Wstecz
Prawo dla biznesu

SCHREMS II

Wyrokiem z dnia 16 lipca 2020 roku w sprawie o sygnaturze C-311/18, tzw. Schrems II, Trybunał Sprawiedliwości Unii Europejskiej unieważnił Tarczę Prywatności (Privacy Shield). Tarcza Prywatności stanowiła jedną z podstaw prawnych w kwestii transferu danych z Europejskiego Obszaru Gospodarczego do USA. Trybunał uznał Tarczę Prywatności za nieważną, jednocześnie uznając standardowe klauzule ochrony danych osobowych (Standard Contractual Clauses, SCC) w transferze do państw trzecich za skuteczne pod warunkiem, że odpowiadają one poziomem ochrony (są merytorycznie równoważne) regulacjom obowiązującym w Unii Europejskiej. TSUE stwierdził, że Tarcza Prywatności nie zapewnia adekwatnej ochrony danych przekazywanych z EU do USA, gdyż ochrona tych danych nie spełnia wymogów unijnych i nie daje odpowiedniej gwarancji.


Sam wyrok jest owocem skargi austriackiego prawnika Maximilliana Schremsa. Maximillian Schrems złożył skargę przeciwko Facebook Ireland do Irlandzkiego Urzędu ds. ochrony danych (DPC). Przedmiotem skargi było przekazywanie przez Facebooka danych dotyczących jego europejskich użytkowników z Facebook Ireland na serwery spółki w USA (Facebook Inc.), gdzie dane te były również przetwarzane. Główną wątpliwością Schremsa było to, czy dane te są dostatecznie zabezpieczone przed rządową inwigilacją – amerykańskie regulacje zobowiązują Facebooka do udostępniania danych służbom federalnym, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI).


Jakie konsekwencje ma ten wyrok względem polskich przedsiębiorców? Czy można przekazywać dane do USA?


Tarcza Prywatności nie stanowi już podstawy do przekazywania danych do USA, a przekazywanie danych na jej podstawie przestało być dopuszczalne. Standardowe klauzule umowne zachowują ważność, jednakże w każdym przypadku należy dokonać oceny, czy ich stosowanie zapewnia adekwatną ochronę danych w państwie trzecim (USA), a także czy przeciwko osobie obowiązanej do uzupełnienia zachowku z tytułu otrzymanych od spadkodawcy zapisu windykacyjnego lub darowizny 5 lat art.1007 §2 k.c. z tytułu mandatów za jazdę bez biletu 1 rok art. 77 pr. przewozowe z tytułu sprzedaży towarów z Polski za granicę na mocy Konwencji Nowojorskiej (można wyłączyć jej stosowanie w umowie) 4 lata art. 8 Konwencji Nowojorskiej z 1974 r z tytułu składek na ubezpieczenia emerytalne, rentowe, chorobowe i wypadkowe 5 lat art. 24 ust. 4 ust. o systemie ubezp. społ. zobowiązania podatkowe – jeżeli powstały z mocy prawa 5 lat art. 70 § 1 ordynacji podatkowej ze stosunku pracy 3 lata art. 291 § 1 k.p. regulacje prawne dotyczące ochrony tych danych odpowiadają poziomowi ochrony gwarancjom zapewnianym na obszarze EOD. W tej sytuacji, kluczowe okażą się wytyczne organów nadzorczych oraz jednostkowa ocena ryzyka całokształtu procesu przekazywania danych. Ponadto, na podmiot odbierający dane nałożony jest obowiązek poinformowania podmiotu wysyłającego dane o swojej ewentualnej niemożności wywiązania się z przestrzegania standardowych klauzul ochrony danych oraz w przypadkach, w których jest to konieczne, ze środków uzupełniających, które są przewidziane w tej klauzuli. W takiej sytuacji przedsiębiorca, który zamierzał przekazać dane, będzie musiał rozwiązać umowę z podmiotem odbierającym bądź zawiesić ich przekazywanie.


W następstwie wyroku, Europejska Rada Ochrony Danych (EROD) przyjęła dokument z najczęściej zadawanymi pytaniami, w którym wyjaśnia oraz udziela wskazówek odnośnie do dalszego postępowania. W dokumencie zawarto informacje, że:

I. nie istnieje okres karencji w którym można dalej przesyłać dane do USA na podstawie Tarczy Prywatności, bez oceny podstawy prawnej do przekazania danych,


II. dalej możesz przekazywać dane na podstawie standardowych klauzul umownych czy wiążących reguł korporacyjnych (BCR), jednakże zarówno Ty, jak i podmiot odbierający dane jesteście odpowiedzialni za ocenę, czy w danym państwie trzecim przestrzegany jest stopień ochrony danych wymagany przez prawo UE,


III. dalsze przekazywanie danych na podstawie standardowych klauzul umownych i wiążących reguł korporacyjnych musi podlegać Twojej każdorazowej ocenie w zakresie ryzyka, jakie się z tym procesem wiąże, a w razie stwierdzenia, że ochrona jest niewystarczająca, czy możesz zapewnić środki uzupełniające, które zapewnią adekwatność tej ochrony,


IV. w przypadku dojścia do wniosku, biorąc pod uwagę okoliczności towarzyszące przekazywaniu oraz możliwe środki dodatkowe, że nie można zapewnić odpowiednich zabezpieczeń, musisz zawiesić przekazywanie danych lub rozwiązać umowę,


V. w przypadku braku zawieszenia lub rozwiązania umowy z podmiotem odbierającym w w/w przypadku i przekazywania mimo tego danych, musisz to zgłosić organowi nadzorczemu (w Polsce – PUODO),


VI. w przypadku, gdy jesteś administratorem danych osobowych i korzystasz z usług podmiotu przetwarzającego, który przetwarza dane, za które jesteś odpowiedzialny, musisz zweryfikować, czy umowa, którą zawarłeś z podmiotem przetwarzającym dopuszcza przekazywanie danych poza EOG (do USA) oraz ocenić adekwatność ochrony tych danych w stosunku do regulacji unijnych,


VII. w przypadku braku możliwości dalszego przekazywania danych do podmiotu przetwarzającego w sytuacji gdy Wasza umowa wskazuje, że dane mogą być przekazywane do Stanów Zjednoczonych lub do innego państwa trzeciego, przy zastosowaniu dodatkowych środków, ani nie mają zastosowania odstępstwa z art. 49 RODO, należy wynegocjować zmianę lub wprowadzenie klauzuli uzupełniającej do umowy, która uniemożliwi przekazywanie danych do USA – dane muszą być zarówno przetwarzane, jak i przechowywane (administrowane) poza terytorium USA,


VIII. przekazywanie danych z EOG do USA wciąż jest możliwe na podstawie wyjątków przewidzianych w art. 49 RODO, pod warunkiem, że mają zastosowanie warunki określone w tym artykule. EROD odwołuje się do swoich wytycznych dotyczących tego przepisu (wytyczne znajdują się pod adresem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_pl.pdf ),


IX. EROD dokona oceny konsekwencji wyroku względem narzędzi innych niż standardowe klauzule umowne oraz wiążące reguły korporacyjne, a analizuje orzeczenie Trybunału w celu określenia rodzaju dodatkowych środków, które mogłyby zostać wprowadzone dodatkowo do standardowych klauzul umownych lub wiążących reguł korporacyjnych.

Stan prawny na dzień 30.04.2021 r.

 

Sprawdź pozostałe nasze wpisy

Wstecz
Prawo na co dzień 19.04.2022
Umowy międzynarodowe pomiędzy Polską a Ukrainą

W związku z obecną sytuacją polityczną, w celu ułatwienia dostępu do informacji prawnej, poniżej przedstawiamy najważniejsze akty prawne obowiązujące w stosunkach prawnych pomiędzy Polską a Ukrainą. Zachęcamy również do zapoznania się z publikacją pokonferencyjną Bartosza Armknechta poświęconą kwestiom prawa spadkowego w stosunkach polsko-ukraińskich. Międzynarodowa Konferencja z okazji 25 rocznicy Konstytucji Ukrainy, pt. Konstytucja – Podstawa Rozwoju Państwa i Społeczeństwa, została zorganizowana przez Sąd Konstytucyjny Ukrainy oraz Narodową Akademię Nauk Ukrainy w Kijowie w dniu 24 czerwca 2021 r. (КОНСТИТУЦІЯ — ОСНОВА РОЗВИТКУ ДЕРЖАВИ І СУСПІЛЬСТВА. До 25-річчя Конституції України, Київ, 24 червня 2021 р.).

Czytaj dalej
Prawo sportowe 16.08.2023
[Prawo sportowe] Sport i globalne relacje gospodarcze. Milionowe inwestycje w saudyjską piłkę nożną - Saudi Pro League: jak wyglądają transfery piłkarzy w Arabii Saudyjskiej?

W ostatnim czasie jesteśmy świadkami spektakularnych transferów piłkarskich do klubów z najwyższej klasy rozgrywkowej saudyjskiej ligi piłkarskiej - Saudi Pro League. Któż z nas nie słyszał o piłkarzach zakontraktowanych przez Al-Hilal - Rubena Nevasa pozyskanego za 55 mln euro z angielskiego Wolverhampton czy Sergieja Milinkovicia- Savicia z Lazio Rzym, którego transfer kosztował 42 mln euro? Nie bez echa przeszły również transfery tak głośnych nazwisk jak Cristiano Ronaldo (Al-Nassr) czy Karim Benzema (Ittihad Club), czyli zawodników pozyskanych z tzw. wolnego transferu („free agent”). Natomiast polskiego kibica z całą pewnością interesują transfery przeprowadzone przez inny klub piłkarski z Saudi Pro League - Abha F.C. Klubu, który pozyskał byłego Trenera – Selekcjonera Reprezentacji Polski w Piłce Nożnej - Czesława Michniewicza oraz środkowego pomocnika Grzegorza Krychowiaka. Nie można jednak pominąć innych transakcji, jak chociażby transfer Marcelo Brozovicia, którym jak donosiły media zainteresowana była również F.C. Barcelona. Kluby z Saudi Pro Leauge wygrywają już rywalizację z europejskimi klubami piłkarskimi, co prawda obecnie wyłącznie w wyjściu o zakontraktowanie (pozyskanie) zawodników, kuszonych nadzwyczajnymi warunkami finansowymi, a nie w rywalizacji sportowej, ale już wkrótce i to może się zmienić. Jak donosi "Calciomercato": UEFA rozważa przyznanie wybranym klubom z Ligi Saudyjskiej tzw. "dzikich kart", które uprawnią saudyjskie kluby piłkarskie do udziału Lidze Mistrzów! Zatem rywalizacja sportowa może w niedługim czasie przenieść się z gabinetów działaczy sportowych na stadiony. Czy kluby z Saudi Pro League będą w stanie rywalizować z topowymi klubami piłkarskimi organizacyjnie i sportowo, na to i wiele innych pytań odpowiedź pozwany w nieodległej przyszłości. Zapewne wiele osób zastanawia się skąd wynika ten trend rozwoju piłkarstwa w Królestwie Arabii Saudyjskiej? Poniżej krótka analiza tej sytuacji. prawo sportowe prawo sportowe kancelaria prawo sportowe prawnik prawo sportowe kancelaria prawa sportowego prawo piłkarskie prawnik sportowy kancelaria prawa sportowego adwokat sport adwokat prawo sportowe prawo piłkarskie prawo piłki nożnej umowa transferu zawodnika transfer piłkarza umowa umowa transferowa saudi pro league prawo tranferów piłkarskich transfery arabia saudyjska czesław michniewicz kontrakt trenerski transfery po arabsku umowa transferu międzynarodowego prawo piłkarskie w arabii saudyjskiej regulacje prawa sportowego

Czytaj dalej