Menu Zamknij

Wstrzymane transfery danych osobowych do USA ?

Ubiegły tydzień przyniósł sporo zamieszania w obszarze transferu danych do Stanów Zjednoczonych. Z obszaru tego pochodzi większość najważniejszych dostawców powszechnych i popularnych usług IT i społeczeństwa informacyjnego. Wyrok ws. Schrems II ws. przeciwko Facebookowi unieważnił jedną z podstaw do przekazywania danych (decyzję Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA), a drugą (standardowe klauzule umowne) w dużej mierze zachwiał. Czy mamy do czynienia z trzęsieniem ziemi, czy też w istocie nic się nie stało?

Wyrok z 16 lipca 2020 r. zapadł w następstwie drugiego już sporu, jaki Max Schrems prowadził przeciwko Facebook Inc. (siedziba w PaloAlto, California). Jest to już druga wygrana Schremsa, który za pierwszym razem doprowadził do unieważnienia umowy Safe Harbor.Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że traci ważność decyzja Komisji UE 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA.Schremsowi udało się zatem już po raz kolejny zakwestionować transatlantyckie przekazywanie danych przez Facebooka i tym samym doprowadzić do unieważnienia swoistej następczyni Safe Harbor. Z tego powodu można stwierdzić, że wyrok nie jest przełomowy ani precedensowy.

Samo unieważnienie tej podstawy prawnej do transferu danych do USA nie powinno powodować jeszcze rewolucji. Administratorzy mogą bowiem znaleźć inną podstawę zalegalizowania transferu. Do podstaw tych należy zaliczyć m.in.:

  1. a) prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi;
  2. b) wiążące reguły korporacyjne(BCR);
  3. c) standardowe klauzule ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą;
  4. d) standardowe klauzule ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą;
  5. e) zatwierdzone kodeksy postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń;
  6. f) zatwierdzone mechanizmy certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń.

W pierwszym rzucie z pewnością wybór padnie na standardowe klauzule umowne. Wielu dostawców usług IT wskazuje w swoich regulaminach dwie podstawy prawny (tarczę i klauzule). Co więcej sam TSUE podjął się zbadania decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podwykonawcom mającym siedzibę w państwach trzecich na podstawie dyrektywy Parlamentu Europejskiego i Rady 95/46/WE, zmienionej decyzją wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r. W tym zakresie jego ustalenia prowadzą do wniosku, że decyzja ta pozostaje ważna. Z treści jednak samego wyroku wynika wszelako, że administrator (lub podmiot przetwarzający) mający siedzibę w UE ma obowiązek uprzedniego sprawdzenia, czy w danym państwie trzecim jest zagwarantowany stopień ochrony wymagany przez prawo UE. Badanie prawodawstwa obcego Państwa pod kątem zgodności z prawem europejskim wydaje się dość trudnym zadaniem dla większości administratorów. Dotyczy to przede wszystkim firm z sektora MŚP.

Tutaj pojawia się jednak dodatkowa wątpliwość. Decyzja dotycząca Tarczy Prywatności została zakwestionowana nie z samego powodu istnienia w niej jakiegoś zapisu nie odpowiadającego przepisom europejskim (przyczyna wewnętrzna), ale z powodu powszechnie obowiązujących przepisów amerykańskich (przyczyna zewnętrzna). Do tych przepisów zalicza się m.in. art. 702 FISA (Foreign Intelligence Surveillance Act of 1978 „FISA” Pub.L. 95–511, 92 Stat. 1783, 50 U.S.C. ch. 36). TSUE ustalił, że „(…)nie można w żaden sposób wyprowadzić wniosku o istnieniu jakichś ograniczeń ustanowionego w nim uprawnienia odnoszącego się do wdrażania programów nadzoru do celów wywiadu zagranicznego, ani też gwarancji przysługujących potencjalnie objętym tymi programami osobom nieposiadającym obywatelstwa amerykańskiego”. Analogiczne ustalenia zostały poczynione względem programów nadzoru mających podstawę w rozporządzeniu wykonawczym nr 12333.

Zasadniczo zostały zatem zakwestionowane programy wywiadowcze, które zobowiązują przedsiębiorców telekomunikacyjnych (w tym Facebooka) do przekazywania danych osób nie posiadających obywatelstwa amerykańskiego bez odpowiednich gwarancji zapewniających, że zakres przekazywanych danych będzie ograniczony, a nadto, że osobom tym przyznane będzie prawo do sądowej kontroli takiego przekazywania. Istota zakwestionowanych przepisów nie sprowadza się do ich funkcjonowania wyłącznie w kontekście Tarczy Prywatności, a wręcz przeciwnie dotyczy wszelkich transferów danych. Już tylko to każe powziąć wątpliwość, czy standardowe klauzule umowne mogą mieć zastosowanie w relacjach z podmiotem z USA z uwagi na istnienie tych przepisów.

Wyrok wywołał spore poruszenie wśród praktyków prawa ochrony danych osobowych. Spotkał się także z reakcją organów nadzorczych (odpowiedników Urzędu Ochrony Danych Osobowych). Reakcje te są jednak póki co dość lakoniczne i sprowadzają się do stwierdzenia wagi wyroku i jego dalszej analizy. Nawet Europejska Rada Ochrony Danych Osobowych znana ze swojego krytycznego podejścia do Tarczy Prywatności w swoim stanowisku zajmuje dość zachowawcze stanowisko. Z jednej strony stwierdza oczywistą rzecz – utratę ważności Tarczy Prywatności i następcze zdelegalizowanie transferów danych do USA na tej podstawie. Z drugiej jednak strony wskazuje na pozorną ważność standardowych klauzul umownych. Zastrzega przy tym, że podmioty uczestniczące w transferze danych powinny badać, czy ustawodawstwo państwa trzeciego zapewnia egzekwowalność postanowień zawartych w standardowych klauzulach umownych. Nie przesądza jednak o braku możliwości ich stosowania z uwagi na art. 702 FISA. Pojedyncze organy nadzorcze z Niemiec zakwestionowały całkowicie możliwość transferu danych do USA. Urząd Ochrony Danych Osobowych póki co milczy w tej sprawie. Publikuje jedynie na swojej stronie stanowisko EROD.

Transfer danych do USA z pewnością obarczony jest na dzień dzisiejszy pewnym ryzykiem prawnym. Rodzi to zasadniczy obowiązek przeglądu narzędzi przetwarzania danych, a także ustalenia, czy nie są one przekazywane do USA. Z pewnością warto rozważyć przejście na takie rozwiązania, które takiego transatlantyckiego przetwarzania nie wymagają. W innym wypadku zachodzi konieczność dostosowania organizacyjnego i znalezienia innej podstawy prawnej do przekazywania danych do państw trzecich.