SCHREMS II

Wyrokiem z dnia 16 lipca 2020 roku w sprawie o sygnaturze C-311/18, tzw. Schrems II, Trybunał Sprawiedliwości Unii Europejskiej unieważnił Tarczę Prywatności (Privacy Shield). Tarcza Prywatności stanowiła jedną z podstaw prawnych w kwestii transferu danych z Europejskiego Obszaru Gospodarczego do USA. Trybunał uznał Tarczę Prywatności za nieważną, jednocześnie uznając standardowe klauzule ochrony danych osobowych (Standard Contractual Clauses, SCC) w transferze do państw trzecich za skuteczne pod warunkiem, że odpowiadają one poziomem ochrony (są merytorycznie równoważne) regulacjom obowiązującym w Unii Europejskiej. TSUE stwierdził, że Tarcza Prywatności nie zapewnia adekwatnej ochrony danych przekazywanych z EU do USA, gdyż ochrona tych danych nie spełnia wymogów unijnych i nie daje odpowiedniej gwarancji.

Sam wyrok jest owocem skargi austriackiego prawnika Maximilliana Schremsa. Maximillian Schrems złożył skargę przeciwko Facebook Ireland do Irlandzkiego Urzędu ds. ochrony danych (DPC). Przedmiotem skargi było przekazywanie przez Facebooka danych dotyczących jego europejskich użytkowników z Facebook Ireland na serwery spółki w USA (Facebook Inc.), gdzie dane te były również przetwarzane. Główną wątpliwością Schremsa było to, czy dane te są dostatecznie zabezpieczone przed rządową inwigilacją – amerykańskie regulacje zobowiązują Facebooka do udostępniania danych służbom federalnym, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI).

Jakie konsekwencje ma ten wyrok względem polskich przedsiębiorców? Czy można przekazywać dane do USA?

Tarcza Prywatności nie stanowi już podstawy do przekazywania danych do USA, a przekazywanie danych na jej podstawie przestało być dopuszczalne. Standardowe klauzule umowne zachowują ważność, jednakże w każdym przypadku należy dokonać oceny, czy ich stosowanie zapewnia adekwatną ochronę danych w państwie trzecim (USA), a także czy przeciwko osobie obowiązanej do uzupełnienia zachowku z tytułu otrzymanych od spadkodawcy zapisu windykacyjnego lub darowizny 5 lat art.1007 §2 k.c. z tytułu mandatów za jazdę bez biletu 1 rok art. 77 pr. przewozowe z tytułu sprzedaży towarów z Polski za granicę na mocy Konwencji Nowojorskiej (można wyłączyć jej stosowanie w umowie) 4 lata art. 8 Konwencji Nowojorskiej z 1974 r z tytułu składek na ubezpieczenia emerytalne, rentowe, chorobowe i wypadkowe 5 lat art. 24 ust. 4 ust. o systemie ubezp. społ. zobowiązania podatkowe – jeżeli powstały z mocy prawa 5 lat art. 70 § 1 ordynacji podatkowej ze stosunku pracy 3 lata art. 291 § 1 k.p. regulacje prawne dotyczące ochrony tych danych odpowiadają poziomowi ochrony gwarancjom zapewnianym na obszarze EOD. W tej sytuacji, kluczowe okażą się wytyczne organów nadzorczych oraz jednostkowa ocena ryzyka całokształtu procesu przekazywania danych. Ponadto, na podmiot odbierający dane nałożony jest obowiązek poinformowania podmiotu wysyłającego dane o swojej ewentualnej niemożności wywiązania się z przestrzegania standardowych klauzul ochrony danych oraz w przypadkach, w których jest to konieczne, ze środków uzupełniających, które są przewidziane w tej klauzuli. W takiej sytuacji przedsiębiorca, który zamierzał przekazać dane, będzie musiał rozwiązać umowę z podmiotem odbierającym bądź zawiesić ich przekazywanie.

W następstwie wyroku, Europejska Rada Ochrony Danych (EROD) przyjęła dokument z najczęściej zadawanymi pytaniami, w którym wyjaśnia oraz udziela wskazówek odnośnie do dalszego postępowania. W dokumencie zawarto informacje, że:

I. nie istnieje okres karencji w którym można dalej przesyłać dane do USA na podstawie Tarczy Prywatności, bez oceny podstawy prawnej do przekazania danych,

II. dalej możesz przekazywać dane na podstawie standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR), jednakże zarówno Ty, jak i podmiot odbierający dane jesteście odpowiedzialni za ocenę, czy w danym państwie trzecim przestrzegany jest stopień ochrony danych wymagany przez prawo UE,

III. dalsze przekazywanie danych na podstawie standardowych klauzul umownych i wiążących reguł korporacyjnych musi podlegać Twojej każdorazowej ocenie w zakresie ryzyka, jakie się z tym procesem wiąże, a w razie stwierdzenia, że ochrona jest niewystarczająca, czy możesz zapewnić środki uzupełniające, które zapewnią adekwatność tej ochrony,

IV. w przypadku dojścia do wniosku, biorąc pod uwagę okoliczności towarzyszące przekazywaniu oraz możliwe środki dodatkowe, że nie można zapewnić odpowiednich zabezpieczeń, musisz zawiesić przekazywanie danych lub rozwiązać umowę,

V. w przypadku braku zawieszenia lub rozwiązania umowy z podmiotem odbierającym w w/w przypadku i przekazywania mimo tego danych, musisz to zgłosić organowi nadzorczemu (w Polsce – PUODO),

VI. w przypadku, gdy jesteś administratorem danych osobowych i korzystasz z usług podmiotu przetwarzającego, który przetwarza dane, za które jesteś odpowiedzialny, musisz zweryfikować, czy umowa, którą zawarłeś z podmiotem przetwarzającym dopuszcza przekazywanie danych poza EOG (do USA) oraz ocenić adekwatność ochrony tych danych w stosunku do regulacji unijnych,

VII. w przypadku braku możliwości dalszego przekazywania danych do podmiotu przetwarzającego w sytuacji gdy Wasza umowa wskazuje, że dane mogą być przekazywane do Stanów Zjednoczonych lub do innego państwa trzeciego, przy zastosowaniu dodatkowych środków, ani nie mają zastosowania odstępstwa z art. 49 RODO, należy wynegocjować zmianę lub wprowadzenie klauzuli uzupełniającej do umowy, która uniemożliwi przekazywanie danych do USA – dane muszą być zarówno przetwarzane, jak i przechowywane (administrowane) poza terytorium USA,

VIII. przekazywanie danych z EOG do USA wciąż jest możliwe na podstawie wyjątków przewidzianych w art. 49 RODO, pod warunkiem, że mają zastosowanie warunki określone w tym artykule. EROD odwołuje się do swoich wytycznych dotyczących tego przepisu (wytyczne znajdują się pod adresem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_pl.pdf ),

IX. EROD dokona oceny konsekwencji wyroku względem narzędzi innych niż standardowe klauzule umowne oraz wiążące reguły korporacyjne, a analizuje orzeczenie Trybunału w celu określenia rodzaju dodatkowych środków, które mogłyby zostać wprowadzone dodatkowo do standardowych klauzul umownych lub wiążących reguł korporacyjnych.

Stan prawny na dzień 30.04.2021 r.