fbpx
,

„RODO vs. USA – czy transfer danych osobowych do Stanów Zjednoczonych jest w ogóle możliwy?”

Prowadzenie działalności w środowisku on-line, w szczególności w branży e-commerce bardzo często wiąże się z przekazywaniem danych osobowych do państw trzecich, w tym do USA, choć nie zawsze przedsiębiorcy są świadomi tego faktu. Wynika to z tego, że serwery gigantów technologicznych czy też serwisów społecznościowych, na których przechowywane są dane osobowe ich użytkowników zlokalizowane są poza terytorium Europejskiego Obszaru Gospodarczego (EOG). Taka sytuacja na gruncie RODO nazywana jest transferem danych osobowych do państw trzecich. Aby jednak transfer ten był legalny, a co za tym idzie – zachowany został wysoki poziom ochrony danych osobowych, muszą zostać spełnione dodatkowe wymogi, bowiem RODO swoją mocą nie sięga poza obszar EOG.

Na jakiej podstawie można dokonać transferu danych? 

Transfer danych osobowych do państw trzecich musi być przede wszystkim legalny, a więc musi istnieć podstawa prawna, która umożliwiać będzie przekazanie danych poza obszar EOG. Z przepisów RODO wynikają następujące przesłanki legalnego transferu danych: 

  1. Decyzja wydana przez Komisję Europejską stwierdzająca odpowiedni stopień ochrony danych osobowych istniejący w tym państwie. Jeżeli taka decyzja w stosunku do określonego państwa spoza EOG została wydana, to transfer danych będzie legalny i nie będzie wymagał stosowania dodatkowych zabezpieczeń. Decyzje takie zostały wydane w stosunku do Andory, Argentyny, Kanady, Wysp Owczych, Guernsey, Wyspy Man, Izraela, Japonii, Baliwatu Jersey, Nowej Zelandii, Korei Południowej, Szwajcarii, Wielkiej Brytanii i Urugwaju. 
  1. W przypadku braku decyzji Komisji Europejskiej transfer danych osobowych może zostać dokonany pod warunkiem zapewnienia odpowiednich zabezpieczeń i skutecznych środków ochrony prawnej, które można osiągnąć za pomocą: 
  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi, 
  • wiążących reguł korporacyjnych, 
  • standardowych klauzul ochrony danych, 
  • zatwierdzonego kodeksu postępowania, 
  • zatwierdzonego mechanizmu certyfikacji, 
  • klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej, lub 
  • postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. 

Pamiętaj jednak, że stosowanie dwóch ostatnich mechanizmów wymaga uzyskania zezwolenia właściwego organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych). 

  1. Jeżeli podstawy omówione w dwóch poprzednich punktach nie znajdują zastosowania, transfer danych osobowych do państwa trzeciego możliwy jest wyłącznie pod warunkiem zaistnienia jednej z poniższych przesłanek: 
  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowany transfer, wyraźnie wyraziła na to zgodę, 
  • transfer jest niezbędny do wykonania umowy zawartej pomiędzy osobą, której dane dotyczą a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie tej osoby, 
  • transfer jest niezbędny do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną, 
  • transfer jest niezbędny ze względu na ważne względy interesu publicznego, 
  • transfer jest niezbędny do ustalenia, dochodzenia lub ochrony roszczeń, 
  • transfer jest niezbędny do ochrony żywotnych interesów osoby, których dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, 
  • transfer następuje z rejestru, który zgodnie z prawem unijnym lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes, ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego. 

Należy pamiętać, że powyższe przesłanki stanowią wyjątki, które mogą być stosowane w szczególnych sytuacjach. 

Co zmienił wyrok w sprawie Schrems II? 

Jeszcze niedawno podstawę transferu danych osobowych do Stanów Zjednoczonych stanowiła decyzja wydana przez Komisję Europejską stwierdzająca istnienie odpowiedniego stopnia ochrony danych osobowych w tym państwie, czyli tzw. Privacy Shield („Tarcza Prywatności”). Tarcza Prywatności, jako podstawa transferu danych osobowych, była powszechnie wykorzystywana w obrocie, w tym również przez gigantów z branży IT, takich jak Facebook czy Google. Decyzja ta została jednak unieważniona na mocy wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 roku (C-311/18) w sprawie tzw. Schrems II i automatycznie przestała obowiązywać. Z wyroku tego wynika jedna podstawowa teza: transfer danych do USA w oparciu o Privacy Shield nie jest możliwy, gdyż narusza przepisy RODO, a powoływanie się na wspomnianą decyzje może wiązać się z określonymi konsekwencjami finansowymi na wypadek przeprowadzenia postępowania przez Prezesa UODO.  

A jak o transferze danych osobowych do USA w ogólności wypowiedział się TSUE? Przede wszystkim unijny sąd podkreślił, że powoływanie się tylko i wyłącznie na standardowe klauzule umowne jako podstawę transferu może nie stanowić wystarczającego środka zapewniającego odpowiedni stopień ochrony. Wynika to przede wszystkim z funkcjonujących w Stanach Zjednoczonych rozwiązań i przepisów inwigilacyjnych pozwalających na praktycznie nieograniczony i niekontrolowany dostęp do danych osobowych organom ścigania i władzom publicznym.  

Światełko w tunelu 

Choć unieważnienie decyzji Privacy Shield wprowadziło wiele komplikacji do transferu danych osobowych do USA należy wspomnieć, że pojawiło się światełko w tunelu. Przedstawiciele Unii Europejskiej i Stanów Zjednoczonych ogłosili bowiem, że zawarli wstępne porozumienie mające na celu uregulowanie transferu danych osobowych za ocean, nazywane Trans-Atlantic Data Privacy Framework. Zgodnie z udostępnionymi informacjami główne założenia powyższego porozumienia opierają się na zmianie amerykańskich przepisów pozwalających na inwigilację i dostęp do danych osobowych obywateli europejskich, a także utworzenie  odrębnego sądu, którego zadaniem będzie czuwanie nad przestrzeganiem praw obywateli UE w kontekście ochrony ich danych osobowych, choć pozostaje jeszcze wiele niewyjaśnionych kwestii spornych. 

Mając na względzie to, że wspomniane porozumienie ma wyłącznie charakter wstępny, jest ono jednak efektem trwających niemal dwa lata rozmów oraz pierwszym krokiem w kierunku instytucjonalnej legalizacji transferu danych osobowych do Stanów Zjednoczonych i wprowadzenia decyzji zastępującej Tarczę Prywatności. Na ostateczny kształt regulacji i ich wejście w życie przyjdzie nam jednak jeszcze poczekać. Nie zmienia to jednak faktu, że zawarcie porozumienia stanowi dobrą informację dla podmiotów transferujących dane osobowe za ocean. 

Co zatem z transferem danych do USA? 

Czy transfer danych osobowych do USA jest w ogóle możliwy? Choć nie został on w sposób bezwzględny zakazany, należy pamiętać że każdy transfer danych osobowych do państwa trzeciego może wiązać się z naruszeniem przepisów RODO. Rada wynikająca ze wspomnianego wyroku jest następująca: administrator lub inny podmiot zamierzających dokonać takiego transferu poza posiadaniem określonej podstawy do takiego transferu, które zostały omówione powyżej, powinien dodatkowo zweryfikować wszelkimi dostępnymi metodami (również we współpracy z podmiotem odbierającym dane osobowe w państwie trzecim) czy w tym państwie istnieje odpowiedni poziom ochrony. Pamiętaj, że to właśnie administrator danych ponosi odpowiedzialność za dokonanie transferu danych osobowych niezgodnie z RODO. 

Czy jest bezpieczne wyjście z tej sytuacji? Pierwsza opcja polega na dokonaniu dokładnej analizy każdego przypadku transferu danych osobowych z osobna, uwzględniając przede wszystkim ryzyka dla ochrony danych osobowych. Dopiero po dokonaniu tej analizy i znalezieniu odpowiedniej podstawy do transferu będzie on możliwy, choć ostateczna ocena całej sytuacji i legalności zawsze będzie należała, na wypadek ewentualnej kontroli, do organu nadzorczego. Trudno bowiem na ten moment przyjąć jednoznaczną odpowiedź, gdyż Prezes UODO jak dotąd nie wypowiedział się na ten temat. Drugim wyjściem, które wydaje się bardziej bezpieczne, dokonanie pewnej analizy ryzyk i wybór narzędzi lub usług informatycznych, z korzystaniem z których nie wiąże się transfer danych osobowych do USA.  

Nasi specjaliści pomogą Wam w dokonaniu oceny danego transferu danych osobowych do państw trzecich, a także w przygotowaniu niezbędnych dokumentów. 

autor: aplikant radcowski Mateusz Wita