Wyrok Schrems II – co dzięki niemu wiemy?

Trybunał Sprawiedliwości Unii Europejskiej (TS UE) unieważnił decyzję, którą Komisja Europejska wydawała w sprawie adekwatności tzw. Tarczy Prywatności na linii UE-USA. W wyniku wyroku z dnia 16 lipca dyrektywa UE jest nieważna, co powoduje napięcie pomiędzy unijnymi a amerykańskimi podmiotami zajmującymi się przetwarzaniem danych osobowych. Jak unieważnienie tego wyroku wpłynie na audyt ochrony danych osobowych?

Co jest wynikiem wyroku Schrems II?

W wyniku uchylenia decyzji wykonawczej Komisji Europejskiej, utrudnieniu ulegnie prawidłowe wdrożenie przepisów RODO. Od czwartku 16. Lipca nie obowiązuje już porozumienie Privacy Shield, będące podstawą transferu danych osobowych do USA. Decyzja wykonawcza Komisji Unii Europejskiej 2016/1250 z 12 lipca 2016., uznana jest za nieważną, pomimo tego, że wcześniej została przyjęta na mocy dyrektywy 05/46/WE Parlamentu Europejskiego i Rady. Stanowi to wyzwanie dla wielu podmiotów z terenu Unii Europejskiej, które aktywnie dokonywały transferu danych do Stanów Zjednoczonych. Administratorzy tych podmiotów, odpowiedzialni za przestrzeganie przepisów RODO muszą teraz przeprowadzić audyt ochrony danych osobowych, aby sprawdzić, czy i na jakiej podstawie dochodzi u nich do transferu danych do USA. Jeśli podstawą transferu była Tarcza Prywatności, to firmy muszą znaleźć inną podstawę do dokonania tego transferu bądź konieczne będzie jego wstrzymanie.

Jak doszło do Schrems II?

Sprawa jest pokłosiem postępowania wszczętego przez aktywistę organizacji European Center for Digital Rights, Maximiliana Schremsa. W pierwszym postępowaniu Schrems domagał się wskazania podstaw prawnych, o które Facebook Ireland oparł swoje przekazywanie danych osobowych użytkowników portalu Facebook z UE do USA. Schrems w postępowaniu podnosił fakt, że w USA przepisy chroniące dane osobowe nie są takie, jak wdrożone w UE RODO.

Sprawa podnoszona przez Schremsa dotyczyła również tzw. klauzul modelowych, czyli wzorów umów, dzięki którym możliwe jest zapewnienie odpowiedniego poziomu ochrony danych osobowych, choć w danym państwie określone przepisy nie obowiązują. Inaczej mówiąc, choć w USA nie obowiązują takie przepisy jak w UE, to poprzez zastosowanie klauzul możliwe jest zapewnienie takiego poziomu ochrony danych, jakby w USA wdrożono RODO.

Co z transferem danych po Schrems II?

Jeśli audyt RODO wykaże, że podstawą transferu danych była Tarcza Prywatności, to teoretycznie jedyną dopuszczalną podstawą prawną na kontynuowanie tych transferów będzie stosowanie klauzul modelowych. Tu jednak Trybunał Sprawiedliwości UE zaznaczył, że w obowiązku administratora danych osobowych jest zweryfikowanie, czy w danym państwie trzecim stopień ochrony danych osobowych jest zgodny z wymogami stawianymi przy wdrażaniu przepisów RODO. Dokonywanie audytu ochrony danych osobowych powinno przebiegać osobno dla każdego konkretnego przypadku. Wskazane jest to, aby dokonywane to było we współpracy z podmiotem odbierającym te dane. Jeśli w prawie państwa trzeciego obowiązują przepisy nakładające na podmiot wysyłający dane z terenu UE zobowiązania sprzeczne ze wdrożonymi przepisami RODO i może mieć to negatywny wpływ na zabezpieczenie danych osobowych obywateli UE, to administrator tych danych zobowiązany jest do zawieszenia bądź zakończenia przekazywania danych osobowych do konkretnego państwa trzeciego.

Jakie transfery zostaną wstrzymane i czym była Tarcza Prywatności?

Wśród danych osobowych, które nie mogą odbywać się na podstawie standardowych klauzul, są transfery przedsiębiorców telekomunikacyjnych oraz transfery związane z przetwarzaniem danych osobowych w tzw. chmurze. Obecnie nie ma funkcjonującej do niedawna Tarczy Prywatności, a audyt ochrony danych osobowych wykaże, jak dużo podmiotów będzie musiało wycofać się ze standardowych klauzul. Nie brakuje również głosów europejskich organów nadzorczych, które wprost mówią, o konieczności utworzenia „chmury” w Europie.

Tarcza Prywatności była sformalizowanym narzędziem, za pomocą którego legalizacji ulegał transfer danych osobowych na linii UE oraz USA. Została ona przyjęta 12 lipca 2016 roku przez Komisję Europejską. Głównym celem dokumentu było m.in.:

  • Ustanowienie mechanizmu samocertyfkowania, który wykorzystywany był przez przedsiębiorców zlokalizowanych na terenie Stanów Zjednoczonych;
  • Przy dokonywaniu transferu danych osobowych przez podmiot unijny do przedsiębiorstwa zlokalizowanego na terenie Stanów Zjednoczonych – zapewnienie właściwego poziomu ochrony danych osobowych, który odpowiadałby wymaganiom stawianym przez UE;
  • Stworzenie dokumentu będącego prawną gwarancją dotyczącą przestrzegania właściwego przetwarzania danych osobowych na terytorium USA.

To, czy Tarcza Prywatności zostanie zachowana, było przedmiotem spekulacji, kiedy w państwach UE miało miejsce wdrażanie RODO. Choć wprowadzenie nowych przepisów nie zdezaktualizowało Privacy Shield, to wyrok sprzed kilku dni pokazuje, że ówczesne spekulacje nie były bezpodstawne.

O Privacy Shield współpracę opierało ponad 5 tysięcy podmiotów, w tym najpopularniejsze narzędzia zajmujące się analizą serwisów WWW. Wielu z tych dostawców, w odpowiedzi na wyrok Trybunału Sprawiedliwości UE, samemu zaczęło wskazywać inne podstawy transferów, które można użyć w miejsce do niedawna działającej Tarczy.

Co teraz będzie z transferem danych do USA?

Całkowite zatrzymanie przepływu danych z UE do USA wydaje się niemożliwe. Samo unieważnienie przedmiotowego dokumentu tj. Tarczy Prywatności, nie powoduje automatycznego zaprzestania przez podmioty unijne przekazywana danych osobowych i przetwarzania ich na terenie USA. W najbliższym czasie okaże się, czy największe amerykańskie korporacje takie jak Facebook zmienią faktyczną narrację w zakresie podstaw prawnych, na których będą opierać przetwarzanie danych osobowych obywateli UE na terenie Stanów Zjednoczonych. Na to, czy korporacje te postanowią wdrożyć przepisy RODO (lub je przypominające) przyjdzie nam jednak jeszcze trochę poczekać.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu