Wakacyjna promocja na szkolenia otwarte   Więcej         Bezpłatne webinary   Więcej          

Dlaczego Tarcza Prywatności
straciła zaufanie Europy?

RODO w zamówieniach publicznych

Tarcza Prywatności UE-USA ma, a właściwie miała za zadanie wprowadzić unijne standardy ochrony danych osobowych w stosunkach ze Stanami Zjednoczonymi. USA, będąc siedzibą gigantów technologicznych przetwarzających dane osobowe milionów Europejczyków (jak Google czy Microsoft), odgrywają niebagatelną rolę w zapewnieniu faktycznej realizacji „idei” RODO. Na co bowiem zdadzą się wyśrubowane normy europejskiego rozporządzenia, jeśli po drugiej stronie Atlantyku nie będą one miały większego znaczenia?.

Rola Privacy Shield w ochronie danych osobowych

Tarcza tworzyła ramy prawne dla wymiany danych osobowych (w celach handlowych) pomiędzy Unią Europejską a Stanami Zjednoczonymi. Wskazane w tekście Tarczy zasady przetwarzania danych obejmowały m.in. określone obowiązki informacyjne względem osób fizycznych, prawo wyboru czy dane zostaną ujawnione stronie trzeciej bądź wykorzystane w innym niż pierwotny celu, zapewnienie, że w razie przekazania danych stronie trzeciej musi ona zapewnić ten sam poziom ochrony danych, jaki wynika z Tarczy, zapewnienie odpowiednich środków bezpieczeństwa przy przetwarzaniu danych, ograniczenie danych do minimum niezbędnego do realizacji celu, zapewnienie osobie fizycznej dostępu do jej danych, a także ogólne pryncypia dotyczące postępowania ze skargami osób, których dane dotyczą.

Niemniej jednak, Europejski Inspektor Ochrony Danych w swojej opinii z maja 2016 r. wskazywał, że potrzebne jest lepsze rozwiązanie. Warto zaznaczyć, że przestrzeganie przez amerykańskie firmy wyartykułowanych w Tarczy zasad mogło być ograniczone, np. w zakresie niezbędnym do spełnienia wymogów „bezpieczeństwa narodowego, interesu publicznego lub egzekwowania prawa”. Krótko mówiąc, porządek prawny USA ostatecznie brał górę w kwestiach spornych. Jednak co najważniejsze, organizacje, przystępując do Tarczy, deklarowały swoje zobowiązanie do przestrzegania wskazanych w niej zasad, dokonując „samocertyfikacji”, co mogło budzić poważne wątpliwości co do faktycznego ich przestrzegania. Na chwilę obecną do Tarczy należy 5384 aktywnych podmiotów.

Usługa DPIA

Rola Privacy Shield w ochronie danych osobowych

Komisja Europejska w lipcu 2016 r. wydała decyzję stwierdzającą istnienie odpowiedniego poziomu ochrony danych osobowych w USA, ograniczoną właśnie do Privacy Shield. Tarcza „żyła” jednak zaledwie cztery lata, gdyż 16 lipca bieżącego roku Trybunał Sprawiedliwości Unii Europejskiej orzekł (w sprawie C-311/18, Shrems II), że wspomniana decyzja KE jest nieważna, tym samym unieważniając przekazywanie danych osobowych do USA na podstawie Privacy Shield. Jednocześnie Trybunał podkreślił, że przekazywanie danych do USA nadal może odbywać się na podstawie zatwierdzonych przez Komisję Europejską tzw. standardowych klauzul umownych (wersja administrator w UE -> podmiot przetwarzający w państwie trzecim).

Co zatem przyświecało TSUE wydającemu przywołany wyrok?

  1. RODO ma zastosowanie również do sytuacji, kiedy dane przekazane do państwa trzeciego mają być przetwarzane również przez władze tego państwa.
  2. Osobom, których dane dotyczą, których dane osobowe są przekazywane do państwa trzeciego zgodnie ze standardowymi klauzulami ochrony danych, należy zapewnić poziom ochrony zasadniczo równoważny z poziomem ochrony gwarantowanym w UE przez RODO, interpretowanym w świetle Karty Praw Podstawowych.
  3. W tych okolicznościach Trybunał wyjaśnił, że ocena tego poziomu ochrony musi uwzględniać zarówno klauzule umowne uzgodnione między przekazującym dane mającym siedzibę w UE a ich odbiorcą mającym siedzibę w danym państwie trzecim, jak również, w odniesieniu do każdego dostępu przez władze publiczne tego państwa trzeciego do przekazanych danych, odpowiednie aspekty systemu prawnego tego państwa trzeciego.
  4. O ile nie istnieje ważna decyzja KE stwierdzająca odpowiedni stopień ochrony, właściwe organy nadzorcze państw UE mają obowiązek zawiesić lub zakazać przekazywanie danych osobowych do państwa trzeciego, jeżeli uznają, w świetle wszystkich okoliczności tego przekazania, że standardowe klauzule umowne (o których mowa w art. 46 ust. 2 lit. c RODO) nie są lub nie mogą być przestrzegane w tym kraju, oraz że ochrona przekazywanych danych, która jest wymagana przez prawo UE, nie może być zapewniona innymi środkami.
  5. Decyzja KE 2010/87 dot. standardowych klauzul umownych nakłada na podmiot przekazujący dane i odbiorcę przekazanych danych obowiązek sprawdzenia, przed jakimkolwiek przekazaniem, czy poziom ochrony wynikający z klauzul jest przestrzegany w danym państwie trzecim. Decyzja ta nakłada też na odbiorcę przekazanych danych obowiązek poinformowania przekazującego dane o każdym przypadku niemożności spełnienia wymagań standardowych klauzul umownych, przy czym przekazujący dane jest z kolei zobowiązany do wstrzymania przekazywania danych i / lub rozwiązania umowy z ich odbiorcą w takim przypadku.
  6. Ograniczenia ochrony danych osobowych wynikające z prawa krajowego Stanów Zjednoczonych w zakresie dostępu i wykorzystywania przez władze Stanów Zjednoczonych takich danych przekazywanych z UE (które KE oceniła w unieważnionej decyzji 2016/1250, dotyczącej „zatwierdzenia” Privacy Shield), nie spełniają unijnych wymogów zgodnie z zasadą proporcjonalności.

Co zatem zrobić, jeśli do tej pory przekazywaliśmy dane do USA w oparciu o Privacy Shield?

Nie pozostaje nic innego, jak zapewnić inne niż decyzja KE stwierdzająca odpowiedni poziom ochrony, wskazane w RODO, zabezpieczenie transferu. Wyrok Shrems II nie eliminuje z obiegu standardowych klauzul umownych. Czy zatem jeśli mamy podpisaną z naszym podwykonawcą z USA odpowiednią umowę zawierającą te klauzule, to nie musimy się już o nic martwić? Niekoniecznie. TSUE stwierdził bowiem, że same klauzule nie wystarczą. Przekazujący dane, jeszcze przed zawarciem z odbiorcą danych z państwa trzeciego umowy zawierającej takie klauzule, powinien sprawdzić czy poziom ochrony wynikający z tych klauzul jest faktycznie w tym państwie zapewniony.

Przejęcie IOD

Pewnym światełkiem w tunelu jest stwierdzenie TSUE, że odbiorca danych w państwie trzecim jest zobowiązany nas poinformować, jeżeli z jakiegoś powodu nie mogą być spełnione wymagania wynikające z klauzul. Czy zatem można, jeśli mamy zawarte umowy zawierające standardowe klauzule, spać spokojnie i jedynie czekać na sygnał od naszego kontrahenta, że coś „nie gra”, i dopiero wtedy zastanowić się nad podjęciem właściwych kroków? w świetle orzeczenia taka interpretacja nie jest uprawniona. Podmiotom działającym na terenie UE nie pozostaje zatem nic innego, jak sprawdzić, czy każde państwo, do którego przekazywane są dane na podstawie standardowych klauzul, oferuje właściwy poziom ochrony.

Jak podkreśla jeden z niemieckich organów nadzorczych, tylko w przypadkach, gdy gwarancje zawarte w standardowych klauzulach umownych nie mogą być spełnione, nie mogą one stanowić podstawy do przekazywania danych. Na przykład przepisy dotyczące bezpieczeństwa w USA, takie jak Foreign Intelligence Surveillance Act (FISA) 702, który zezwala amerykańskim agencjom bezpieczeństwa na dostęp do danych osobowych bez decyzji sędziego, mają zastosowanie przede wszystkim do firm telekomunikacyjnych. Standardowe klauzule umowne zasadniczo nie mogą zatem być stosowane do przekazywania danych do takich firm. Gdy korzystamy z usług w chmurze dostarczanych przez podmioty telekomunikacyjne z USA, istnieje możliwość, że amerykańskie organy bezpieczeństwa będą miały w ten sposób dostęp do danych.

Jak sprawdzić, czy wyrok w sprawie Shrems II nas dotyczy?

Wskazany niemiecki organ nadzorczy proponuje następujący plan działania:

  1. Sprawdzić, czy przekazujemy dane osobowe do kraju spoza UE lub EOG.
  2. Jeśli przekazujemy dane, sprawdzamy czy robimy to na podstawie standardowych klauzul umownych.
  3. Jeśli tak, sprawdzamy czy odbiorca danych w państwie trzecim lub jego podwykonawca w ramach moich stosunków handlowych podlegają przepisom tego państwa, które są sprzeczne z RODO lub art. 7 lub 8 Karty praw podstawowych UE, tak że gwarancje zawarte w standardowych klauzulach umownych nie mogłyby być spełnione.
  4. Jeśli tak, sprawdzamy czy przekazanie danych może opierać się na innym zabezpieczeniu przekazania w rozumieniu rozdziału V RODO lub na wyjątku z art. 49 RODO.
  5. Jeśli tak, wszystko jest w porządku. w razie potrzeby dostosowujemy przekazywane osobom, których dane przekazujemy do państwa trzeciego, informacje, zgodnie z art. 13 RODO. Stosując art. 49 ust. 1 lit. a RODO (zgoda) musimy pamiętać, że zgoda powinna być dobrowolna i świadoma. Jeśli nie mamy możliwości zastosowania wyjątków wskazanych w art. 49 RODO, powinniśmy poszukać kontrahentów w krajach, w których dane są lepiej chronione.

O możliwych zabezpieczeniach transferu do państwa trzeciego piszemy tu: "Jak wybrać właściwą podstawę prawną przekazywania danych poza EOG".

Europejska Rada Ochrony Danych tuż po wydaniu wyroku wydała oświadczenie, w którym zasygnalizowała, że zamierza dokładnie zanalizować orzeczenie i pochylić się nad problemem z brakiem Tarczy.

Dodatkowo, 23 lipca Rada udzieliła odpowiedzi na najbardziej palące pytania, które się pojawiły jako pokłosie werdyktu TSUE. We wskazanym dokumencie EROD stwierdził m.in. że „próg akceptowalności” poziomu ochrony danych ustalony przez Trybunał ma również zastosowanie do wszystkich innych odpowiednich zabezpieczeń na mocy art. 46 RODO, wykorzystywanych do przekazywania danych z EOG, zarówno do USA, jak i do innych państw trzecich. Prawo Stanów Zjednoczonych, na które powołuje się Trybunał (tj. Sekcja 702 FISA i EO 12333), ma zastosowanie do każdego transferu do USA drogą elektroniczną, który jest objęty zakresem tych przepisów, niezależnie od narzędzia służącego do przekazywania danych (sposobu zabezpieczenia przekazywania danych z art. 46).

W opublikowanych odpowiedziach EROD potwierdził, że to, czy możliwe będzie dalsze przekazywanie danych na podstawie standardowych klauzul umownych, będzie zależeć od wyniku oceny przekazującego co do stopnia ochrony danych w danym państwie trzecim, biorąc pod uwagę okoliczności przekazywania i dodatkowe środki, które można zastosować. Analogiczne wymagania mają zastosowanie w przypadku przekazywania na podstawie wiążących reguł korporacyjnych. EROD oceni konsekwencje orzeczenia w sprawie narzędzi transferu innych niż SKU i WRK.

W odpowiedzi na pytanie jakie dodatkowe środki można wprowadzić, jeżeli wykorzystuje się SKU lub WRK do przekazywania danych do państw trzecich EROD wyjaśnił, że środki dodatkowe powinny być dopasowywane indywidualnie dla każdego przypadku, biorąc pod uwagę wszystkie okoliczności przekazania. W przypadku zaś, gdy to nasz procesor przekazuje dane do USA, i nie można zapewnić żadnych dodatkowych środków w celu zapewnienia, że prawo Stanów Zjednoczonych nie narusza poziomu ochrony zapewnianego w EOG, ani nie mają zastosowania odstępstwa na mocy art. 49 RODO, jedynym rozwiązaniem jest wynegocjowanie zmiany lub klauzuli dodatkowej do umowy z procesorem, zakazującej przekazywania danych do USA.

Podobnie, w przypadku procesora z innego niż USA państwa trzeciego EROD stwierdza, że należy również zweryfikować ustawodawstwo tego państwa trzeciego, aby sprawdzić, czy jest ono zgodne z wymogami Trybunału oraz z oczekiwanym poziomem ochrony danych osobowych. Jeśli nie można znaleźć odpowiedniej podstawy do przekazania danych do państwa trzeciego, dane osobowe nie powinny być przekazywane poza terytorium EOG, a wszystkie czynności przetwarzania powinny mieć miejsce w EOG.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


R.pr. Katarzyna Szczypińska
23 lipca 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się