Od dnia 16 lipca 2020 roku, zgodnie z wyrokiem Trybunał Sprawiedliwości Unii Europejskiej ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems przekazywanie danych osobowych do USA nie może być realizowane na podstawie Privacy Shield UE-USA (Tarczy Prywatności USA-UE).
Przedsiębiorcy, którzy do tej pory przekazywali dane osobowe do USA podmiotom należącym do programu Tarcza Prywatności stanęli przed dużym problemem. W dniu 16 lipca 2020 roku Trybunał Sprawiedliwości UE wyrokiem w sprawie ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems unieważnił decyzję Komisji Europejskiej stwierdzającą, że Tarcza Prywatności zapewnia adekwatną ochronę danych osobowych przekazywanych do USA. Wyrok to kolejny sukces austriackiego aktywisty Maximiliana Schremsa, którego działania doprowadziły do unieważnienia programu poprzedzającego Tarczę Prywatności - tzw. Bezpiecznej Przystani (Safe Harbour).
Czym jest Tarcza Prywatności?
Tarcza prywatności to program samocertyfikowania podmiotów przetwarzających dane osobowe zlokalizowanych w USA. Podmioty, które przystąpiły do programu, zobowiązały się do przestrzegania zasad ochrony danych osobowych w taki sposób, by poziom ochrony nie odbiegał od tego wewnątrz UE. Komisja Europejska uznawała Tarczę Prywatności za zapewniającą adekwatny poziom ochronnych danych osobowych przekazywanych z UE w rozumieniu art. 45 RODO. Przekazując dane do podmiotu posiadającego certyfikat Tarczy Prywatności, nie trzeba było podejmować dalszych środków bezpieczeństwa legalizujących transfer np. zawierać standardowe klauzule umowne.
Dlaczego uchylono tarczę prywatności?
Trybunał wyjaśnił, że uchylenie decyzji Komisji Europejskiej wynika z tego, dane przekazywane do USA mogą być ujawnianie tamtejszym organom państwowym z uwagi na bezpieczeństwo narodowe, a przepisy krajowe nie przyznają osobom, których dane dotyczą praw umożliwiających ograniczenie lub kontrolę dostępu do danych. W konsekwencji USA nie zapewniają minimalnego progu ochrony danych osobowych.
Co się zmienia od 16 lipca 2020 roku? Jak legalnie przekazywać dane do USA?
Od 16 lipca 2020 roku fakt, że podmiot, któremu przekazujemy dane osobowe należy do programu Tarcza Prywatności nie sprawia, że zapewniony zostaje adekwatny poziom bezpieczeństwa danych legalizujący transfer. Żeby zgodnie z prawem móc dalej przekazywać dane osobowe do takiego podmiotu, należy poszukać nowej podstawy legalnego transferu danych.
Co więcej, podmioty, które przekazują dane osobowe do USA na podstawie innych narzędzi niż Tarcza Prywatności np. standardowych klauzul umownych (SCC) czy wiążących reguł korporacyjnych (BCR), również muszą dokonać weryfikacji sposobu transferu danych i dokonać oceny, czy prawo USA nie będzie negatywnie wpływać na stopień ochrony danych osobowych. Jeżeli mimo obowiązywania np. standardowych klauzul umownych pomiędzy podmiotami, w praktyce ich postanowienia nie będą realizowane z uwagi na prawo krajowe USA mimo zastosowania dodatkowych środków, to transfer danych trzeba będzie zawiesić.
Warunkiem legalnego przekazywania danych osobowych jest bowiem zapewnienie takiego poziomu ochrony danych osobowych, jaki istnieje w Europejskim Obszarze Gospodarczym poprzez wprowadzenie RODO.
Europejska Rada Ochrony Danych zapowiedziała wydanie w najbliższym czasie zaleceń co do określania dodatkowych środków (np. organizacyjnych, technicznych), które mogą zwiększyć stopień ochrony danych do akceptowalnego poziomu.
Transfer danych osobowych na podstawie zgody
Jeżeli ocena poziomu ochrony danych osobowych wykaże, że nie jest możliwe przekazywanie danych do USA w taki sposób, by zachowany był odpowiedni poziom ochrony, w pewnych przypadkach administrator będzie miał możliwość dokonania transferu danych na podstawie ustępstw wskazanych w art. 49 RODO - w tym najczęściej stosowanej zgody podmiotu danych. Należy jednak pamiętać, że taki transfer nie może opierać się na zgodzie dorozumianej, a podmiot danych powinien przed jej udzieleniem otrzymać wyczerpujące informacje dotyczące ryzyk związanych z takim przekazywaniem danych.
