Tarcza prywatności nieważna

Data 6 października 2020, 16:34

Autor:
Barbara Sośnicka
Kontakt@kancelariasosnicka.pl

Tarcza prywatności nieważna?
Czy możesz bezpiecznie korzystać z gmaila czy facebooka?

Jeżeli w swojej firmie korzystasz z pakietu G Suite (pamiętaj darmowy gmail dla celów służbowych jest niezgodny z RODO, poza tym to trochę siara ;) ), sprzedajesz przez Facebooka, korzystasz z newslettera na Mailchimpie, planujesz w Trello - ten post jest dla Ciebie.

W wyroku z 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej w sprawie w sprawie Schrems vs. Facebook (C-311/18) orzekł, że Facebook nie może przekazywać danych osobowych europejskich użytkowników do USA na podstawie Privacy Shield, czyli właśnie Tarczy Prywatności.

Wspominałam o tym już kilka razy na stories na Instagramie oraz w postach na IG i FB.

Co to jest Tarcza Prywatności (a właściwie była)?

UE i Stany Zjednoczone (USA) łączyły i łączą oczywiście powiązania handlowe i gospodarcze. Wiele transakcji na polu UE-USA obejmuje przetwarzanie danych osobowych.
Celem stworzenia i podpisania Privacy Shield było umożliwienie firmom uzyskanie potwierdzenia spełnienia wymogów UE dotyczących ochrony danych osobowych.
Tarcza Prywatności zezwalała na przekazywanie danych osobowych z UE firmom z USA pod warunkiem, że będą one przetwarzały dane z zachowaniem określonych przepisów i gwarancji ochrony danych.

Co ciekawe 12 listopada 2019 r. ukazał się raport z trzeciego rocznego przeglądu Tarczy dokonany przez EROD (Europejską Radę Ochrony Danych). W swoim sprawozdaniu EROD wskazała, że działania amerykańskich organów związane z wdrożeniem i stosowaniem Tarczy Prywatności są co do zasady pozytywne, w szczególności w odniesieniu do nadzoru z urzędu i działań w zakresie egzekwowania prawa dotyczących aspektów komercyjnych. Oczywiście w raporcie wskazano także elementy do poprawy, ale ogólnie stosowanie Privacy Shield nie została oceniona negatywnie.

Schrems kontra Facebook

Orzeczenie TSUE, które nam pokrzyżowało plany jest kolejnym posunięciem Pana Maximiliana Schremsa (austriackiego prawnika), który spiera się już od pewnego czasu z Facebookiem i Komisją Europejską (KE).

Wcześniej TSUE unieważnił np. decyzję KE pozwalającą na przesyłanie danych osobowych do USA jako kraju, który zapewnia odpowiedni stopień ich ochrony - dotyczyło to tzw. Safe Harbour (porozumienie funkcjonujące przed Tarczą Prywatności).

Co wydarzyło się 16 lipca 2020 r.?

16 lipca 2020 r. TSUE unieważnił decyzję wykonawczą KE 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Swobodny (w miarę) przepływ danych pomiędzy UE a USA został zakończony. Przekazywanie danych do USA na podstawie Privacy Shield TSUE uznał za niedopuszczalne. Jeżeli będziemy to robić - okaże się, że działamy niezgodnie z prawem.

Firmy dotychczas powoływały się właśnie na Privacy Shield korzystając z usług podmiotów z USA.

Co to oznacza?

Pozostają nam SCC - standardowe klauzule umowne. Wiążę się to jednak z dodatkowymi obowiązkami po stronie administratorów.

Standardowe Klauzule Umowne uznane zostały przez TSUE właściwie za ważne.
TSUE zaznaczył jednak, że takie przekazywanie danych powinna poprzedzić ocena czy państwo, do którego dane osobowe trafią posiada taki system prawny, który realnie zapewnia możliwość wypełnienia postanowień Standardowych Klauzul Umownych (SCC). Administratorzy powinni zatem sprawdzać czy kraj, do którego dane trafią (w domyśle chodzi głównie o USA), ma takie przepisy prawa, które zapewniają wysoki poziom ochrony praw jednostki. Trybunał zwrócił uwagę zwłaszcza na potencjalny dostęp organów władzy publicznej danego państwa do danych i związanej z tym kontroli sądowej.

Jest jeszcze jedna opcja: UE i USA może wreszcie dopracują te kwestie. Mamy XXI w. i nie możemy korzystać z pewnych narzędzi, bo obawiamy się działań innego kraju. Najprościej byłoby, gdy UE i USA zawarły umowę w oparciu o wytyczne z orzeczenia TSUE, ale pewnie znowu pojawiłyby się głosy, że coś jest w niej nie tak. Opracowanie kodeksów postępowania lub mechanizmów certyfikacji wraz z wykonalnymi zobowiązaniami obejmującymi przepływy danych w USA mogłoby rozwiązać ten problem. Czy tak się stanie? Who knows...

Kogo dotyczy problem?

Pewnie Ciebie, jeżeli korzystasz z dostawców usług chmurowych z USA (Google, Microsoft) i popularnych narzędzi pomagających w pracy, a oferowanych przez Mailchampa, Google'a, FB, Zoom'a, Cisco Webex, Trello, Linkedina.

Jakie jest rozwiązanie?

Standardowe klauzule umowne, czyli SCC to w zasadzie wzór umowy, zaakceptowany przez KE. Może ona zostać zawarta pomiędzy firmą, która przekazuje dane osobowe z UE a firmą z państwa trzeciego, która te dane dostaje. Umowa taka nakłada na ten podmiot z państwa trzeciego dużo obowiązków dotyczących ochrony danych, aby zapewnić odpowiedni poziom ochrony (mniej więcej taki, jak w RODO). No, ale TSUE wskazał, że ma zostać przeprowadzona także analiza, czy dane rzeczywiście będą bezpieczne i wszystko odbędzie się zgodnie z RODO. Ryzyko związane z możliwością przekazania danych osób fizycznych służbom wywiadowczym USA musi być niewielkie.

EROD wydała oświadczenie podsumowujące wyrok dnia 17 lipca 2020 r. wskazując, że dokona bardziej szczegółowej oceny wyroku i zapewni dalsze wyjaśnienia oraz wytyczne dotyczące wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem. Powinny pojawić się również wytyczne organów nadzorczych z krajów UE.

Podsumowując: czekamy.

Z ciekawostek

Google umieścił w swojej polityce np. takie oświadczenie: "Od 16 lipca 2020 roku nie będziemy już korzystać z Tarczy Prywatności UE-USA (EU-U.S. Privacy Shield) do przesyłania danych pochodzących z EOG lub Wielkiej Brytanii do Stanów Zjednoczonych." Jednocześnie wskazał, że w przypadku przesyłania danych opiera się na standardowych klauzulach umownych, także wobec klientów korzystającym z usług dla firm, takich jak G Suite, Google Ads czy usługi chmurowe. Szczegółowe informacje o wykorzystywaniu przez Google standardowych klauzul umownych w przypadku usług dla firm można znaleźć na stronie privacy.google.com/businesses.

Jeżeli jesteście ciekawi tematu, zapraszam do dawnego wpisu na blogu o przygotowaniach amerykańskich gigantów do RODO - https://kancelariasosnicka.pl/nasz-blog/rodo-a-facebook-google-i-inni-giganci/.

Jeżeli masz jakieś pytania lub wątpliwości – możesz napisać komentarz, wysłać maila, zadzwonić.
Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!

Zostaw komentarz

Czytaj także