06 SIE 2020

Przekazywanie danych osobowych do USA. Jakie są skutki unieważnienia Tarczy Prywatności?

Masz firmę? Korzystasz z usług internetowych oferowanych przez amerykańskich gigantów takich jak Google, Facebook, Microsoft? Sprawdź czy po wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie Tarczy Prywatności możesz nadal korzystać z tych usług.

Dziś słów kilka o praktycznych aspektach wyroku Trybunału Sprawiedliwości Unii Europejskiej (dalej jako: „TSUE”) z dnia 16 lipca 2020 r., który ze skutkiem natychmiastowym unieważnił Tarczę Prywatności.

Tarcza Prywatności to program przyjęty przez rząd Stanów Zjednoczonych oraz komisję Unii Europejskiej umożliwiający administratorom legalne przekazywanie danych osobowych europejskich obywateli do amerykańskich podmiotów, dotyczy to w szczególności amerykańskich firm świadczących usług informatycznych takich jak: Google, Facebook, Microsoft, etc.

Dlaczego TSUE unieważnił Tarczę Prywatności? Najoględniej mówiąc sędziowie TSUE uznali, że służby amerykańskie mają zbyt dużą i niekontrolowaną swobodę w dostępie do danych osobowych Europejczyków przechowywanych na amerykańskiej ziemi, co stoi w sprzeczności
z unijnymi standardami ochrony danych osobowych.

Co to oznacza w praktyce? Załóżmy, że polska firma korzysta z usług któregoś z amerykańskich gigantów branży internetowej i np. przechowuje dane osobowe swoich pracowników lub kandydatów do pracy w chmurze publicznej dostarczonej przez takiego potentata technologicznego. Amerykańska firma przechowuje powierzone jej dane na serwerach znajdujących się na terenie USA i dodatkowo przystąpiła do Tarczy Prywatności. Z chwilą ogłoszenia wyroku TSUE przechowywanie danych osobowych na tych serwerach odbywa się bez podstawy prawnej. W świetle RODO wspomniana polska firma dopuściła się bezprawnego transferu danych osobowych do państwa trzeciego, co zagrożone jest różnymi sankcjami: począwszy od nakazania zaprzestania transferu danych do USA, aż po wysokie kary pieniężne na podstawie art. 83 ust. 5 lit. c RODO – wedle uznania Prezesa Urzędu Ochrony Danych Osobowych.

Co zrobić, aby zabezpieczyć się przed tym konsekwencjami? W pierwszej kolejności należy przeanalizować regulaminy świadczenia usług, a także polityki prywatności stosowane przez usługodawcę. Jeżeli z ich treści wynika, że dane osobowe przechowywane są poza Europejskim Obszarem Gospodarczym (dalej jako: „EOG”) na terenie USA a podstawą tego jest Tarcza Prywatności, to należy sprawdzić czy w ramach tej usługi istnieje możliwość przeniesienia danych na serwery znajdujące się na terytorium Unii Europejskiej, niektórzy usługodawcy oferują taką opcję. W przypadku, gdy usługodawca z USA nie oferuje możliwości przeniesienia ich przetwarzania na teren EOG, to administratorzy powinni poważnie zastanowić się nad rezygnacją z tych usług.

Tarcza Prywatności ze względu na swoją prostotę stanowiła do tej pory główną podstawę legalizującą przekazywanie danych do USA. Wprawdzie RODO przewiduje jeszcze inne mechanizmy umożliwiające legalny transfer danych, jak np. standardowe klauzule umowne czy też przypadki, o których mowa w art. 49 RODO, m.in.:

  • osoba, której dane dotyczą, poinformowana o ryzyku, z którym może wiązać się przekazanie danych, udzieliła wyraźnej zgody na takie przekazanie,
  • przekazanie danych jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą, lub podejmowane jest na żądanie tej osoby w związku z planowanym zawarciem umowy,
  • przekazanie danych jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń

–  jednakże rozwiązania te były do tej pory stosowane rzadko z uwagi na swój incydentalny
i wyjątkowy charakter.

Firmy amerykańskie chcąc utrzymać klientów z terytorium Unii Europejskiej będą musiały wprowadzić zmiany w modelu świadczenia swoich usług. Być może wykorzystają do tego mechanizm standardowych klauzul umownych lub inne rozwiązania, niemniej jednak zanim to nastąpi przekazywanie w chwili obecnej danych osobowych na terytorium USA jest mocno utrudnione oraz obarczone sporym ryzykiem uznania za nielegalne.

 

Polub nas na Facebooku, aby na bieżąco śledzić przydatne materiały, które publikujemy.

Umów się na spotkanie
przez internet