Prawo dla biznesu

SCHREMS II

Wyrokiem z dnia 16 lipca 2020 roku w sprawie o sygnaturze C-311/18, tzw. Schrems II, Trybunał Sprawiedliwości Unii Europejskiej unieważnił Tarczę Prywatności (Privacy Shield). Tarcza Prywatności stanowiła jedną z podstaw prawnych w kwestii transferu danych z Europejskiego Obszaru Gospodarczego do USA. Trybunał uznał Tarczę Prywatności za nieważną, jednocześnie uznając standardowe klauzule ochrony danych osobowych (Standard Contractual Clauses, SCC) w transferze do państw trzecich za skuteczne pod warunkiem, że odpowiadają one poziomem ochrony (są merytorycznie równoważne) regulacjom obowiązującym w Unii Europejskiej. TSUE stwierdził, że Tarcza Prywatności nie zapewnia adekwatnej ochrony danych przekazywanych z EU do USA, gdyż ochrona tych danych nie spełnia wymogów unijnych i nie daje odpowiedniej gwarancji.

Sam wyrok jest owocem skargi austriackiego prawnika Maximilliana Schremsa. Maximillian Schrems złożył skargę przeciwko Facebook Ireland do Irlandzkiego Urzędu ds. ochrony danych (DPC). Przedmiotem skargi było przekazywanie przez Facebooka danych dotyczących jego europejskich użytkowników z Facebook Ireland na serwery spółki w USA (Facebook Inc.), gdzie dane te były również przetwarzane. Główną wątpliwością Schremsa było to, czy dane te są dostatecznie zabezpieczone przed rządową inwigilacją – amerykańskie regulacje zobowiązują Facebooka do udostępniania danych służbom federalnym, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI).

Jakie konsekwencje ma ten wyrok względem polskich przedsiębiorców? Czy można przekazywać dane do USA?

Tarcza Prywatności nie stanowi już podstawy do przekazywania danych do USA, a przekazywanie danych na jej podstawie przestało być dopuszczalne. Standardowe klauzule umowne zachowują ważność, jednakże w każdym przypadku należy dokonać oceny, czy ich stosowanie zapewnia adekwatną ochronę danych w państwie trzecim (USA), a także czy przeciwko osobie obowiązanej do uzupełnienia zachowku z tytułu otrzymanych od spadkodawcy zapisu windykacyjnego lub darowizny 5 lat art.1007 §2 k.c. z tytułu mandatów za jazdę bez biletu 1 rok art. 77 pr. przewozowe z tytułu sprzedaży towarów z Polski za granicę na mocy Konwencji Nowojorskiej (można wyłączyć jej stosowanie w umowie) 4 lata art. 8 Konwencji Nowojorskiej z 1974 r z tytułu składek na ubezpieczenia emerytalne, rentowe, chorobowe i wypadkowe 5 lat art. 24 ust. 4 ust. o systemie ubezp. społ. zobowiązania podatkowe – jeżeli powstały z mocy prawa 5 lat art. 70 § 1 ordynacji podatkowej ze stosunku pracy 3 lata art. 291 § 1 k.p. regulacje prawne dotyczące ochrony tych danych odpowiadają poziomowi ochrony gwarancjom zapewnianym na obszarze EOD. W tej sytuacji, kluczowe okażą się wytyczne organów nadzorczych oraz jednostkowa ocena ryzyka całokształtu procesu przekazywania danych. Ponadto, na podmiot odbierający dane nałożony jest obowiązek poinformowania podmiotu wysyłającego dane o swojej ewentualnej niemożności wywiązania się z przestrzegania standardowych klauzul ochrony danych oraz w przypadkach, w których jest to konieczne, ze środków uzupełniających, które są przewidziane w tej klauzuli. W takiej sytuacji przedsiębiorca, który zamierzał przekazać dane, będzie musiał rozwiązać umowę z podmiotem odbierającym bądź zawiesić ich przekazywanie.

W następstwie wyroku, Europejska Rada Ochrony Danych (EROD) przyjęła dokument z najczęściej zadawanymi pytaniami, w którym wyjaśnia oraz udziela wskazówek odnośnie do dalszego postępowania. W dokumencie zawarto informacje, że:

I. nie istnieje okres karencji w którym można dalej przesyłać dane do USA na podstawie Tarczy Prywatności, bez oceny podstawy prawnej do przekazania danych,

II. dalej możesz przekazywać dane na podstawie standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR), jednakże zarówno Ty, jak i podmiot odbierający dane jesteście odpowiedzialni za ocenę, czy w danym państwie trzecim przestrzegany jest stopień ochrony danych wymagany przez prawo UE,

III. dalsze przekazywanie danych na podstawie standardowych klauzul umownych i wiążących reguł korporacyjnych musi podlegać Twojej każdorazowej ocenie w zakresie ryzyka, jakie się z tym procesem wiąże, a w razie stwierdzenia, że ochrona jest niewystarczająca, czy możesz zapewnić środki uzupełniające, które zapewnią adekwatność tej ochrony,

IV. w przypadku dojścia do wniosku, biorąc pod uwagę okoliczności towarzyszące przekazywaniu oraz możliwe środki dodatkowe, że nie można zapewnić odpowiednich zabezpieczeń, musisz zawiesić przekazywanie danych lub rozwiązać umowę,

V. w przypadku braku zawieszenia lub rozwiązania umowy z podmiotem odbierającym w w/w przypadku i przekazywania mimo tego danych, musisz to zgłosić organowi nadzorczemu (w Polsce – PUODO),

VI. w przypadku, gdy jesteś administratorem danych osobowych i korzystasz z usług podmiotu przetwarzającego, który przetwarza dane, za które jesteś odpowiedzialny, musisz zweryfikować, czy umowa, którą zawarłeś z podmiotem przetwarzającym dopuszcza przekazywanie danych poza EOG (do USA) oraz ocenić adekwatność ochrony tych danych w stosunku do regulacji unijnych,

VII. w przypadku braku możliwości dalszego przekazywania danych do podmiotu przetwarzającego w sytuacji gdy Wasza umowa wskazuje, że dane mogą być przekazywane do Stanów Zjednoczonych lub do innego państwa trzeciego, przy zastosowaniu dodatkowych środków, ani nie mają zastosowania odstępstwa z art. 49 RODO, należy wynegocjować zmianę lub wprowadzenie klauzuli uzupełniającej do umowy, która uniemożliwi przekazywanie danych do USA – dane muszą być zarówno przetwarzane, jak i przechowywane (administrowane) poza terytorium USA,

VIII. przekazywanie danych z EOG do USA wciąż jest możliwe na podstawie wyjątków przewidzianych w art. 49 RODO, pod warunkiem, że mają zastosowanie warunki określone w tym artykule. EROD odwołuje się do swoich wytycznych dotyczących tego przepisu (wytyczne znajdują się pod adresem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_pl.pdf ),

IX. EROD dokona oceny konsekwencji wyroku względem narzędzi innych niż standardowe klauzule umowne oraz wiążące reguły korporacyjne, a analizuje orzeczenie Trybunału w celu określenia rodzaju dodatkowych środków, które mogłyby zostać wprowadzone dodatkowo do standardowych klauzul umownych lub wiążących reguł korporacyjnych.

Stan prawny na dzień 30.04.2021 r.

Sprawdź pozostałe nasze wpisy

Wstecz

Prawo sportowe 06.02.2023

[Sports law] Sports Litigation & Arbitration in Poland

Settlement of legal disputes in sport, in particular those of a property nature, which can be colloquially referred to as "vindication in sport" or "sports vindication", is generally carried out in arbitration (arbitration proceedings), referred to as sports arbitration. In many cases, in order to properly resolve disputes, sports organizations have established specialized permanent arbitration courts (permanent arbitration courts) - Arbitration Tribunals, which by definition know the norms of sports law and understand the specificity of sport, which is to ensure proper recognition of cases and settlement of disputes in sport. The main purpose of recognition of the disputes in the field of broadly understood sports law relations by Arbitration Tribunals, i.e. excluding the jurisdiction of common courts, is the speed and efficiency of examining such disputes and the fairness of arbitration proceedings, in particular due to the knowledge of the regulations of sports organizations and associations referred to as sports law or more broadly as lex sportiva. It should be noted that the market of legal services, attorneys representing the parties (replacing the parties) in proceedings in sports law disputes, has also educated lawyers specializing in sports law, or law firms practicing in the field of sports law (sports law firms). Sports law also includes standards regulating the recognition of legal disputes in sport, in terms of the system, i.e. determining the bodies competent to consider such disputes - Arbitration Tribunals (permanent arbitration courts).Arbitration Tribunals can be classified as: 1) domestic and foreign, 2) operating within a given sport discipline (e.g. football or basketball). Sports law, sports law in poland, polish sports law, polish sports lawyer, sports lawyer in poland, disputes in sport poland, poland lex sportiva, sports law poland , football disputes poland, football court poland, footbnall litigation poland, law in sport poland, Legal disputes in sport and the resolution of legal disputes in sports (sports law, lex sportiva) is generally carried out in arbitration (ADR - Alternative Dispute Resolution), referred to as modification of sports arbitration. However, this is not a rule without exceptions. It should be emphasized that the main or most popular sports disciplines (basketball and football) have been developed by specialized permanent arbitration courts such as PSP (PZPN - Polish FA - Football Arbitration Court), Football Tribunal on FIFA: DRC (Dispute Resolution Chamber) , PSC (Players' Status Chamber), AC (Agents Chamber), STA (Polish Basketball Federation Arbitration Tribunal). Moreover, in Poland cases are also heard by the Arbitration Tribunal at PKOL (Polish Olympic Committee), and internationally by CAS / TAS - the Sports Arbitration Court, also known as the Sports Arbitration Court with its seat in Lausanne and branches in New York and Sydney.

Czytaj dalej

Prawo pracy

Zwolnienie dyscyplinarne – stosowanie art. 52 kodeksu pracy w praktyce

Czytaj dalej