego od 16 lipca 2020 roku nowego stanu prawnego. 

W skrócie o podstawie zmian

W opisywanym wyroku Trybunał stwierdził nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Privacy Shield). Również niektóre przepisy prawa amerykańskiego zostały uznane przez Trybunał za niespełniające wymogów przetwarzania danych osobowych w UE.

 

Trybunał natomiast potwierdził ważność decyzji 2010/87/WE w sprawie standardowych klauzul umownych, jednak przypomniał o obowiązku weryfikacji, czy stopień ochrony danych osobowych zapewniany regulacjami UE jest przestrzegany również w państwie trzecim, ciążącym na podmiotach przekazujących i odbierających dane.

 

Aktualność podstawy przetwarzania danych – Privacy Shield

Dotychczasowo przesyłanie danych osobowych do Stanów Zjednoczonych najczęściej odbywało się na podstawie Tarczy Prywatności (Privacy Shield). Po ogłoszeniu wyroku TSUE nie jest już możliwe powoływanie się na tę podstawę . Wiedząc, że dla wielu podmiotów konieczne będzie dokonanie zmian w dokumentach dotyczących danych osobowych, przedstawiamy poniżej najbardziej optymalne i polecane przez EROD rozwiązania w tej sytuacji.

Jakie możliwości mają podmioty przetwarzające dane poza UE?

Zgodnie z opublikowanym  przez EROD 23 lipca 2020 roku dokumentem  „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems” istnieje kilka możliwości przekazywania danych osobowych do państw trzecich.

Pierwszą opcją jest powoływanie się na standardowe klauzule umowne oraz zapewnienie możliwych środków uzupełniających w celu zabezpieczenia przesyłanych danych. Jednakże trzeba pamiętać, że w każdym, konkretnym przypadku przekazywania konieczne będzie sprawdzenie stopnia ochrony danych osobowych w odbierającym je państwie trzecim. Jeśli uznamy, że nie zostały spełnione wymagalne w Unii Europejskiej standardy, to nie powinniśmy przesyłać danych lub w razie wątpliwości zgłosić się do właściwego organu nadzorczego.

Analogicznie przy wskazaniu jako podstawy przekazywania danych osobowych wiążących reguł korporacyjnych „BCR” również obligatoryjne będzie wypełnienie obowiązku weryfikacji opisywanego powyżej. Zgłoszenie do właściwego organu nadzorczego będzie konieczne, tak jak wskazywane było przy użyciu standardowych klauzul umownych, jeśli przy dalszym zamiarze przesyłania danych osobowych zaistnieją wątpliwości co do zapewnienia odpowiednich zabezpieczeń tego procesu.

W obu wskazanych powyżej przypadkach można wprowadzić dodatkowe środki uzupełniające (techniczne, organizacyjne lub prawne) w celu zapewnienia w państwie trzecim równoważnego z wymaganym w UE stopnia ochrony danych osobowych, jednak środki te jak na razie powinny być  indywidualnie określane w każdym przypadku przesyłania danych osobowych, ponieważ nie istnieją szczegółowe wytyczne dotyczące takich środków. EROD w opublikowanym 23 lipca 2020 roku dokumencie dotyczącym najczęstszych pytań w zakresie wyroku TSUE wskazuje, że określi jak powinny wyglądać takie środki dodawane do standardowych klauzul umownych lub wiążących reguł korporacyjnych.

Kolejna możliwość to zastosowanie wyjątków określonych w art. 49 RODO. Jest to jednak możliwe, tylko jeśli zostaną spełnione wymagania wskazane w tym przepisie (przykładowo: jeżeli osoba, której dane dotyczą, wyraziła na to wyraźną zgodę, jeżeli przekazywanie jest sporadyczne i niezbędne w związku z umową lub roszczeniem; jeżeli wymaga tego ważny interes publiczny).

Odpowiedzialność podmiotów przesyłających i odbierających dane osobowe

Trybunał wskazał, że odpowiedzialność za prawidłowe wykonanie obowiązku weryfikacji, czy stopnień ochrony danych osobowych w państwie trzecim, do którego przesyłane są dane spoczywa przede wszystkim na przekazującym i odbierającym.

Co warto zrobić?

Nie istnieje z pewnością na razie idealne rozwiązanie co do przesyłania danych osobowych do państw trzecich, jednakże po ogłoszeniu wyroku TSUE w tej sprawie niemożliwe jest opieranie się na wcześniejszych podstawach, dlatego polecamy:

  • Sprawdzić, czy w podstawach przekazywania danych osobowych w stosowanych dokumentach znajduje się nadal Privacy Shield, i jeśli tak to podjąć działania w celu zmiany takich postanowień.
  • Zweryfikować standardy ochrony danych osobowych w państwie trzecim, do którego przesyłamy dane osobowe.
  • Zastanowić się nad możliwymi dodatkowymi środkami uzupełniającymi oraz podstawami przesyłania w celu zapewnienia wyższego stopnia ochrony danych osobowych przesyłanych poza EOG.

Autor: Diana Puczkowska, r. pr. Magdalena Pietkiewicz

   Nasza strona używa plików cookies. Pliki cookies wykorzystujemy w celu umożliwienia prawidłowego działania naszej strony internetowej oraz w celu prowadzenia anonimowych statystyk i innych działań analitycznych przedstawiających sposób korzystania ze strony internetowej przez użytkowników. Dalsze korzystanie ze strony internetowej oznacza zgodę na ich zapis lub wykorzystanie. Użytkownik może samodzielnie dokonać zmiany warunków przechowywania plików cookies w przeglądarce internetowej, z której korzysta.

Więcej informacji, w szczególności dotyczących przetwarzania danych osobowych, znajduje się w Polityce prywatności dostępnej tu.