Po wyroku TSUE w sprawie Schrems II pod znakiem zapytania stanęło ich przesyłanie do USA. Administratorzy powinni więc niezwłocznie zadbać o zgodność z unijnym rozporządzeniem RODO.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 r. (sygn. C-311/18, sprawa Facebook Ireland Limited, tzw. Schrems II) to bez wątpienia jedno z najważniejszych orzeczeń w ostatnim czasie. Trybunał stwierdził nieważność głównej podstawy prawnej do przesyłania danych osobowych z UE do USA, czyli porozumienia Privacy Shield (Tarcza Prywatności).
Wyrok może mieć odniesienie do bardzo dużej grupy firm. Może być istotny w tych przypadkach, gdy administrator przekazuje dane osobowe obywateli UE poza granice Europejskiego Obszaru Gospodarczego (EOG), a nie tylko do USA. A więc nawet dla małych podmiotów, korzystających np. ze skrzynki pocztowej w domenie gmail.com, wtyczek Facebooka i Instagrama na swojej witrynie internetowej czy wtyczki Google Analytics, służącej do śledzenia zachowań konsumentów w sieci.
Formalnie rzecz biorąc, wyrok TSUE unieważnił decyzję w sprawie Tarczy Prywatności, która służyła jako podstawa do przesyłania danych z UE do Stanów Zjednoczonych. Mówiąc w skrócie: Trybunał przypomniał, że składowanie danych osobowych poza granicami EOG musi spełniać wymogi rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO). Służby obcego kraju nie mogą zaś mieć do nich dostępu. Tymczasem tarcza tego nie zapewnia. – A to dlatego, że ustanawia pierwszeństwo bezpieczeństwa narodowego, interesu publicznego i ustawodawstwa USA nad ochroną danych unijnych użytkowników – wskazuje dr Małgorzata Świeca, radca prawny, certyfikowany ekspert ds. zgodności i prezes zarządu Clinic of Compliance sp. z o.o. W praktyce oznacza to, że jeśli amerykańskie służby uznają, że interes ich kraju jest zagrożony, mogą naruszyć prywatność osób, których dane są przekazywane do USA. To jest zaś niewątpliwie sprzeczne z RODO.
Czy zatem wyrok TSUE wprowadza całkowity zakaz transferu danych do USA? – Czytając przepisy i wyrok literalnie, można dojść do takiego wniosku. Oznaczałoby to bardzo poważne problemy dla niezliczonej liczby przedsiębiorców. Z tego względu zarówno europejski, jak i rodzimy Urząd Ochrony Danych Osobowych dały na razie wyraźny sygnał, że tej sprawie należy się przyjrzeć i wypracować wspólne stanowisko dla administratorów – wskazuje Andrzej Boboli, IP&TMT practice leader w Olesiński & Wspólnicy. Mimo wszystko prawnik zaleca, aby w miarę możliwości przenosić się do usługodawców posiadających serwery na terenie EOG oraz niezwłocznie podjąć działania zabezpieczające przetwarzane dane osobowe.
Działania zabezpieczające
W pierwszej kolejności administrator powinien zweryfikować, czy właściwie i na jakiej podstawie przesyła informacje poza obszar EOG. Jeśli miejscem docelowym przesyłania danych jest np. USA, to należy przyjrzeć się podstawie prawnej takiego transferu. Jeśli jest nią Tarcza Prywatności, to należy poszukać innej podstawy prawnej.
W art. 49 RODO znajduje się wyjątek przewidziany na szczególne sytuacje. W przypadku gdy państwo, do którego przesyłane są dane, nie zapewnia odpowiedniego stopnia ich ochrony, to można przekazywać je tylko w określonych sytuacjach, m.in. wtedy, gdy:
- osoba, której dane dotyczą, poinformowana o ryzyku, z którym może wiązać się przekazanie danych, udzieliła wyraźnej zgody;
- przekazanie danych jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą, lub podejmowane jest na żądanie tej osoby w związku z planowanym zawarciem umowy;
- przekazanie danych jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
Radca prawny Tomasz Osiej z portalu gdpr.pl przestrzega jednak, że skorzystanie z tej drogi może być kłopotliwe wizerunkowo dla przedsiębiorców. Wszak w celu uzyskania zgody na transfer danych należy wyraźnie poinformować użytkownika na temat ryzyka związanego z możliwością inwigilacji przez amerykańskie służby. ‒ Ponadto wyjątkowy charakter tego rozwiązania sugeruje, że transfer powinien mieć charakter jedynie okazjonalny, a nie stały – wskazuje mec. Osiej.
Klauzule zostają
TSUE uchylił co prawda Tarczę Prywatności, jednak podtrzymał ważność standardowych klauzul umownych, które również mogą stanowić podstawę przekazywania danych. Doktor Małgorzata Świeca wyjaśnia, że w praktyce mogą być to klauzule stanowiące część regulaminów, których akceptacja przez klienta jest warunkiem korzystania z usług. Co jednak ważne, TSUE orzekł, że administrator musi każdorazowo badać, czy rzeczywiście zapewniają one ochronę. Sęk w tym, że skoro amerykańskie służby mogą mieć dostęp do danych, to nawet klauzule umowne nie zapewniają bezpiecznego transferu. Są bowiem wiążące jedynie dla stron umowy, a nie dla organów władz publicznych w USA. Doktor Świeca przyznaje, że to powoduje niepewność wśród przedsiębiorców. Taki stan może się utrzymywać aż do wydania wytycznych przez Europejską Radę Ochrony Danych, a nawet dłużej – do podpisania nowego porozumienia zastępującego Tarczę Prywatności (EROD już zadeklarowała pomoc przy jego tworzeniu). Albo też do przyjęcia gruntownej reformy prawa ochrony danych w USA (niektóre stany już przyjmują własne regulacje na wzór RODO).
W stanowisku z 23 lipca EROD zastrzega, że skorzystanie z klauzul umownych jest możliwe wyłącznie wtedy, gdy administrator ma pewność, że eksportowane dane będą bezpieczne, biorąc pod uwagę rodzaj przesyłanych informacji, kraj docelowy oraz podjęte dodatkowe środki zabezpieczające. Mecenas Boboli uważa, że takim środkiem może być np. mechanizm szyfrowania „end-to-end”. Pozwala ono odszyfrować treści wyłącznie przez nadawcę i odbiorcę, a nie przez pośrednika (np. operatora sieci czy dostawcę usług chmurowych). – Nie jest to, co prawda, idealne rozwiązane, ale dopóki nie ma dokładnych wytycznych, dopóty daje ono możliwość wykazania, że administrator poczynił ponadstandardowe działania zmierzające do zapewnienia bezpieczeństwa – wskazuje.
Część prawników uważa, że choć formalnie nie ma okresu przejściowego po wyroku TSUE, to nie spodziewa się, aby organy nadzorcze miały natychmiast zacząć nakładać sankcje za nieuprawniony transfer do USA.
Reakcja gigantów
Prawnicy uważają, że uchylenie Tarczy Prywatności i wątpliwości wobec klauzul umownych mogą doprowadzić do trendu przenoszenia serwerów amerykańskich firm technologicznych do UE. Ponadto mec. Osiej sądzi, że przedsiębiorcy korzystający z Gmaila, Facebooka czy usług innych dużych firm z USA mogą zapewne liczyć na to, że prawnicy tych firm zaproponują lada chwila jakieś rozwiązania. Niektórzy eksperci mimo to rekomendują rezygnację ze skrzynek e-mailowych u amerykańskich dostawców usług i zastąpienie ich skrzynkami na serwerach zlokalizowanych w EOG. Z innej strony ‒ docierają już do nas informacje, jakoby np. Facebook wcale nie kwapił się do stworzenia rozstrzygnięć korzystnych dla administratorów. Agencje reklamowe już dostają pisma wyraźnie wskazujące, że to one są odpowiedzialne za odpowiednie zabezpieczenie danych.