Koniec z łatwą wymianą danych z USA

Po wyroku TSUE każdorazowe przekazanie danych od Stanów Zjednoczonych będzie wymagało od przedsiębiorcy zweryfikowania istnienia przesłanek dopuszczających taki transfer.

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyrokiem z 16 lipca 2020 r. w sprawie C-311/81 orzekł o nieważności tzw. tarczy prywatności. Regulacja ta pozwalała do tej pory na stosunkowo łatwą wymianę danych między firmami z Unii Europejskiej (w tym Polski) z kontrahentami ze Stanów Zjednoczonych. Co w praktyce oznacza decyzja TSUE dla polskich firm?

CO TO JEST TARCZA PRYWATNOŚCI?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO) wprowadza dość surowe wymogi dotyczące przekazywania danych między Unią Europejską a krajami nienależącymi do Europejskiego Obszaru Gospodarczego.

Transfer taki jest zdecydowanie najłatwiejszy w przypadku przekazywania danych osobowych do krajów, w stosunku do których Komisja Europejska podjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych (art. 45 RODO). Decyzja taka jest wydawana, jeżeli dany kraj zapewnia realne mechanizmy chroniące dane osobowe. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności praworządność, poszanowanie praw człowieka i podstawowych wolności i związane z tym ustawodawstwo i orzecznictwo, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo w dziedzinie ochrony danych osobowych.

Decyzje takie zostały do tej pory wydane wobec wielu krajów, w tym Japonii, Kanady, Szwajcarii, Nowej Zelandii, Argentyny, Urugwaju, Izraela czy Wysp Owczych, Guernsey i Man czy Andory. Również w przypadku transferu danych do Stanów Zjednoczonych, do czasu wydania powołanego orzeczenia TSUE, przekazywanie danych nie wymagało uzyskania dodatkowego zezwolenia ani spełnienia dodatkowych, rygorystycznych przesłanek określonych w art. 46–49 RODO. W stosunku do USA obowiązywała bowiem decyzja wykonawcza Komisji (UE) 2016/1250 z 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez tarczę prywatności UE–USA.

Przyjęcie tej decyzji pozwoliło na liberalizację zasad transferu danych między Unią Europejską a USA i stworzenie mechanizmu wewnętrznej certyfikacji dla amerykańskich przedsiębiorców przy zapewnieniu odpowiedniego poziomu ochrony danych osobowych. Tarcza prywatności zapewniała także podstawowe gwarancje prawne dla osób fizycznych w przypadku przekazywania ich danych na terytorium USA.

CO POSTANOWIŁ TRYBUNAŁ

Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 zapadł w ramach postępowania wywołanego skargą obywatela Austrii przeciwko Facebook Ireland Ltd. W skardze tej kwestionowano m.in. legalność przekazywania danych osobowych skarżącego przez powoływaną spółkę na rzecz spółki Facebook Inc. z siedzibą w Stanach Zjednoczonych. Zarzuty zawarte w skardze w tym zakresie dotyczyły przede wszystkim przekazywania danych przez amerykańską spółkę na rzecz federalnych organów państwowych, w ramach środków kontroli treści internetowych. W przypadku bowiem takiego przekazania na rzecz władz państwowych w prawie amerykańskim nie ma środków prawnych umożliwiających obywatelowi wniesienie środka zaskarżenia.

W analizowanym wyroku TSUE potwierdził zastosowanie przepisów RODO w przypadku przekazywania danych osobowych między przedsiębiorcami w celach handlowych, również w przypadku późniejszego udostępnienia takich danych organom administracji publicznej państwa, w którym siedzibę ma podmiot, któremu udostępniono dane (w przedmiotowym przypadku – Stanów Zjednoczonych). Udostępnienie danych osobowych podmiotowi w państwie spoza Europejskiego Obszaru Gospodarczego na podstawie art. 45 RODO wymaga zachowania odpowiednich zabezpieczeń, egzekwowalnych w praktyce praw osób fizycznych oraz skutecznych środków ochrony prawnej. Instytucje te powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego, były chronione w stopniu zbliżonym do tego obowiązującego w Unii Europejskiej.

W ramach oceny stopnia ochrony danych osobowych, zapewnianego w kontekście takiego transgranicznego przetwarzania danych osobowych, TSUE nakazał uwzględniać zarówno postanowienia umowne uzgodnione między przedsiębiorcami, jak i normy prawne obowiązujące w państwie trzecim, w tym w odniesieniu do ewentualnego dostępu organów państwowych tego państwa do przekazywanych w ten sposób danych osobowych i istotne elementy składające się na jego system prawny. Trybunał przesądził jednocześnie, że w przypadku transferu danych do państwa spoza Europejskiego Obszaru Gospodarczego, w przypadku braku decyzji Komisji Europejskiej o odpowiednim stopniu ochrony danych osobowych, właściwy organ nadzorczy (w Polsce prezes Urzędu Ochrony Danych Osobowych) jest zobowiązany do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych przyjętych przez Komisję, jeżeli ten organ nadzorczy w świetle całokształtu okoliczności towarzyszących temu przekazywaniu uzna, że klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo unijne, nie może być zapewniona za pomocą innych środków.

Trybunał Sprawiedliwości Unii Europejskiej, badając przypadek Stanów Zjednoczonych, uznał ostatecznie, że przesądzające znaczenie dla rozpoznania sprawy ma fakt, że amerykańskie przepisy prawa nie przewidują możliwości podniesienia przez osobę fizyczną, której dane zostaną udostępnione, środka odwoławczego przed odpowiednim organem nadzorczym. Sprawia to, że art. 1 tzw. tarczy prywatności, a w konsekwencji cała decyzja wykonawcza Komisji (UE) 2016/1250 z 12 lipca 2016 r., jest nieważna.

KONSEKWENCJE DLA POLSKICH FIRM

Wydane orzeczenie TSUE będzie miało niewątpliwie olbrzymi wpływ na krajowych przedsiębiorców. Dotyczyć to będzie nie tylko firm, których kontrahentami czy klientami są partnerzy amerykańscy. Administratorzy danych mogą bowiem ponosić odpowiedzialność w przypadku współpracy z kontrahentami z Polski czy innego kraju Unii Europejskiej, gdy kontrahenci ci przekażą dane do Stanów Zjednoczonych. Wszystkie te podmioty powinny dokonać ponownej analizy ryzyka i oceny, czy (bezpośredni lub pośredni) transfer danych do USA jest zgodny z przepisami dotyczącymi ochrony danych osobowych.

Zgodność taką przedsiębiorcy mogą uzyskać na wiele sposobów, w tym poprzez tzw. wiążące reguły korporacyjne (art. 47 RODO), standardowe klauzule ochrony danych przyjęte lub zatwierdzone przez Komisję Europejską, stosowanie zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO czy wreszcie poprzez stosowanie zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO. W ostateczności, jeżeli nie uda się spełnić powyższych wymogów i nie zachodzą przesłanki określone w art. 49 RODO, przedsiębiorca zmuszony będzie do uzyskania specjalnego zezwolenia ze strony organu nadzorczego, co w praktyce może okazać się skomplikowane i kosztowne.

W praktyce, wobec wydania omówionego wyroku TSUE, każdorazowe przekazanie danych od Stanów Zjednoczonych będzie wymagało od przedsiębiorcy zweryfikowania istnienia przesłanek dopuszczających taki transfer. Ocena taka powinna być przeprowadzona z uwzględnieniem ogólnych wytycznych zawartych w art. 44 RODO, aby stosowanie przepisów rozporządzenia zapewniało wysoki stopień ochrony osób fizycznych, których dane będą przetwarzane transgranicznie.

 Artykuł ukazał się na rp.pl