ZMIANY W TRANSFERZE DANYCH DO USA

Reperkusje po wyroku TSUE w sprawie Schrems II (C- 311/18) z dnia 16 lipca 2020 r. Europejski Trybunał Sprawiedliwości (C-311/18) 6

 

Orzeczeniem z dnia 16 lipca 2020 r. Europejski Trybunał Sprawiedliwości (C-311/18) uznał tarczę ochrony danych UE-USA tzw. Privacy Shield, za nieważną a stosowanie standardowych klauzul umownych Komisji Europejskiej (2010/87/UE) obarczone pewnymi obowiązkami osób odpowiedzialnych, które wynikają z zastosowania tych klauzul.

 

Wyrok TSUE jest jednak bezlitosny i oznacza, że w przypadku podmiotów z siedzibą w USA, które figurują na liście Privacy Shield, a jest to liczba ponad 5 tys. aktywnych podmiotów, w tym między innymi Oracle, Microsoft, czy Google. Dalszy transfer danych w oparciu o instrument Privacy Shield jest niemożliwy.

 

Transfer danych do USA można oprzeć na tzw. standardowych klauzulach umownych (SCC). Są jednak przypadki, gdy nie można zastosować się do gwarancji zawartych w standardowych klauzulach umownych, a co za tym idzie nie mogą one być wykorzystywane jako podstawa do przekazywania danych.

 

Przykład: Przepisy bezpieczeństwa w USA, takie jak Foreign Intelligence Surveillance Act (FISA) 702, które umożliwiają amerykańskim organom bezpieczeństwa dostęp do danych osobowych bez nakazu sądowego, mają zastosowanie przede wszystkim do firm telekomunikacyjnych.

 

Co do zasady, standardowe klauzule umowne nie mogą być wykorzystywane do przekazywania danych do takich przedsiębiorstw. Prawo to może mieć również wpływ na inne przedsiębiorstwa, np. jeżeli przedsiębiorstwa te korzystają z usług dostawców usług telekomunikacyjnych, takich jak usługi w chmurze. W tym przypadku istnieje możliwość, że amerykańskie organy bezpieczeństwa uzyskają w ten sposób dostęp do danych.

 

TSUE w orzeczeniu podkreślił zresztą, że do mających siedzibę w Unii administratorów i podmiotów odbierających dane osobowe należy w tym momencie sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach. W przypadku braku możliwości podjęcia dodatkowych środków odpowiednich dla zagwarantowania takiej ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego.