Od dnia 16 lipca 2020 roku, zgodnie z wyrokiem Trybunał Sprawiedliwości Unii Europejskiej ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems przekazywanie danych osobowych do USA nie może być realizowane na podstawie Privacy Shield UE-USA (Tarczy Prywatności USA-UE).
W swoim wyroku TSUE jednocześnie unieważnił decyzję wykonawczą Komisji Europejskiej z dnia 12 lipca 2016 roku, nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA oraz uznał za wiążącą decyzję Komisji z dnia 5 lutego 2010 roku, nr 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
Chociaż standardowe klauzule umowne (decyzja 2010/87) pozostają ważne, to w praktyce muszą one być stosowane w sposób zapewniający zgodność z RODO. Podmiot przekazujący musi zapewnić stopień ochrony osób fizycznych zagwarantowany przepisami RODO. Dokonując oceny w tym zakresie, podmiot przekazujący dane musi wziąć pod uwagę zakres, kontekst i cele przekazywania danych, treść standardowych klauzul umownych oraz ocenić czy system prawny obowiązujący w kraju docelowym zapewnia egzekwowalne prawa właścicieli danych i skuteczne środki ochrony prawnej. Ponadto w swoim oświadczeniu z dnia 17 lipca 2020 roku, EROD stwierdził, że badaniu systemu prawnego w kraju odbierającym dane powinno także obejmować czynniki określone w art. 45 ust.2 RODO.
Taka sytuacja oznacza, że podmioty przekazujące dane osobowe do USA, tracą podstawę legalizującą takie postępowanie. Należy pamiętać, że nie tylko dotyczy to zaplanowanych działań mających na celu eksport danych, ale także korzystania przez europejskie podmioty z usług powodujących przetwarzanie danych na terenie USA np. przechowywanie danych na serwerach umiejscowionych na terenie USA, korzystanie z niektórych usług chmurowych dostarczanych przez amerykańskie firmy, a w niektórych przypadkach nawet korzystanie z portali społecznościowych należących do amerykańskich koncernów.
Warto przypomnieć, że przekazywanie danych osobowych do krajów spoza europejskiego obszaru gospodarczego uregulowane jest w Rozdziale 5 RODO, a unieważnienie decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA nie zamyka drogi do przekazywania danych do krajów trzecich. Poza wyżej wskazanymi sposobami zalegalizowania transferu transatlantyckiego, zawsze można skorzystać z m.in. z art. 49 RODO.
W swoim wyroku TSUE jednocześnie unieważnił decyzję wykonawczą Komisji Europejskiej z dnia 12 lipca 2016 roku, nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA oraz uznał za wiążącą decyzję Komisji z dnia 5 lutego 2010 roku, nr 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
Chociaż standardowe klauzule umowne (decyzja 2010/87) pozostają ważne, to w praktyce muszą one być stosowane w sposób zapewniający zgodność z RODO. Podmiot przekazujący musi zapewnić stopień ochrony osób fizycznych zagwarantowany przepisami RODO. Dokonując oceny w tym zakresie, podmiot przekazujący dane musi wziąć pod uwagę zakres, kontekst i cele przekazywania danych, treść standardowych klauzul umownych oraz ocenić czy system prawny obowiązujący w kraju docelowym zapewnia egzekwowalne prawa właścicieli danych i skuteczne środki ochrony prawnej. Ponadto w swoim oświadczeniu z dnia 17 lipca 2020 roku, EROD stwierdził, że badaniu systemu prawnego w kraju odbierającym dane powinno także obejmować czynniki określone w art. 45 ust.2 RODO.
Taka sytuacja oznacza, że podmioty przekazujące dane osobowe do USA, tracą podstawę legalizującą takie postępowanie. Należy pamiętać, że nie tylko dotyczy to zaplanowanych działań mających na celu eksport danych, ale także korzystania przez europejskie podmioty z usług powodujących przetwarzanie danych na terenie USA np. przechowywanie danych na serwerach umiejscowionych na terenie USA, korzystanie z niektórych usług chmurowych dostarczanych przez amerykańskie firmy, a w niektórych przypadkach nawet korzystanie z portali społecznościowych należących do amerykańskich koncernów.
Warto przypomnieć, że przekazywanie danych osobowych do krajów spoza europejskiego obszaru gospodarczego uregulowane jest w Rozdziale 5 RODO, a unieważnienie decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA nie zamyka drogi do przekazywania danych do krajów trzecich. Poza wyżej wskazanymi sposobami zalegalizowania transferu transatlantyckiego, zawsze można skorzystać z m.in. z art. 49 RODO.
Więcej informacji:
Uzupełnienie:
Na stronie EROD opublikowany został dokument: Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, jego robocze (nieoficjalne) tłumaczenie opublikował na swojej stronie Urząd Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1614.
Ostatnie wpisy
O mnie
Michał Cupiał
Kategorie