Ryzykowne przekazywanie danych do USA
2020-09-18
„Transgraniczne przekazywanie danych osobowych poza Unią może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać prawa do ochrony danych osobowych” orzekł Europejski Trybunał Sprawiedliwości.
Dane osobowe bez wątpienia stanowią walutę przyszłości. Nikt też nie polemizuje z twierdzeniem, że są one paliwem napędzającym światową gospodarkę. Szybki rozwój nowych technologii, w tym również sektora Big Data doprowadził do swoistego przewrotu kopernikańskiego w świecie biznesu i nauki. Dzięki technologii, zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności.
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH DO CELÓW HANDLOWYCH
Dynamiczny wzrost przepływu danych osobowych do państw trzecich generuje nowe wyzwania i problemy w dziedzinie ich ochrony prawnej. Ma to tym większe znaczenie, jeśli uświadomimy sobie jak wiele podmiotów zaangażowanych jest w ten proces oraz stopień i skalę jego powszechności. Niezależnie od dynamiki zmian, niezmienny pozostaje wymóg, aby w każdym przypadku przekazywanie danych z Europejskiego Obszaru Gospodarczego do państw trzecich i organizacji międzynarodowych, odbywało się wyłącznie w pełnej zgodzie z RODO.
TRANSGRANICZNY TRANSFER DANYCH POD LUPĄ TRYBUNAŁU SPRAWIEDLIWOŚCI UNII EUROPEJSKIEJ. DIAGNOZA
Do Europejskiego Trybunału Sprawiedliwości wpłynęła sprawa Maximiliana Schremsa, który złożył do irlandzkiego organu nadzoru ochrony danych osobowych skargę na działania Facebooka polegające na przekazywaniu danych osobowych użytkowników tego portalu społecznościowego na serwery do Stanów Zjednoczonych (tutaj przetwarzane są dane użytkowników giganta z Doliny Krzemowej). Schrems argumentował, że poziom ochrony danych osobowych w USA jest niewystarczający. Na kanwie tej sprawy do debaty publicznej wróciło pytanie o możliwość efektywnego egzekwowania ochrony danych osobowych w relacjach transatlantyckich na linii Unia Europejska – Stany Zjednoczone.
Europejski Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. w sprawie C-311/18 (Data Protection Commissioner/Maximillian Schrems i Facebook Ireland – tzw. Schrems II) dokonał dwóch istotnych rozstrzygnięć. Po pierwsze, unieważnił tak zwaną Tarczę Prywatności (Privacy Shield), która dotychczas stanowiła mechanizm legalizujący znaczną część transferów danych osobowych do USA. Po drugie, Trybunał jednoznacznie stwierdził, że wymogi prawa krajowego Stanów Zjednoczonych skutkują ograniczeniami w zakresie ochrony danych osobowych. Wynika to przede wszystkim z braku efektywnych mechanizmów zaangażowania amerykańskiego systemu sądowo – administracyjnego w stosowanie polityki ochrony prywatności. Dodatkowo, niektóre programy umożliwiają amerykańskim władzom politycznym dostęp do danych osobowych przekazywanych z Unii Europejskiej do Stanów Zjednoczonych ze względu na ochronę interesu publicznego, np. bezpieczeństwo narodowe lub ściganie przestępstw.
W efekcie, zapewnienie takiego samego poziomu ochrony naszych danych osobowych przez podmioty działające poza obszarem obowiązywania dyrektywy RODO, również te zlokalizowane w Stanach Zjednoczonych, jest w praktyce niemożliwe do wyegzekwowania.
PRZESŁANKI TRANSGRANICZNEGO PRZEKAZYWANIA DANYCH
W omawianym wyżej wyroku Trybunał uznał, iż prawo amerykańskie nie zapewnia merytorycznie równoważnego stopnia ochrony danych osobowych, na poziomie dorównującym podmiotom w państwach członkowskich UE. Niemniej jednak, wyrok nie przesądza jednoznacznie o tym, że każde przekazanie danych osobowych poza strefę obowiązywania przepisów RODO jest niebezpieczne i bezwzględnie zabronione. Wprost przeciwnie to, czy dane osobowe będą przekazywane od administratorów zlokalizowanych na obszarze Unii Europejskiej do odbiorców mających siedzibę poza EOG będzie zależało od każdorazowej oceny spełnienia warunków ich dopuszczalności.
W każdym przypadku, punkt odniesienia stanowić będą zdefiniowane przez europejskie ustawodawstwo standardy w zakresie przepisów o ochronie danych osobowych. Państwo trzecie powinno zatem dawać gwarancje zapewniające odpowiedni stopień ochrony, zasadniczo odpowiadający stopniowi ochrony zapewnianemu w Unii. Szczególną rolę odgrywa to w przypadkach, gdy dane osobowe są przetwarzane w jednym specyficznym sektorze lub większej ich liczbie. Na państwie trzecim ciąży ponadto wymóg zapewnienia skutecznego oraz niezależnego nadzóru nad ochroną danych. Uwzględnić należy także mechanizmy współpracy z organami ochrony danych państw członkowskich. Wreszcie, osoby, których dane dotyczą, powinny uzyskać skuteczne i egzekwowalne prawa oraz skuteczne administracyjne i sądowe środki zaskarżenia.
ODPOWIEDZIALNOŚĆ SPOCZYWA NA ADMINISTRATORZE DANYCH
W ocenie Europejski Trybunał Sprawiedliwości główna odpowiedzialność za dokonanie oceny czy odbiorca danych będzie miał możliwość zapewnienia ich ochrony zgodnie ze standardami i wymaganiami RODO, spoczywa przede wszystkim na podmiotach przekazujących i odbierających dane. Podobnie sytuacja ta kształtuje się w przypadku, gdy administrator danych osobowych korzysta z usług podmiotu przetwarzającego dane.
Co zatem stanowić może podstawę prawną umożliwiającą przekazania danych osobowych do państwa trzeciego?
Podstawę prawną, gwarantującą odpowiedni stopień ochrony danych osobowych, stanowią w szczególności decyzje Komisji Europejskiej. Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony danych zgodny z RODO.
W komentowanym wyroku Trybunał stwierdził nieważność decyzji wykonawczej Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA. Pierwotnie, decyzja stwierdzała, że USA daje gwarancję odpowiedniego stopnia ochrony danych osobowych. Jej unieważnienie przez TSUE przekłada się na unijno – amerykańskie relacje gospodarki cyfrowej. Po wyroku TSUE z 16 lipca 2020 r. dalsze przetwarzanie danych osobowych obywateli UE na terenie USA nie korzysta już z domniemania legalności, a zatem nie jest zgodne z prawem europejskim.
Z dużym sceptycyzmem Trybunał odniósł się także do standardowych klauzul umownych oraz wiążących reguł korporacyjnych. Owszem, podmioty pozaunijne mogą dobrowolnie zobowiązać się do przestrzegania zasad UE z zakresu ochrony danych osobowych stosując w umowach standardowe klauzule ochrony danych. Alternatywą może być tworzenie wiążących reguł korporacyjnych. Służą one międzynarodowym podmiotom gospodarczym do wewnętrznej organizacji zasad transferu danych zgodnych z wymogami prawa Unii Europejskiej. Niemniej jednak, takie zapisy nie będą miały większego znaczenia, gdy na terenie danego państwa nie obowiązują skuteczne środki ochrony prawnej w tym zakresie.
PRZEDSIĘBIORCY ZAPŁACĄ NAWET DO 20 MILIONÓW EURO KARY ZA NIELEGALNE PRZEKAZANIE DANYCH OSOBOWYCH POZA OBSZAR EOG
Co w sytuacji gdy ani administrator ani podmiot do którego dane są przesyłane nie sprosta unijnym wymogom RODO? Jedną z dolegliwszych konsekwencji jakie przepisy unijne przewidują z powodu ich nieprzestrzegania stanowią sankcje finansowe w wysokości 20 milionów euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa. Dlatego jeśli poważnie myślimy o nadchodzącym w sposób nieunikniony zwiększeniu poziomu cyfryzacji naszej działalności gospodarczej warto już dziś skrupulatnie zaplanować ten złożony i wielowymiarowy proces wdrażania regulacji RODO.
NOTKA OD AUTORA:
Problemy przekazywania danych do USA może dotyczyć praktycznie każdego przedsiębiorstwa. Również wiele polskich podmiotów przekazuje dane osobowe do USA, często nawet nie mając dostatecznej świadomości, że to się dzieje. Usługodawcy zapewniający przechowywanie danych w chmurze, lub zapewniający dostęp do wirtualnych serwerów, obliczeń lub zdalnych aplikacji, mogą procesować dane na terytorium USA. To również stanowi proces transgranicznego przetwarzania danych osobowych, który nakłada na Administratora tych danych, szereg dodatkowych obowiązków i odpowiedzialności, przewidzianych przepisami RODO. Każdy powinien wiedzieć co się dzieje z danymi osobowymi, które przekazuje podmiotom trzecim, w tym do jakich krajów trafiają lub nawet potencjalnie mogą trafić te dane.
Współautorem tekstu jest aplikant radcowski Magdalena Łabuda
Artykuł ukazał się na rp.pl