Wstecz
Prawo dla biznesu

SCHREMS II

Wyrokiem z dnia 16 lipca 2020 roku w sprawie o sygnaturze C-311/18, tzw. Schrems II, Trybunał Sprawiedliwości Unii Europejskiej unieważnił Tarczę Prywatności (Privacy Shield). Tarcza Prywatności stanowiła jedną z podstaw prawnych w kwestii transferu danych z Europejskiego Obszaru Gospodarczego do USA. Trybunał uznał Tarczę Prywatności za nieważną, jednocześnie uznając standardowe klauzule ochrony danych osobowych (Standard Contractual Clauses, SCC) w transferze do państw trzecich za skuteczne pod warunkiem, że odpowiadają one poziomem ochrony (są merytorycznie równoważne) regulacjom obowiązującym w Unii Europejskiej. TSUE stwierdził, że Tarcza Prywatności nie zapewnia adekwatnej ochrony danych przekazywanych z EU do USA, gdyż ochrona tych danych nie spełnia wymogów unijnych i nie daje odpowiedniej gwarancji.


Sam wyrok jest owocem skargi austriackiego prawnika Maximilliana Schremsa. Maximillian Schrems złożył skargę przeciwko Facebook Ireland do Irlandzkiego Urzędu ds. ochrony danych (DPC). Przedmiotem skargi było przekazywanie przez Facebooka danych dotyczących jego europejskich użytkowników z Facebook Ireland na serwery spółki w USA (Facebook Inc.), gdzie dane te były również przetwarzane. Główną wątpliwością Schremsa było to, czy dane te są dostatecznie zabezpieczone przed rządową inwigilacją – amerykańskie regulacje zobowiązują Facebooka do udostępniania danych służbom federalnym, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI).


Jakie konsekwencje ma ten wyrok względem polskich przedsiębiorców? Czy można przekazywać dane do USA?


Tarcza Prywatności nie stanowi już podstawy do przekazywania danych do USA, a przekazywanie danych na jej podstawie przestało być dopuszczalne. Standardowe klauzule umowne zachowują ważność, jednakże w każdym przypadku należy dokonać oceny, czy ich stosowanie zapewnia adekwatną ochronę danych w państwie trzecim (USA), a także czy przeciwko osobie obowiązanej do uzupełnienia zachowku z tytułu otrzymanych od spadkodawcy zapisu windykacyjnego lub darowizny 5 lat art.1007 §2 k.c. z tytułu mandatów za jazdę bez biletu 1 rok art. 77 pr. przewozowe z tytułu sprzedaży towarów z Polski za granicę na mocy Konwencji Nowojorskiej (można wyłączyć jej stosowanie w umowie) 4 lata art. 8 Konwencji Nowojorskiej z 1974 r z tytułu składek na ubezpieczenia emerytalne, rentowe, chorobowe i wypadkowe 5 lat art. 24 ust. 4 ust. o systemie ubezp. społ. zobowiązania podatkowe – jeżeli powstały z mocy prawa 5 lat art. 70 § 1 ordynacji podatkowej ze stosunku pracy 3 lata art. 291 § 1 k.p. regulacje prawne dotyczące ochrony tych danych odpowiadają poziomowi ochrony gwarancjom zapewnianym na obszarze EOD. W tej sytuacji, kluczowe okażą się wytyczne organów nadzorczych oraz jednostkowa ocena ryzyka całokształtu procesu przekazywania danych. Ponadto, na podmiot odbierający dane nałożony jest obowiązek poinformowania podmiotu wysyłającego dane o swojej ewentualnej niemożności wywiązania się z przestrzegania standardowych klauzul ochrony danych oraz w przypadkach, w których jest to konieczne, ze środków uzupełniających, które są przewidziane w tej klauzuli. W takiej sytuacji przedsiębiorca, który zamierzał przekazać dane, będzie musiał rozwiązać umowę z podmiotem odbierającym bądź zawiesić ich przekazywanie.


W następstwie wyroku, Europejska Rada Ochrony Danych (EROD) przyjęła dokument z najczęściej zadawanymi pytaniami, w którym wyjaśnia oraz udziela wskazówek odnośnie do dalszego postępowania. W dokumencie zawarto informacje, że:

I. nie istnieje okres karencji w którym można dalej przesyłać dane do USA na podstawie Tarczy Prywatności, bez oceny podstawy prawnej do przekazania danych,


II. dalej możesz przekazywać dane na podstawie standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR), jednakże zarówno Ty, jak i podmiot odbierający dane jesteście odpowiedzialni za ocenę, czy w danym państwie trzecim przestrzegany jest stopień ochrony danych wymagany przez prawo UE,


III. dalsze przekazywanie danych na podstawie standardowych klauzul umownych i wiążących reguł korporacyjnych musi podlegać Twojej każdorazowej ocenie w zakresie ryzyka, jakie się z tym procesem wiąże, a w razie stwierdzenia, że ochrona jest niewystarczająca, czy możesz zapewnić środki uzupełniające, które zapewnią adekwatność tej ochrony,


IV. w przypadku dojścia do wniosku, biorąc pod uwagę okoliczności towarzyszące przekazywaniu oraz możliwe środki dodatkowe, że nie można zapewnić odpowiednich zabezpieczeń, musisz zawiesić przekazywanie danych lub rozwiązać umowę,


V. w przypadku braku zawieszenia lub rozwiązania umowy z podmiotem odbierającym w w/w przypadku i przekazywania mimo tego danych, musisz to zgłosić organowi nadzorczemu (w Polsce – PUODO),


VI. w przypadku, gdy jesteś administratorem danych osobowych i korzystasz z usług podmiotu przetwarzającego, który przetwarza dane, za które jesteś odpowiedzialny, musisz zweryfikować, czy umowa, którą zawarłeś z podmiotem przetwarzającym dopuszcza przekazywanie danych poza EOG (do USA) oraz ocenić adekwatność ochrony tych danych w stosunku do regulacji unijnych,


VII. w przypadku braku możliwości dalszego przekazywania danych do podmiotu przetwarzającego w sytuacji gdy Wasza umowa wskazuje, że dane mogą być przekazywane do Stanów Zjednoczonych lub do innego państwa trzeciego, przy zastosowaniu dodatkowych środków, ani nie mają zastosowania odstępstwa z art. 49 RODO, należy wynegocjować zmianę lub wprowadzenie klauzuli uzupełniającej do umowy, która uniemożliwi przekazywanie danych do USA – dane muszą być zarówno przetwarzane, jak i przechowywane (administrowane) poza terytorium USA,


VIII. przekazywanie danych z EOG do USA wciąż jest możliwe na podstawie wyjątków przewidzianych w art. 49 RODO, pod warunkiem, że mają zastosowanie warunki określone w tym artykule. EROD odwołuje się do swoich wytycznych dotyczących tego przepisu (wytyczne znajdują się pod adresem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_pl.pdf ),


IX. EROD dokona oceny konsekwencji wyroku względem narzędzi innych niż standardowe klauzule umowne oraz wiążące reguły korporacyjne, a analizuje orzeczenie Trybunału w celu określenia rodzaju dodatkowych środków, które mogłyby zostać wprowadzone dodatkowo do standardowych klauzul umownych lub wiążących reguł korporacyjnych.

Stan prawny na dzień 30.04.2021 r.

 

Sprawdź pozostałe nasze wpisy

Wstecz
Prawo spadkowe
[Prawo spadkowe] Czy wiesz czym jest NORT - Notarialny Rejestr Testamentów ?

Czy wiesz co to jest NORT - Notarialny Rejestr Testamentów i dlaczego warto to wiedzieć w kontekście spraw spadkowych? Dowiedz się czy jest NORT i jak z niego skorzystać? kancelaria prawna gdynia radca prawny sprawy spadkowe dział spadku kancelaria trójmiasto gdańsk gdynia sopot adwokat sprawy spadkowe kancelaria prawa spadkowego zachowek prawnik specjalizujący się w sprawach spadkowych prawie spadkowym praktyka prawa spadkowe dział spadku dziedziczenie prawo dziedziczenia postępowanie o dział spadku

Czytaj dalej
Prawo dla biznesu 25.07.2024
[Prawo handlowe / Commercial law] Kim jest doradca rady nadzorczej i jaka jest jego rola w nadzorze spółki? Who is an (legal) advisor to the supervisory board and what is his role in the supervision of the company?

Nowelizacja Kodeksu spółek handlowych z 2022 r,., wprowadziła wiele istotnych zmian, które opisujemy w jednym z wpisów na blogu naszej kancelarii prawnej - Prawo spółek handlowych] Zmiany funkcjonowania rad nadzorczych i grupa spółek - Nowelizacja przepisów Kodeksu spółek handlowych (prawo holdingowe). Tym niemniej, w tym wpisie bardziej szczegółowo przedstawiamy instytucję doradcy rady nadzorczej, w tym funkcję doradcy rady nadzorczej w procesie nadzoru nad działalnością spółki z ograniczoną odpowiedzialnością (sp. z o.o.), spółki akcyjnej (S.A.), prostej spółki akcyjnej (P.S.A.), czy też spółki komandytowo-akcyjnej (S.K.A.). Who is an advisor to the supervisory board and what is his role in the supervision of the company? The amendment to the Commercial Companies Code of 2022 introduced many important changes, which we describe in one of the entries on the blog of our law firm - Commercial Companies Law. Changes in the functioning of supervisory boards and group of companies - Amendment to the provisions of the Commercial Companies Code (holding law). Nevertheless, in this post we present in more detail the institution of an advisor to the supervisory board, including the function of an advisor to the supervisory board in the process of supervising the activities of a limited liability company (sp. z o. o.), a joint-stock company (SA), a simple joint-stock company (PSA), or a limited joint-stock partnership (SKA). Who is an advisor to the supervisory board? An advisor to the supervisory board is an external person whose task is to support the supervisory board of the company, especially a company that is the so-called A State Treasury Company (SSP), in the implementation of its supervisory duties kancelaria prawna trójmiasto Gdańsk Gdynia Sopot radca prawny prawnik adwokat prawo handlowe prawo spółek handlowych obsługa prawna firm obsługa prawna firny obsługa prawna spółek obsługa prawna spółki kancelaria prawna kancelaria radców prawnych kancelaria prawna radców prawnych i adowokatów prawo spółek handlowych obsługa korporacyjna pomoc prawna dla firm adviser.law legal adviser legal advisor

Czytaj dalej