Schrems II – skutki wyroku TSUE (zmiana zasad przekazywania danych osobowych do USA)
W ubiegłym tygodniu Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność tzw. „Privacy Shield” („Tarcza prywatności”) stanowiącej podstawę legalizującą przekazywanie danych z krajów członkowskich UE do USA. W skutek tego wyroku każdy podmiot dokonujący operacji transferu danych osobowych do USA (np. poprzez narzędzia amerykańskich kontrahentów) obwiązany jest do poszukiwania innej podstawy legalizującej tę operację w oparciu o przepisy RODO. Taką podstawą mogą być tzw. Standardowe Klauzule Umowne, czyli umowa, którą należy zawrzeć z odbiorcą danych w USA.
Wyrok TSUE wydany został w wyniku skargi austriackiego prawnika pana Maximiliana Schremsa, który jako użytkownik portalu społecznościowego Facebook sprzeciwił się udostępnianiu jego danych osobowych do USA.
Tarcza prywatności niezgodna z przepisami RODO
Przyczyną dla uznania nieważności Tarczy Prywatności był kształt przepisów obowiązujących w USA, które uprawniają organy wywiadu, w tym FBI oraz NSA do „hurtowego” gromadzenia danych bez względu na cel ich przetwarzania. Ich oddziaływanie dotyczy każdych danych przetwarzanych w ramach przedsiębiorstwa telekomunikacyjnego korzystającego z „infrastruktury szkieletowej” internetu – czyli sieci kabli, przełączników sieciowych i routerów, a także danych, które są „w tranzycie” w kierunku terytorium Stanów Zjednoczonych poprzez dostęp do podwodnych kabli spoczywających na dnie Oceanu Atlantyckiego. W związku z tym TSUE uznał, że Stany Zjednoczone Ameryki Północnej nie są państwem zapewniającym odpowiedni (taki jak w krajach UE) stopień ochrony.
Standardowe klauzule umowne
Zgodnie z przepisami RODO, transfer danych osobowych do krajów trzecich jest możliwy na jednej z kilku podstaw określonych w przepisach. Uchylenie przez TSUE Tarczy Prywatności spowodowało, że jedna z tych podstaw przestała obowiązywać. W związku z tym wszystkie firmy, które w jakikolwiek sposób transferują dane do podmiotu mającego siedzibę w Stanach Zjednoczonych (takich jak np. podwykonawcy, procesorowi, spółce matce, bądź innym podmiotom w ramach struktury wewnętrznej korporacji) powinny dążyć do jak najszybszego do ustanowienia innej podstawy prawnej dla transferu, w szczególności poprzez tzw. zawarcie standardowych klauzul umownych (czyli treści umowy przygotowanej przez Komisję Europejską), celem ustalenia zasad prawidłowości przetwarzania i zapewnienia egzekwowalności praw osób fizycznych.
Luka, która powstała w wyniku wyroku TSUE stała się już problemem globalnym, gdyż transfer danych pomiędzy UE a USA odbywa się na ogromną skalę. Do chwili, kiedy Komisja Europejska zajmie konkretne stanowisko w przedmiocie wyroku lub wyda nową decyzję, w naszej opinii konieczne jest zadbanie o zawarcie z odbiorcami danych Standardowych Klauzul Umownych w celu zapewnienia legalizacji transferu danych.
Jeśli Państwo życzą sobie pomocy w przedmiocie zawarcia tego typu umów, czy też w negocjacjach z odbiorcami, służymy pomocą.
Więcej: Wyrok TSUE z 16 lipca 2020 r. w sprawie c-311/18
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
