W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, który sprawił, że cały europejski świat ochrony danych osobowych (i nie tylko) zatrząsł się w posadach. Zgodnie z sentencją wyroku w sprawie Schrems II straciła ważność tzw. Tarcza Prywatności, czyli decyzja Komisji Europejskiej stwierdzająca, że Stany Zjednoczone zapewniają właściwy poziom ochrony danych osobowych przekazywanych z Europy, a unijni przedsiębiorcy korzystający z usług amerykańskich dostawców, jak i same podmioty danych mogą spać spokojnie.
Wraz z publikacją wyroku TSUE pozbawił przywołanej podstawy dziesiątek, jeśli nie setek, a nawet tysięcy administratorów danych osobowych, powodując, że przekazywanie niezliczonych ilości danych w tym momencie stało się bezprawne. Co teraz? Czy istnieje alternatywa? A może należy zaprzestać współpracy z amerykańskimi podmiotami?
Rozpoczynając omawianie przedmiotowej sprawy, warto nadmienić, że wyrok TSUE w sprawie Schrems II oprócz unieważnienia Tarczy Prywatności dotknął dwóch newralgicznych kwestii. Po pierwsze zaakcentowano, że nieadekwatny stopień ochrony danych osobowych przesyłanych do USA wynika z amerykańskich przepisów, którym podlegają dostawcy usług łączności elektronicznej, a które zobowiązują te podmioty do udostępniania wszelkich danych (w tym osobowych) organom publicznym. Trybunał stanął na stanowisku, że jest to nieakceptowalne z perspektywy standardów europejskich, narzuconych przez przepisy unijne, a w szczególności RODO. Druga nie mniej istotna teza odwołuje się do standardowych klauzul umownych (ang. Standard Contractual Clauses). SCC to zestaw klauzul umownych zatwierdzony przez Komisję Europejską. Zastosowanie ich przez administratora w relacji z podmiotem przetwarzającym (tzw. procesorem) spoza Europejskiego Obszaru Gospodarczego dotychczas dawało solidną podstawę prawną, a równocześnie zabezpieczenie w odniesieniu do transferu danych poza EOG. Wyrok Schrems II wprawdzie nie neguje dalszego wykorzystywania tego instrumentu, ale zaznacza, że nie jest to narzędzie wystarczające, a przekazanie danych osobowych poza EOG wymaga dodatkowych środków, które zapewnią adekwatny poziom bezpieczeństwa danych mieszkańców Unii Europejskiej.
Myślisz, że nie przekazujesz danych do USA? Nic bardziej mylnego!
Choć wyrok Schrems II ogólnie odnosi się do zagadnienia przekazywania danych poza EOG, to najwięcej emocji wzbudza jednak kwestia transferu do Stanów Zjednoczonych. Wielu przedsiębiorców może poczuć się w tej chwili bezpiecznie, myśląc, że przecież nie utrzymuje kontaktów biznesowych z żadną amerykańską firmą. Niestety to poczucie bezpieczeństwa jest zdecydowanie złudne, bowiem znakomita większość podmiotów gospodarczych bez cienia wątpliwości korzysta w swojej działalności z narzędzi dostarczanych przez Google, Microsoft czy Facebook. To z kolei nierozerwalnie wiąże się z przetwarzaniem znacznych ilości danych osobowych klientów (w tym potencjalnych), kontrahentów czy pracowników. Z kolei okoliczność, że przywołani giganci posiadają swoje główne siedziby na terenie USA, jest równoznaczna z tym, że wraz z założeniem firmowego fanpage’a na FB albo użyciem Google Analytics może dochodzić do przekazania danych do USA. Nie bez znaczenia jest również fakt, że rozpatrywana problematyka obejmuje nie tylko dosłowny przesył danych osobowych, ale również sytuację, gdy podmiot z państwa trzeciego ma jedynie dostęp do naszych informacji. Taki stan faktyczny ma miejsce, m.in. względem popularnych usług chmurowych.
I co teraz?
Pokłosiem wyroku w sprawie Schrems II i wywołanej nim powszechnej dezorientacji środowiska jest szereg opinii i zaleceń wydanych przez organy nadzorcze państw europejskich. I choć akurat Prezes Urzędu Ochrony Danych Osobowych na razie milczy na ten temat, to warto zwrócić uwagę na charakter wypowiedzi Niemców czy Irlandczyków, którzy rekomendują, a nawet nakazują wstrzymanie przesyłu danych poza EOG. Szwajcarzy natomiast – choć nie są prawnie związani rzeczoną decyzją TSUE – w oficjalnym stanowisku stwierdzają, że Tarcza Prywatności nie zapewnia odpowiedniego poziomu ochrony przy przekazywaniu danych osobowych ze Szwajcarii do Stanów Zjednoczonych, zaś oparte na tym instrumencie transfery powinny zostać wstrzymane do momentu wprowadzenia nowego mechanizmu prawnego w tym zakresie.
Pomimo pojawiających się w ostatnim czasie różnorakich propozycji i wskazówek prezentowanych tak przez doktrynę, jak i praktyków, najbardziej oczekiwanym dokumentem ostatnich miesięcy okazały się oficjalne rekomendacje wydane w dniu 10 listopada 2020 r. przez Europejską Radę Ochrony Danych. Dokładny tytuł opracowania EROD to „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”, co doskonale wskazuje jego istotę. Zalecenia to swego rodzaju instrukcja postępowania, kiedy okaże się, że już mamy do czynienia z przekazywaniem danych osobowych poza EOG bądź taki transfer planujemy. We wprowadzeniu do poradnika EROD szczególnie akcentuje, że standardowe klauzule umowne „nie są zawieszone w próżni” i powinny stanowić jeden, lecz nie jedyny ze środków bezpieczeństwa. Rada wprawdzie nie podaje gotowego przepisu na to, jakie konkretnie narzędzia zabezpieczające dane są właściwe, jednak wskazuje sześć kroków, dzięki którym każdy administrator będzie mógł indywidualnie ocenić swoje potrzeby w tym zakresie.
Krok po kroku
Pierwszym krokiem, który należy wykonać według EROD, jest analiza i ocena „swojego transferu”. Oznacza to konieczność rozebrania określonej operacji na czynniki pierwsze oraz ustalenia, gdzie dokładnie kierowane są dane, których administratorem jesteśmy, czy ich zakres jest ograniczony i adekwatny do celu, w jakim dane te są przekazywane i przetwarzane w państwie trzecim oraz przede wszystkim, czy jesteśmy w stanie zapewnić im odpowiedni stopień bezpieczeństwa. Drugi krok polega na weryfikacji instrumentu prawnego, o który opiera się legalność transferu danych osobowych. Katalog tych podstaw przewiduje Rozdział V RODO i enumeratywnie wymienia on m.in. stosowną decyzję Komisji Europejskiej. Krok trzeci to kontrola przepisów bądź praktyk obowiązujących w państwie trzecim oraz to, czy nie rzutują one na efektywność zabezpieczeń stosowanych przy określonym przesyle danych osobowych. Przyczynkiem do powstania tego punktu jest prawodawstwo amerykańskie, na gruncie którego organy publiczne mają dostęp nie tylko do danych powstałych w USA, ale także do tych mających źródło w innych krajach, w tym w Europie.
Stosownie do treści zaleceń jest to okoliczność, której stanowczo nie można zaaprobować, a ocena prawa lokalnego, docelowego miejsca transferu musi być pod tym kątem wnikliwie przeprowadzona oraz udokumentowana. Krok czwarty skupia się na identyfikacji i przyjęciu stosownych środków uzupełniających w przypadku, gdy krok poprzedni wykaże ryzyka wynikające z badanych przepisów prawa. Z kolei krok piąty dotyczy formalnych działań z tym związanych. Jako przykładowe środki przywołane jest przede wszystkim szyfrowanie (z kluczem deszyfrującym znajdującym się po stronie administratora) oraz anonimizacja przekazywanych danych. Może jednak okazać się, że w pewnych okolicznościach żadne z tych środków nie będą stosowne. Wówczas EROD zaleca zawieszenie lub powstrzymanie się od transferu. W ostatnim kroku znajdziemy rekomendację ciągłego nadzoru nad transferem danych do państw trzecich oraz jego sukcesywnej oceny, która może zmieniać się ze względu na zmianę stanu faktycznego bądź prawnego.
Świat po Schremsie
Choć wypada docenić aktywność EROD, to należy jednocześnie stwierdzić, że nie wnoszą one wiele nowego do obecnego stanu prawnego, na dobrą sprawę przywołując wszystko to, co już wiemy. Mimo to z pewnością będą one przydatnym drogowskazem w oczekiwaniu na ruch Komisji Europejskiej, która ma moc wykreowania nowego instrumentu, zastępującego Tarczę Prywatności, gorączkowo wypatrywanego przez całą Europę.
Autor: radca prawny Robert Nogacki - Kancelaria Prawna Skarbiec.
