Transfer danych osobowych poza Europejski Obszar Gospodarczy, w tym do USA

Międzynarodowy transfer danych osobowych jest stałą częścią prowadzenia biznesu. Powszechna cyfryzacja usług jest faktem. Innowacyjne podejście do prowadzonej działalności jest nierozerwalnie związane z korzystaniem z narzędzi dostarczanych przez międzynarodowe korporacje takie jak Google, Microsoft czy Facebook, które bardzo często dokonują przetwarzania danych osobowych poza Europejskim Obszarem Gospodarczym (EOG), w tym w szczególności w USA.

Przekazując dane osobowe z terytorium Unii Europejskiej administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich (spoza EOG) lub organizacjom międzynarodowym, musimy pamiętać o zapewnieniu przynajmniej takiego stopnia ochrony osób fizycznych jaki obowiązuje w Unii Europejskiej na podstawie ogólnego rozporządzenia o ochronie danych (RODO). Warto mieć przy tym na względzie fakt, że w 2022 r. zaszły istotne zmiany w zakresie transferu danych poza EOG, o których mowa poniżej. Rok 2023 będzie czasem na weryfikację wdrożonych rozwiązań i ich ewentualną modyfikację.

WYROK TRYBUNAŁU SPRAWIEDLIWOŚCI UNII EUROPEJSKIEJ I UNIEWAŻNIENIE TARCZY PRYWATNOŚCI

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 16 lipca 2020 r. w sprawie Schrems II unieważnił Tarczę Prywatności (Privacy Shield), tj. porozumienie pomiędzy UE a USA mające na celu uregulowanie transatlantyckiego transferu i przechowywania danych. W skrócie – TSUE uznał, że Tarcza Prywatności nie gwarantuje bezpieczeństwa na poziomie RODO i tym samym działanie na jej podstawie stanowi naruszenie RODO. Wyrok TSUE zmienił praktykę, zgodnie z którą wiele podmiotów z UE w ramach korzystania z usług podmiotów zlokalizowanych w Stanach Zjednoczonych dokonywało transferu danych osobowych w oparciu o Tarczę Prywatności. Była to najczęściej wykorzystywana (obok standardowych klauzul umownych) podstawa prawna transferu danych osobowych z UE do USA.

Aktualnie nie ma obowiązującej podstawy prawnej, która pozwalałaby na w pełni bezpieczny i swobodny transfer danych do USA. Problem ten próbuje rozwiązać prezydent Joe Biden, który w dniu 7 października 2022 r. podpisał rozporządzenie wykonawcze (executive order) w sprawie wzmocnienia zabezpieczeń dla działań wywiadowczych. W szczególności rozporządzenie wykonawcze nakłada na amerykańskie organy wywiadowcze obowiązek ograniczenia działań do tego, co jest konieczne i proporcjonalne. Bez wchodzenia w szczegóły, wydaje się, że nie rozwiązuje ono jednak problemów związanych z transferem danych do USA. Warto podkreślić, że nie jest to ustawa tylko instrument służący prezydentowi do kierowania i zarządzania administracją federalną. Tym samym rozporządzenie nie stanowi w żadnym wypadku kompleksowego rozwiązania. Może być ewentualnie pierwszym krokiem do zawarcia nowego porozumienia, które zastąpi unieważnioną Tarczę Prywatności.

STANOWISKA ORGANÓW NADZORCZYCH W SPRAWIE TRANSFERU DANYCH DO USA

Aktualnie brak jednolitych poglądów europejskich organów nadzorczych w sprawie transferu danych do USA. Co istotne, Prezes Urzędu Ochrony Danych Osobowych nie wydał na razie żadnych nowych wytycznych w tym zakresie. Natomiast w praktyce przedsiębiorcy już powołują się na standardowe klauzule umowne (o których mowa poniżej) jako podstawę przekazywania danych do USA.

STANDARDOWE KLAUZULE UMOWNE I KONIECZNOŚĆ ICH MODYFIKACJI

Standardowe klauzule umowne to jeden ze środków legalizujących transfer danych osobowych poza Europejski Obszar Gospodarczy. Są one częścią umowy pomiędzy odbiorcą a podmiotem przekazującym dane osobowe, w której odbiorca danych zobowiązuje się do stosowania określonych zasad przetwarzania danych osobowych. Jest to częsty (i czasem jedyny) sposób na dokonanie zgodnego z RODO przekazania danych do Państwa spoza EOG, w stosunku do którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych. Co szczególnie istotne, brak jest takiej decyzji w odniesieniu do USA.

Jednym z kroków mających na celu zapewnienie legalności transferu danych do państwa spoza EOG, w tym do USA, może być więc stosowanie standardowych klauzul umownych. Zwracamy przy tym uwagę, że dotychczasowe wzory standardowych klauzul umownych dotyczące przekazywania danych do państwa spoza EOG straciły ważność, a 27 grudnia 2022 r. minął termin na ich aktualizację. Do tego czasu należało dokonać zmiany zawartych umów wprowadzając do nich klauzule zgodne z nowym wzorem wprowadzonym przez Komisję Europejską decyzją wykonawczą 2021/915 z dnia 4 czerwca 2021 r¹.

Przekazywanie danych osobowych poza EOG na podstawie umów niezgodnych z nowymi standardowymi klauzulami umownymi może stanowić naruszenie zasad przetwarzania danych osobowych poprzez ich transfer bez zastosowania odpowiednich zabezpieczeń, a tym samym naruszenie przepisów RODO. Taka sytuacja może narazić podmioty dokonujące transferów na kary, które mogą zostać nałożone przez organ nadzorczy.

CZYNNOŚCI NIEZBĘDNE W CELU ZAPEWNIENIA ZGODNOŚCI TRANSFERU DANYCH POZA EOG Z RODO

Co zatem powinniśmy zrobić, żeby przekazując dane osobowe do państw spoza EOG, w tym do USA, działać zgodnie RODO? Poniżej sugerowane przez nas kroki:

• Przeprowadzenie oceny skutków transferu dla ochrony danych osobowych, zgodnie z Zaleceniami 01/2020²  dotyczącymi środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych, w tym w szczególności:
  • zidentyfikowanie transferów danych poza EOG, które mają miejsce w organizacji (tzw. mapowanie transferów danych);
  • ocena prawa lub praktyki państwa trzeciego oraz ocena jaki wpływ mają one na zakres ochrony danych osobowych (przeprowadzenie takiej analizy przez przedsiębiorcę na własną rękę w większości przypadków może być trudne lub nawet niemożliwe);
  • ocena, czy konieczne jest podjęcie środków uzupełniających standardowe klauzule umowne.
• Dokonanie przeglądu narzędzi dostarczanych przez korporacje spoza EOG, takich jak analityki internetowe, dostawcy plików cookies, chmur obliczeniowych itp. pod kątem ich zgodności z RODO. Zwracamy uwagę, że w usługach chmurowych czasem jest możliwość określenia regionu, w którym będą przechowywane i przetwarzane dane klientów. Taka opcja zdecydowanie ułatwia zapewnienie zgodności z europejskimi wymogami w zakresie ochrony danych osobowych.
• Jeżeli dotychczas nie zostało to zrobione – przeprowadzenie inwentaryzacji umów i ich aktualizacja w oparciu o obecne brzmienie standardowych klauzul umownych określone decyzją wykonawczą Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r.

Zespół Prawa Nowych Technologii Deloitte może wesprzeć Państwa zarówno przy weryfikacji zgodności z prawem transferu danych dokonywanego poza EOG, jak również w negocjacjach z kontrahentami w zakresie umów obejmujących przetwarzanie danych.

Subskrybuj "Blog: Prawo Nowych Technologii"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego newslettera.

Zobacz pozostałe materiały na ten temat