Warto wiedzieć

Blog

Wiemy, że specjalistyczne wiadomości nie są łatwo dostępne. Chcemy aby ludzie z branży IT byli świadomi tego, w jakim otoczeniu prawnym się poruszają. Dlatego dzielimy się wiedzą.

Tarcza Prywatności

Tarcza Prywatności

2 października 2020

Tarcza Prywatności – czy obowiązuje? Jak przekazywać dane do USA? 

W tym wpisie przybliżymy wyrok Trybunału Sprawiedliwości Unii Europejskiej w tzw. sprawie Schrems II. Sprawa dotyczyła przekazywania danych osobowych Maximilliana Schremsa pomiędzy spółkami Facebooka w Irlandii i w USA. 

Co stwierdził Trybunał?

W decyzji Komisji Europejskiej w sprawie Tarczy Prywatności została pozostawiona furtka. Umożliwiała USA ograniczenie ustalonych zasad w zakresie niezbędnym do spełnienia wymagań bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa. 

Była to szeroka i nieprecyzyjna opcja, umożliwiająca amerykańskim organom dostęp do danych obywateli UE. W przepisach amerykańskich nie ma rozwiązań zapewniających, że ingerencja będzie ograniczona do tego, co niezbędne. Brak również odpowiednich zabezpieczeń, gwarantujących rzeczywistą ochronę przed możliwością nadużyć. Obywatele UE nie mają możliwości dochodzenia w USA swoich praw w takim zakresie, jak w UE.

Co wynika z orzeczenia?

Przedsiębiorcy z UE nie mogą przekazywać danych osobowych amerykańskim dostawcom. Dotyczy to też Google i Microsoft. Obecnie przekazywanie danych na podstawie Tarczy Prywatności jest nielegalne. Decyzja w sprawie Tarczy nie obowiązuje.  

Co ze standardowymi klauzulami umownymi?

TSUE wskazał, że dopuszczalne jest przekazywanie danych na podstawie standardowych klauzul umownych. Dane na tej podstawie można przekazać tylko wtedy, jeśli prawa osób, będą chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w UE

Co z tego wynika? Administrator i podmiot przetwarzający muszą sprawdzać, czy prawo państwa trzeciego zapewnia właściwą ochronę danych osobowych. W razie potrzeby powinni zapewnić zabezpieczenia dodatkowe. Jeśli to nie pomoże, należy zawiesić lub zakończyć przekazywanie danych do państwa trzeciego. 

W ocenie TSUE, USA nie zapewniają jednak odpowiedniego stopnia ochrony danych przekazywanych z Unii. Dlatego tak ważne jest podjęcie obecnie przez administratorów wzmożonych analiz. Badać trzeba, czy można skorzystać ze SCC przekazując dane do USA. Oceniamy też, jakie dane można przekazać i jakie dodatkowe zabezpieczenia wprowadzić. Niestety, administratorzy zostali obciążeni kolejnymi obowiązkami pod rygorem wysokich kar. 

Co teraz zrobić?

Jeśli przekazywanie danych do USA nie jest w Twoim przypadku istotne, możesz z tego zrezygnować. Wydaje się jednak, że takie rozwiązanie będzie skierowane do nielicznych. Większość z przedsiębiorców korzysta z możliwości amerykańskich dostawców. Zmiany w tym zakresie wiązać się będą z ogromnymi kosztami. Ważne staje się przeprowadzenie własnej oceny co do tego, czy dane można przekazywać. Należy też śledzić wytyczne organów nadzorczych. Zgodnie z wyrokiem TSUE, ich rola jest ogromna.