Podcięte skrzydła British Airways
Emilian Kujawski Brak komentarzy

Od ponad 2 miesięcy, które upłynęły od wyroku TSUE, mechanizm Tarczy Prywatności (US-EU Privacy Shield) nie może być stosowany jako właściwy – w świetle RODO – środek zabezpieczenia danych osobowych przetwarzanych w USA, a dotyczących obywateli podlegających jurysdykcji RODO, czyli zamieszkujących na terenie EOG. Co zatem mogą i powinni zrobić administratorzy danych migrujący dane do USA?

Dlaczego Tarczy mówimy nie?

Wszystko za sprawą jednego człowieka. Maximillian Schrems to austriacki aktywista, który od lat walczy z koncernami m.in. Facebookiem w temacie ochrony prywatności użytkowników. Właśnie w ramach sprawy wytoczonej przeciwko firmie Marka Zuckerberga zadane zostało pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej. Chodziło o to, czy dając organom ścigania i innym agendom federalnym prawo dostępu do danych osobowych transferowanych za Ocean, Tarcza Prywatności może być uznawana za mechanizm chroniący prywatność adekwatnie do wymogów RODO. I okazało się, że nie. Tarcza ustanawia bowiem prymat bezpieczeństwa narodowego, interesu publicznego i ustawodawstwa Stanów Zjednoczonych nad ochroną danych użytkowników z Europejskiego Obszaru Gospodarczego. Tym samym amerykańskie służby mogą sięgać po dane Europejczyków nie oglądając się na kwestie prywatności, o ile tylko stwierdzą potencjalne zagrożenie interesu narodowego USA.

W efekcie TSUE stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

Oznacza to, że od 16 lipca 2020 r. (data ogłoszenia wyroku) przekazywanie danych do kontrahentów i podmiotów obsługujących posiadających centra przetwarzania danych na terytorium USA nie może się już odbywać na podstawie przynależności danego partnera biznesowego do programu Tarcza Prywatności.

Jeśli nie Tarcza, to co?

Dobra wiadomość jest taka, że na Tarczy świat się nie kończy. W tym samym wyroku Trybunał zaznaczył, że w mocy pozostaje decyzja Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich. I na dzisiaj to standardowe klauzule umowne powinny być podstawą bezpiecznego przetwarzania danych mieszkańców EOG w USA.

Każdy administrator danych, który wśród swoich czynności przetwarzania posiada też te obejmujące transfer danych do Stanów Zjednoczonych (wystarczy korzystanie z wtyczek Facebooka lub popularnych platform zarządzania masową wysyłką e-maili), musi ocenić na ile umowy wiążące go z amerykańskimi usługodawcami odpowiadają rzeczywistości prawnej po uchyleniu Tarczy. I samo zastosowanie standardowych klauzul to nie wszystko. Należy mieć na uwadze – to również zastrzegł TSUE – aby prawa osób były w krajach trzecich chronione w stopniu równoważnym do tego, które w EOG gwarantuje RODO w świetle postanowień Karty Praw Podstawowych UE.

Kolejna dobra wiadomość to fakt, że część amerykańskich firm przygotowała się na ewentualne negatywne rozstrzygnięcie sprawy przedłożonej TSUE.  I zawczasu do treści kontraktów wpisano równolegle odwołanie do Tarczy Prywatności, jak i do standardowych klauzul umownych. Z chwilą, gdy jedna z tych podstaw przestaje obowiązywać, ciężar przechodzi na drugą. Warto więc sprawdzić treść zawartych umów, bo być tu i ówdzie może jest już „po sprawie”. Oczywiście nie zwalnia to z przeprowadzenia tzw. testów adekwatności, czyli wykazania, że stopień ochrony danych (zarówno po stronie eksportera danych, jak i importera) odpowiada wymogom UE.

Co powie Prezes?

Oprócz analizy umów warto monitorować wypowiedzi i stanowiska publikowane w przedmiocie sprawy przez Prezesa Urzędu Ochrony Danych Osobowych. Ze względu za paneuropejskie znaczenie orzeczenia TSUE ważne będą też wszelkie publikacje Europejskiej Rady Danych Osobowych. Z tych dwóch źródeł powinniśmy czerpać dalsze wytyczne odnośnie praktycznych rozwiązań w temacie bezpiecznego transferu danych na linii Europa – USA.

Autor: Emilian Kujawski