Notatki o prawie

TRANSFERY DANYCH OSOBOWYCH UE-USA – CO NOWEGO? 6 kwietnia 2022

Sprawne transfery danych osobowych są integralnym elementem utrzymywania współpracy gospodarczej na linii UE-USA. Przedsiębiorcy po obu stronach Atlantyku zostali pozbawieni klarownej i prostej możliwości legalnego przekazywania danych osobowych i to w tak podstawowych kwestiach jak np. payroll, czy też działania marketingowe przy użyciu narzędzi nieingerujących zanadto w prawo do prywatności. Po blisko dwóch latach od wydania orzeczenia TSUE w sprawie Schrems II jest jednak nadzieja na zmianę takiego stanu rzeczy.

Wróćmy jednak do początku całego „zamieszania”. Zagadnienie transferów danych osobowych do państw trzecich to temat, który spędził sen z powiek niejednemu prawnikowi zajmującemu się tą tematyką. Wszystko za sprawą orzeczenia Trybunału Sprawiedliwości UE (dalej „TS” lub „Trybunał”) C-311/18 z dnia 16 lipca 2020 r. w sprawie Schrems II, EU:C:2020:559, na mocy którego TS przede wszystkim unieważnił decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętej na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Dz. U. 2016, L 207 s. 1) (dalej „decyzja w sprawie Privacy Shield”). W oparciu o decyzję w sprawie Privacy Shield transfer danych osobowych pomiędzy podmiotami w UE a podmiotami w USA będącymi członkami Privacy Shield, mógł być dokonywany w relatywnie bezpieczny sposób bez poszukiwania dodatkowej podstawy prawnej legalizującej taki transfer. Po orzeczeniu Trybunału jedyną sensowną podstawą legalizującą przekazanie danych do państwa trzeciego, jeśli podmioty wymieniające dane nie są objęte Wiążącymi Regułami Korporacyjnymi, pozostały standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich na mocy decyzji wykonawczej Komisji UE[1].

Z orzeczenia TS w sprawie Schrems II wynika jednak dodatkowy obowiązek administratorów do badania przepisów państwa trzeciego (państwa niebędącego członkiem EOG[2]) w zakresie ochrony danych osobowych, do którego administrator chce przesyłać dane osobowe. Ocena taka powinna dotyczyć w szczególności spełnienia zasad, którym podlegają ograniczenia art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej 2012/C 326/02 (dalej „KPP”), ustanawiających podstawowe prawo do prywatności i prawo do ochrony danych osobowych, tak aby można było uznać, że są one dopuszczalne. Badanie dotyczy przede wszystkim możliwości dostępu organów państwa, w którym dane są odbierane, zasad takiego dostępu oraz mechanizmów prawnych, jakie są zapewnione podmiotom danych w związku z tym dostępem. Cała analiza powinna być odpowiednio udokumentowana przede wszystkim w postaci TIA (Transfer Impact Assessment). W stosownych przypadkach należy wdrożyć środki uzupełniające. Obowiązki administratorów związane z transferem danych osobowych do państw trzecich zostały uporządkowane i rozwinięte w zalecaniach Europejskiej Rady Ochrony Danych Osobowych 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych przyjętych w dniu 10 listopada 2020 r.

Mając na uwadze szeroką definicję transferów danych osobowych, która obejmuje swoim zakresem każde przekazanie lub udostępnienie danych osobowych przez administratora/procesora podlegającego Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”) do importera w państwie trzecim (bez względu na to, czy podmiot taki podlega RODO, czy też nie), problem legalności transferów jest bardzo praktyczny i powszechny.

Dla firm bez poważnego zaplecza prawnego prawników zajmujących się prawem ochrony danych osobowych spełnienie wymogów, o których mowa powyżej jest bardzo trudne, żeby nie powiedzieć – niemożliwe.

Po wydaniu orzeczenia TS w sprawie Schrems II aktywista Schrems i jego stowarzyszenie NYOB złożyło 101 skarg dot. Google Analytics i Facebook Connect do organów nadzorczych w różnych państwach członkowskich, w tym w Polsce. Na dzień dzisiejszy Prezes UODO nie opublikował w tym przedmiocie żadnej decyzji ani oficjalnego konkretnego stanowiska. Dotychczas, zostały wydane decyzje przez organ nadzorczy w Austrii, Francji i Norwegii. Organy te uznały, że stosowanie Google Analytics przez podmioty, przeciwko którym były wniesione skargi jest niezgodne z RODO w aktualnym na dzień wydania tych decyzji stanie prawnym. Należy przy tym wskazać, że Google Analytics nie jest narzędziem szczególnie ingerującym w prywatność osób, których dane dotyczą. Tym samym, poprzeczka dla legalizacji transferów danych pomiędzy UE a USA została postawiona bardzo wysoko.

Z optymizmem (choć umiarkowanym) należy więc przyjąć ogłoszenie Komisji Europejskiej i Stanów Zjednoczonych o tym, że zostało osiągnięte porozumienie „co do zasady” dotyczące zasad trans-atlantyckich przepływów danych. Umowa adresuje wątpliwości, jakie zgłoszono względem dotychczasowego rozwiązania „Privacy Shield”, dotyczące dostępu organów rządowych do danych przekazywanych na terytorium USA oraz narzędzi prawnych, w które mają być wyposażone podmioty danych, aby skutecznie kwestionować niezgodne z prawem przetwarzanie ich danych osobowych. Po spełnieniu przez przedsiębiorców amerykańskich, certyfikujących się w nowym programie (Privacy Shield 3.0), wymogów przewidzianych na mocy porozumienia, przepływy danych mają następować w sposób legalny i bezpieczny. Z zaciekawieniem i niecierpliwością czekamy więc na stosowną decyzję Komisji Europejskiej, która usankcjonuje powyższe założenia na mocy wiążącego dokumentu i umożliwi wcielenie ogłoszonych założeń w życie. Należy się spodziewać, że finalna decyzja Komisji UE zostanie zakwestionowana przez aktywistów działających na rzecz prawa do prywatności i prawa do ochrony danych osobowych podobnie jak poprzednie rozwiązania. Prawnicy Miller Canfield monitorują na bieżąco to co dzieje się w prawie ochrony danych osobowych, aby proponować aktualne, zgodne z prawem i praktyczne rozwiązania prawne adresujące w najwyższym możliwym zakresie potrzeby biznesowe klientów.

Magdalena Olkiewicz-Borkowska
Adwokat
T: +48 58 782 00 50
E: olkiewicz@millercanfield.com

 

[1] Podmiot transferujący dane do państw trzecich może również próbować się oprzeć na innych podstawach legalizujących transfer, jak np. zgoda. W praktyce jednak podstawy te są stosowane rzadko.

[2] Wyjątkiem są państwa trzecie, w stosunku do których Komisja UE wydała decyzję o adekwatności. Do takich państw dane osobowe mogą być transferowane w sposób legalny, bez konieczności poszukiwania dodatkowej podstawy legalizującej takie przekazanie danych osobowych.

Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield na podstawie faktów i informacji aktualnych w dacie jej wydania, które mogą ulec zmianie. Celem publikacji jest zwrócenie uwagi na wskazane w niej zmiany prawne i nie powinna stanowić wyłącznej podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą być traktowane jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.