RODO: orzeczenia Schrems II przeciwko Facebook

16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd oraz Maximillian Schrems (tzw. sprawa Schrems II) . Powyższy wyrok TSUE został wydany na podstawie wniosku złożonego w ramach sporu jaki zaistniał pomiędzy irlandzkim komisarzem ds. ochrony danych a Facebook Ireland Ltd i Maximillianem Schremsem w przedmiocie wniesionej przez Maximilliana Schremsa skargi dotyczącej przekazywania danych osobowych przez Facebook Ireland Ltd do spółki Facebook Inc. w USA.

RODO

Co stwierdził TSUE?

W sprawie Schrems II TSUE:

a) stwierdził nieważność Tarczy Prywatności (Privacy Shield) umożliwiającej transfer danych osobowych z UE do USA (tj. decyzji Komisji Europejskiej z 12 lipca 2016 roku w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA (Privacy Shield) oraz

b) stwierdził, że badanie decyzji w sprawie standardowych klauzul umownych administrator – processor (tj. decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady, zmienionej decyzją wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r., w świetle art. 7, 8 i 47 Karty Praw Podstawowych UE nie doprowadziło do żadnych ustaleń, które mogłyby mieć wpływ na ważność decyzji Komisji Europejskiej w sprawie tych klauzul (a więc potwierdził obowiązywanie tych klauzul).

Tarcza Prywatności

Wiemy na pewno, że Tarcza Prywatności nie jest już podstawą do przekazywania danych osobowych do USA. W związku z czym organizacje powinny – o ile jeszcze tego nie zrobiły – zweryfikować czy przekazują dane osobowe do USA i na jakiej podstawie. Jeśli dane osobowe były przekazywane na podstawie Tarczy Prywatności, to organizacja ma dwa wyjścia: znaleźć nową podstawę transferu danych albo zaprzestać transferu danych do USA.

Standardowe klauzule umowne

Wiemy także, że TSUE nie stwierdził nieważności standardowych klauzul umownych, a więc potencjalnie klauzule te mogłyby stanowić podstawę transferu danych do USA. Ale…

TSUE wskazał, że „(…) choć klauzule te są wiążące dla administratora danych mającego siedzibę w Unii i odbierającego przekazywane dane podmiotu mającego siedzibę w państwie trzecim, w przypadku gdy zawarli oni umowę zawierającą odesłanie do tych klauzul, bezsporne jest, że wspomniane klauzule nie mogą wiązać organów tego państwa trzeciego, ponieważ nie są one stronami zawartej umowy (zaznacz. aut.)” (punkt 125 wyroku).

TSUE wskazał także, że „W tym względzie, jak zauważył Rzecznik generalny w pkt 126 opinii, przewidziany w art. 46 ust. 2 lit. c) RODO mechanizm kontraktowy opiera się na nałożeniu odpowiedzialności na mających siedzibę w Unii administratora danych lub podmiot przetwarzający, a także, pomocniczo, na właściwy organ nadzorczy. W związku z tym to do tego administratora danych lub podmiotu przetwarzającego należy sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach (pogrub. aut.)” (punkt 134 wyroku)

TSUE wskazał również, że „W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania takiej ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego. Jest tak w szczególności w przypadku, gdy prawo tego państwa trzeciego nakłada na podmiot odbierający te pochodzące z Unii dane osobowe zobowiązania, które pozostają w sprzeczności z tymi klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie odpowiedniego stopnia ochrony przed dostępem do tych danych ze strony organów władz publicznych tego państwa trzeciego (podkreśl. aut.)” (por. punkt 135 wyroku).

Mając na uwadze przyczyny unieważnienia programu Tarcza Prywatności i wskazanie przez TSUE, że art. 702 FISA i rozporządzenie wykonawcze nr 12333 (dotyczące ingerencji w prywatność wynikających z amerykańskich programów nadzoru opierających się na tych regulacjach) nie odpowiadają wymogom minimalnym związanym w prawie Unii z zasadą proporcjonalności, może pojawić się pytanie o praktyczną możliwość korzystania ze standardowych klauzul umownych dla potrzeb transferu danych do USA.

Odpowiedzi EROD

W związku z wyrokiem TSUE w sprawie Schrems II pojawiły się liczne pytania i część z nich została zaadresowana przez Europejską Radę Ochrony Danych Osobowych, która przygotowała „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems” z 23 lipca 2020 r.

Opracowanie to zawiera najczęściej zadawane pytania dotyczące transferu danych poza EOG po wyroku Schrems II i obejmuje między innymi kwestie dotyczące korzystania ze standardowych klauzul umownych, wiążących reguł korporacyjnych, czy korzystania z wyjątków, o których mowa w art. 49 RODO.

W kontekście korzystania ze standardowych klauzul umownych przy przekazywaniu danych do USA EROD wskazuje (pytanie 5), że o tym czy taki transfer będzie możliwy decydować będzie wynik oceny uwzględniającej okoliczności transferu i dodatkowe środki ochrony, które mogą być zastosowane. Każdy transfer danych osobowych powinien być analizowany indywidualnie, a te dodatkowe środki wraz ze standardowymi klauzulami umownymi musiałyby zapewnić, że prawo amerykańskie nie narusza odpowiedniego poziomu ochrony, którą one zapewniają. Jeśli wnioski będą takie, że – biorąc pod uwagę okoliczności transferu i ewentualne dodatkowe środki ochrony – odpowiednie zabezpieczenia transferu danych nie byłyby zapewnione – organizacja ma obowiązek zawiesić bądź zaprzestać przekazywanie danych osobowych do USA. Jeżeli jednak – mimo negatywnego wyniku oceny – transfer ma być kontynuowany – organizacja powinna o tym powiadomić właściwy organ nadzorczy.

W odpowiedzi na pytanie o dodatkowe środki ochrony, które powinny być wdrożone (pytanie 10) EROD wskazuje niestety dość ogólnie, że powinny to być środki stosowane indywidualnie dla każdego przypadku i, że ich określenie – w świetle wyroku TSUE – jest głównym obowiązkiem eksportera i importera danych.

Jednocześnie EROD wyjaśnia, że analizuje wyrok TSUE, aby określić rodzaje dodatkowych środków (prawnych, organizacyjnych, technicznych), które mogłyby zostać wdrożone jako dodatkowe zabezpieczenia m.in. do standardowych klauzul umownych w celu przekazywania danych osobowych do państw trzecich, w przypadku, w którym zastosowanie takich klauzul nie zapewnia wystarczającego poziomu gwarancji i że przedstawi dodatkowe wskazówki w tym zakresie.

Podsumowanie

Niewątpliwie wyrok w sprawie Schrems II wpłynie na wymianę danych osobowych – i to nie tylko w kontekście takich transferów do USA (choć te są dość powszechne choćby z uwagi na korzystanie z poczty elektronicznej, serwisów społecznościowych, usług w chmurze), ale także do innych państw spoza EOG.

Jedno jest pewne: organizacje – o ile jeszcze tego nie zrobiły – powinny zweryfikować czy przekazują dane osobowe poza EOG i na jakiej podstawie (w przypadku korzystania z Tarczy Prywatności dla potrzeb transferu danych do USA konieczne jest zapewnienie innej podstawy transferu bądź rezygnacja z niego), a także powinny zweryfikować regulacje prawne w państwie odbiorcy danych.

Z zastrzeżeniem wytycznych organów nadzorczych, organizacje powinny także określić i wdrożyć model oceny ryzyka związanego z przekazywaniem danych osobowych w celu określenia, do których krajów przekazują dane osobowe i oceny czy organy publiczne w tym kraju mogłyby być uprawnione do dostępu do danych oraz ustalenia zasad i podstaw takiego dostępu. Dodatkowo należy zweryfikować środki, które mają zapewnić bezpieczeństwo danych osobowych podczas samego tranzytu.

źródło: Deloitte

Orzeczenie w sprawie Schrems II – 5 minutowa analiza Deloitte Legal

Dodaj komentarz

%d bloggers like this: