Schrems II – skutki wyroku TSUE (zmiana zasad przekazywania danych osobowych do USA)

W ubiegłym tygodniu Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność tzw. „Privacy Shield” („Tarcza prywatności”) stanowiącej podstawę legalizującą przekazywanie danych z krajów członkowskich UE do USA.  W skutek tego wyroku każdy podmiot dokonujący operacji transferu danych osobowych do USA (np. poprzez narzędzia amerykańskich kontrahentów)  obwiązany jest do poszukiwania innej podstawy legalizującej tę operację w oparciu o przepisy RODO. Taką podstawą mogą być tzw. Standardowe Klauzule Umowne, czyli umowa, którą należy zawrzeć z odbiorcą danych w USA.

Wyrok TSUE wydany został w wyniku skargi austriackiego prawnika pana Maximiliana Schremsa, który jako użytkownik portalu społecznościowego Facebook sprzeciwił się udostępnianiu jego danych osobowych do USA.

Tarcza prywatności niezgodna z przepisami RODO

Przyczyną dla uznania nieważności Tarczy Prywatności był kształt przepisów obowiązujących w USA, które uprawniają organy wywiadu, w tym FBI oraz NSA do „hurtowego” gromadzenia danych bez względu na cel ich przetwarzania. Ich oddziaływanie dotyczy każdych danych przetwarzanych w ramach przedsiębiorstwa telekomunikacyjnego korzystającego z „infrastruktury szkieletowej” internetu – czyli sieci kabli, przełączników sieciowych i routerów, a także danych, które są „w tranzycie” w kierunku terytorium Stanów Zjednoczonych poprzez dostęp do podwodnych kabli spoczywających na dnie Oceanu Atlantyckiego. W związku z tym TSUE uznał, że Stany Zjednoczone Ameryki Północnej nie są państwem zapewniającym odpowiedni (taki jak w krajach UE) stopień ochrony.

Standardowe klauzule umowne

Zgodnie z przepisami RODO, transfer danych osobowych do krajów trzecich jest możliwy na jednej z kilku podstaw określonych w przepisach. Uchylenie przez TSUE Tarczy Prywatności spowodowało, że jedna z tych podstaw przestała obowiązywać. W związku z tym wszystkie firmy, które w jakikolwiek sposób transferują dane do podmiotu mającego siedzibę w Stanach Zjednoczonych (takich jak np. podwykonawcy, procesorowi, spółce matce, bądź innym podmiotom w ramach struktury wewnętrznej korporacji)  powinny dążyć do jak najszybszego do ustanowienia innej podstawy prawnej dla transferu, w szczególności poprzez tzw. zawarcie standardowych klauzul umownych (czyli treści umowy przygotowanej przez Komisję Europejską), celem ustalenia zasad prawidłowości przetwarzania i zapewnienia egzekwowalności praw osób fizycznych.

Luka, która powstała w wyniku wyroku TSUE stała się już problemem globalnym, gdyż transfer danych pomiędzy UE a USA odbywa się na ogromną skalę. Do chwili, kiedy Komisja Europejska zajmie konkretne stanowisko w przedmiocie wyroku lub wyda nową decyzję, w naszej opinii konieczne jest zadbanie o zawarcie z odbiorcami danych Standardowych Klauzul Umownych w celu zapewnienia legalizacji transferu danych.

Jeśli Państwo życzą sobie pomocy w przedmiocie zawarcia tego typu umów, czy też w negocjacjach z odbiorcami, służymy pomocą.

Więcej: Wyrok TSUE z 16 lipca 2020 r. w sprawie c-311/18

KONTAKT

Magdalena Patryas Partner, Katowice

E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419

Kamil Kozioł Starszy prawnik, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 32 731 68 50

Zarejestruj się, aby otrzymywać na bieżąco powiadomienia o zmianach w prawie i podatkach, o najistotniejszych nowościach z orzecznictwa oraz o wydarzeniach organizowanych przez Andersen w Polsce.

Aktualności