W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał kontrowersyjny wyrok w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems, sygn. C-311/18 (tzw. sprawa Schrems II). Rozstrzygnięcie powoduje konieczność dokonania kompleksowego audytu czynności przetwarzania przez Administratorów danych osobowych.
Maximilian Schrems c. Facebook Ireland Ltd. – czego dotyczy sprawa
Maximilian Schrems domagał się zakazania spółce Facebook Ireland przekazywania jego danych osobowych na terytorium Stanów Zjednoczonych (zgoda na takie przekazywanie jest wymagana w celu korzystania z portalu Facebook). W skardze skierowanej do Komisji Europejskiej wskazał, że regulacje prawne obowiązujące na terytorium USA, które pozwalają służbom (NSA, FBI, CIA) na pozyskiwanie dowolnych danych osobowych przekazywanych w formie elektronicznej na terytorium Stanów Zjednoczonych, niezapewniają wymaganego przez przepisy europejskie poziomu ochrony danych osobowych obywateli UE.
Powyższa skarga, mimo że nie została początkowo uwzględniona, doprowadziła do unieważnienia, na mocy wyroku TSUE z dnia 6 października 2015 r. (C‑362/14, EU:C:2015:650), tzw. „Safe Harbor”, czyli decyzji komisji 2000/520/WE, potwierdzającej, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych (a jednocześnie stanowiącej podstawę legalności transferu danych do USA).
Na skutek powyższego w dniu 12 lipca 2016 r. Komisja Europejska zatwierdziła tzw. „Privacy Shield” („Tarcza Prywatności”), czyli drugą, uaktualnioną decyzję legalizującą i określającą zasady przekazywania danych osobowych z terytorium UE do USA. Transfer danych osobowych do Stanów Zjednoczonych na podstawie „Tarczy Prywatności” wymagał uzyskania przez odbiorcę odpowiedniego certyfikatu wydawanego przez amerykańskie ministerstwo handlu. Certyfikat taki posiadało większość powszechnie znanych dostawców usług wymagających transgranicznego transferu danych, co za tym idzie duża część transferów danych z Unii do USA odbywała się właśnie w ramach „Privacy Shield”.
W związku ze zmianą przepisów, pierwotnie wniesiona przez skarżącego skarga została przeformułowana, co spowodowało, iż TSUE w trybie prejudycjalnym dokonał ponownego badania podstaw legalności przekazywania danych poza EOG, w tym dokonał analizy kwestii ważności „Tarczy prywatności” oraz decyzji decyzji KE 2wprowadzającej standardowe klauzule umowne.
Standardowe klauzule umowne nie zawsze wystarczające
Rozpatrując skargę organy UE musiały przede wszystkim ocenić czy przetwarzanie danych obywateli UE przez amerykańskie służby nie powoduje naruszenia art. 7 i 8 Karty praw podstawowych UE oraz czy przetwarzanie to odbywa się z zachowaniem standardów bezpieczeństwa zapewnianych przez RODO. Podstawowym warunkiem dopuszczalności przekazywania danych osobowych do państwa trzeciego jest bowiem zapewnienie odpowiedniego stopnia ochrony tych danych, tj. co najmniej takiego, jaki wprowadzają przepisy unijne. Przy ocenie poziomu ochrony należy brać pod uwagę zarówno treść umowy zawartej pomiędzy stronami transferu danych, jak również ustawodawstwo państwa, do którego dane są przekazywane.
Jednym z instrumentów pozwalających na legalny transfer danych do Państwa trzeciego są zatwierdzone przez komisję standardowe klauzule umowne. Są to wzorcowe postanowienia, które wiążą strony umowy, na podstawie której dochodzi do przekazania danych, regulujące obowiązki w zakresie ochrony danych osobowych. Postanowień tych strony powinny bezwzględnie przestrzegać. Dotychczas zastosowanie standardowych klauzul umownych było uznawane za wystarczającą podstawę legalności transferu danych. Ten stan rzeczy uległ jednak zmianie na skutek wyroku w sprawie Schrems II. Co prawda Trybunał uznał, iż standardowe klauzule umowne uregulowane w ramach decyzji KE 2010/87 są ważne (bowiem sam fakt, że łączą one tylko strony umowy, natomiast nie regulują praw i obowiązków służb państw trzecich, nie może stanowić podstawy do podważenia ich ważności), kluczowe dla oceny legalności transferu danych jest jednak to, czy zapewniony jest poziom ochrony danych osobowych obywateli UE gwarantowany przez przepisy unijne. Oznacza to, że mimo zastosowania standardowych klauzul administrator powinien o dokonać oceny ryzyka związanego z transferem danych i przeanalizować zakres środków ochrony stosowany w państwie przyjmującym. Jeśli ocena danego przypadku, przede wszystkim pod kątem standardów ochrony danych stosowanych w państwie trzecim, doprowadzi do wniosku, że nawet zastosowanie standardowych klauzul nie zapewni odpowiedniego poziomu ochrony danych osobowych, organ nadzorczy powinien wydać decyzję o zawieszeniu przekazywania danych do państwa trzeciego.
„Tarcza Prywatności” unieważniona
W wyroku wydanym w sprawie Schrems II Trybuał stwierdził nieważność decyzji KE nr 2016/1250 zatwierdzającej Tarczę prywatności jako sprzeczną z RODO. Powodem takiej decyzji jest powoływany powyżej brak skutecznego środka odwoławczego dla obywateli UE wobec przetwarzania ich danych przez amerykańskie służby. Rozstrzygnięcie to jest kluczowe, gdyż „Tarcza Prywatności” stanowiła bardzo szeroko stosowaną podstawę legalności transferu danych do USA.
W obecnej sytuacji konieczna będzie weryfikacja czynności przetwarzania danych pod kątem dokonywania transferu na podstawie „Tarczy Prywatności”. Administratorzy zmuszeni będą do poszukiwania alternatywnych podstaw legalizujących przetwarzanie danych, a w skrajnych sytuacjach nawet do rezygnacji z niektórych usług, które wymagają bezwzględnego wyrażenia zgody na transfer danych do państwa trzeciego. Problem dotyczy zarówno małych, jak i większych podmiotów, z uwagi na fakt, że duża część operatorów usług świadczonych drogą elektroniczną ma swoją główną siedzibę na terytorium Stanów Zjednoczonych (Facebook, Google), co często wiąże się z przekazywaniem na terytorium tego państwa danych osobowych odbiorców końcowych usług.
Inne podstawy przetwarzania
Należy pamiętać, że przekazywanie danych do USA wciąż będzie możliwe w ramach wyjątków przewidzianych w art. 49 RODO, jeśli znajdą zastosowanie warunki określone w tym przepisie. Do podstaw tych należą:
a) wyraźna, szczegółowa dla konkretnego przekazywania danych i świadoma, szczególnie względem możliwego ryzyka przekazywania, zgoda na przetwarzanie danych
b) niezbędność przekazania danych do realizacji umowy zawartej pomiędzy administratorem, a osobą, której dane dotyczą – należy mieć jednak na uwadze, że dane osobowe mogą być przekazywane na tej podstawie wyłącznie w przypadku, gdy przekazanie to ma charakter sporadyczny.
c) niezbędność przekazania danych z uwagi na ważne względy interesu publicznego, zidentyfikowane w prawie UE lub państw członkowskich – mimo że wyjątek ten nie jest ograniczony do sporadycznego transferu danych, Europejska Rada Ochrony Danych wskazuje, że przekazywanie danych na podstawie tego wyjątku nie może odbywać się na w sposób systematyczny i na dużą skalę.
Skutki wyroku Schrems II – nowe obowiązki administratorów
Jak wynika z powyższego, wyrok w sprawie Schrems II wprowadza rewolucje w dziedzinie przekazywania danych do państw trzecich. Administratorzy, celem zapewnienia zgodności transferu danych z przepisami RODO, powinni przede wszystkim przeanalizować wszystkie czynności przetwarzania pod kątem potencjalnej możliwości transferu danych poza EOG, w tym w szczególności do USA. Co więcej każdy przedsiębiorca powierzający dane jakimkolwiek innym podmiotom powinien zweryfikować również, czy podmioty te nie dokonują transferu danych do państwa trzeciego. W przypadku, gdy podmiot zidentyfikuje transgraniczny transfer danych, powinien dokonać oceny ryzyka takiego transferu pod kątem ochrony danych, w tym przeanalizować ustawodawstwo Państwa, na terytorium którego dane są przekazywane pod kątem zgodności standardów ochrony danych z przepisami RODO. Konieczna może okazać się też renegocjacja umowy zawartej z odbiorcą danych (w skrajnych przypadkach administrator będzie zmuszony zrezygnować z usług konkretnych podwykonawców). Aktualizacji mogą wymagać również stosowane przez przedsiębiorców polityki prywatności, klauzule informacyjne czy wzory zgód na przetwarzanie danych. Wykryte nieprawidłowości w zakresie transferu danych poza EOG mogą stanowić podstawę nałożenia sankcji wynikających z RODO oraz roszczeń osób, których dane zostały przekazane do Państwa trzeciego bez zapewnienia odpowiedniego poziomu ochrony.
Dostosowanie organizacji do nowych zasad transgranicznego transferu danych, wprowadzonych na skutek wydania wyroku w sprawie Schrems II, nie będzie łatwym zadaniem i wymaga kompleksowej analizy europejskich regulacji dotyczących ochrony danych osobowych, a także wytycznych odpowiednich organów. Dlatego zachęcamy do kontaktu i powierzenia tego zadania naszym specjalistom w zakresie danych osobowych.