Privacy Shield - jak przekazywać dane osobowe do Stanów Zjednoczonych po wyroku w sprawie Schrems II?

16 lipca 2020 Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) wydał wyrok w sprawie Maximiliana Schremsa, austriackiego aktywisty działającego na rzecz ochrony prywatności, przeciwko Facebook Ireland Limited („Schrems II”)¹ . W przedmiotowej sprawie TSUE unieważnił decyzję Komisji Europejskiej dot. adekwatności ochrony przewidzianej przez Tarczę Prywatności (Privacy Shield) pomiędzy Unią Europejską a Stanami Zjednoczonymi.

Warto wskazać, że to już drugi raz, kiedy TSUE orzeka o nieadekwatności programu prywatności pomiędzy UE a USA – poprzedni program, Bezpieczna Przystań, także został uznany za nieważny przez TSUE (w 2016 roku). O ile środowisko praktyków ochrony danych osobowych już od jakiegoś czasu przewidywało, że TSUE podobnie postąpi z Privacy Shield - Tarczą Prywatności (w szczególności z uwagi na opinię rzecznika generalnego²), o tyle ograniczona ilość podmiotów wprowadziła już rozwiązania mające na celu legalizację transferu danych osobowych do Stanów Zjednoczonych po unieważnieniu stojącej za nią decyzji Komisji Europejskiej dot. adekwatności.

Z uwagi na okoliczność, że wiele polskich podmiotów z branży nowych technologii, w tym FinTech, ale także w bardziej tradycyjnych branżach jak np. bankowość korzysta z różnego rodzaju usług podmiotów mających centra danych w Stanach Zjednoczonych należy zastanowić się, jakie działania należy podjąć i jakie zmiany wprowadzić np. w procesach zarządzania danymi osobowymi oraz dokumentacją wewnętrzną dot. przetwarzania danych osobowych tak, aby po decyzji w sprawie Schrems II przekazywanie danych do Stanów Zjednoczonych było nadal zgodne z prawem.

Biorąc pod uwagę powszechność korzystania np. z usług Google, w tym nie tylko chmury obliczeniowej, ale też poczty elektronicznej, a także np. tworzenia tzw. fanpages na Facebooku, problem zapewnienia zgodności transferu danych do Stanów Zjednoczonych może dotyczyć praktycznie każdego podmiotu przetwarzającego dane osobowe, w tym zarówno administratorów, jak i podmiotów przetwarzających. W świetle powyższego kluczowe jest podjęcie kroków, które pomogą tę zgodność z wymaganiami RODO zapewnić i uchronić się przed ewentualnymi działaniami krajowych organów nadzorczych, które mogą prowadzić nawet do nakładania na organizacje kar pieniężnych.

W załączonym do tego wpisu materiale prezentujemy najważniejsze elementy wyroku TSUE w sprawie Schrems II oraz wskazujemy cztery praktyczne kroki, jakie powinny podjąć organizacje aby zapewnić zgodność z RODO przekazywania danych osobowych do Stanów Zjednoczonych.