Przegląd mediów

styczeń 2021

Przekazywanie danych do USA po wyroku Schrems II – czy musimy rezygnować z usług Microsoftu, Google’

2021-01-20  |  11:40
Przegląd mediów

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, który sprawił, że cały europejski świat ochrony danych osobowych (i nie tylko) zatrząsł się w posadach. Zgodnie z sentencją wyroku w sprawie Schrems II straciła ważność tzw. Tarcza Prywatności, czyli decyzja Komisji Europejskiej stwierdzająca, że Stany Zjednoczone zapewniają właściwy poziom ochrony danych osobowych przekazywanych z Europy, a unijni przedsiębiorcy korzystający z usług amerykańskich dostawców, jak i same podmioty danych mogą spać spokojnie. Wraz z publikacją wyroku TSUE pozbawił przywołanej podstawy dziesiątek, jeśli nie setek, a nawet tysięcy administratorów danych osobowych, powodując, że przekazywanie niezliczonych ilości danych w tym momencie stało się bezprawne. Co teraz? Czy istnieje alternatywa? A może należy zaprzestać współpracy z amerykańskimi podmiotami?

Rozpoczynając omawianie przedmiotowej sprawy, warto nadmienić, że wyrok TSUE w sprawie Schrems II oprócz unieważnienia Tarczy Prywatności dotknął dwóch newralgicznych kwestii. Po pierwsze zaakcentowano, że nieadekwatny stopień ochrony danych osobowych przesyłanych do USA wynika z amerykańskich przepisów, którym podlegają dostawcy usług łączności elektronicznej, a które zobowiązują te podmioty do udostępniania wszelkich danych (w tym osobowych) organom publicznym. Trybunał stanął na stanowisku, że jest to nieakceptowalne z perspektywy standardów europejskich, narzuconych przez przepisy unijne, a w szczególności RODO. Druga nie mniej istotna teza odwołuje się do standardowych klauzul umownych (ang. Standard Contractual Clauses). SCC to zestaw klauzul umownych zatwierdzony przez Komisję Europejską. Zastosowanie ich przez administratora w relacji z podmiotem przetwarzającym (tzw. procesorem) spoza Europejskiego Obszaru Gospodarczego dotychczas dawało solidną podstawę prawną, a równocześnie zabezpieczenie w odniesieniu do transferu danych poza EOG. Wyrok Schrems II wprawdzie nie neguje dalszego wykorzystywania tego instrumentu, ale zaznacza, że nie jest to narzędzie wystarczające, a przekazanie danych osobowych poza EOG wymaga dodatkowych środków, które zapewnią adekwatny poziom bezpieczeństwa danych mieszkańców Unii Europejskiej.

Myślisz, że nie przekazujesz danych do USA? Nic bardziej mylnego!

Choć wyrok Schrems II ogólnie odnosi się do zagadnienia przekazywania danych poza EOG, to najwięcej emocji wzbudza jednak kwestia transferu do Stanów Zjednoczonych. Wielu przedsiębiorców może poczuć się w tej chwili bezpiecznie, myśląc, że przecież nie utrzymuje kontaktów biznesowych z żadną amerykańską firmą. Niestety to poczucie bezpieczeństwa jest zdecydowanie złudne, bowiem znakomita większość podmiotów gospodarczych bez cienia wątpliwości korzysta w swojej działalności z narzędzi dostarczanych przez Google, Microsoft czy Facebook. To z kolei nierozerwalnie wiąże się z przetwarzaniem znacznych ilości danych osobowych klientów (w tym potencjalnych), kontrahentów czy pracowników. Z kolei okoliczność, że przywołani giganci posiadają swoje główne siedziby na terenie USA, jest równoznaczna z tym, że wraz z założeniem firmowego fanpage’a na FB albo użyciem Google Analytics może dochodzić do przekazania danych do USA. Nie bez znaczenia jest również fakt, że rozpatrywana problematyka obejmuje nie tylko dosłowny przesył danych osobowych, ale również sytuację, gdy podmiot z państwa trzeciego ma jedynie dostęp do naszych informacji. Taki stan faktyczny ma miejsce, m.in. względem popularnych usług chmurowych.

I co teraz?

Pokłosiem wyroku w sprawie Schrems II i wywołanej nim powszechnej dezorientacji środowiska jest szereg opinii i zaleceń wydanych przez organy nadzorcze państw europejskich. I choć akurat Prezes Urzędu Ochrony Danych Osobowych na razie milczy na ten temat, to warto zwrócić uwagę na charakter wypowiedzi Niemców czy Irlandczyków, którzy rekomendują, a nawet nakazują wstrzymanie przesyłu danych poza EOG. Szwajcarzy natomiast – choć nie są prawnie związani rzeczoną decyzją TSUE – w oficjalnym stanowisku stwierdzają, że Tarcza Prywatności nie zapewnia odpowiedniego poziomu ochrony przy przekazywaniu danych osobowych ze Szwajcarii do Stanów Zjednoczonych, zaś oparte na tym instrumencie transfery powinny zostać wstrzymane do momentu wprowadzenia nowego mechanizmu prawnego w tym zakresie.

Pomimo pojawiających się w ostatnim czasie różnorakich propozycji i wskazówek prezentowanych tak przez doktrynę, jak i praktyków, najbardziej oczekiwanym dokumentem ostatnich miesięcy okazały się oficjalne rekomendacje wydane w dniu 10 listopada 2020 r. przez Europejską Radę Ochrony Danych. Dokładny tytuł opracowania EROD to „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”, co doskonale wskazuje jego istotę. Zalecenia to swego rodzaju instrukcja postępowania, kiedy okaże się, że już mamy do czynienia z przekazywaniem danych osobowych poza EOG bądź taki transfer planujemy. We wprowadzeniu do poradnika EROD szczególnie akcentuje, że standardowe klauzule umowne „nie są zawieszone w próżni” i powinny stanowić jeden, lecz nie jedyny ze środków bezpieczeństwa. Rada wprawdzie nie podaje gotowego przepisu na to, jakie konkretnie narzędzia zabezpieczające dane są właściwe, jednak wskazuje sześć kroków, dzięki którym każdy administrator będzie mógł indywidualnie ocenić swoje potrzeby w tym zakresie.

Krok po kroku

Pierwszym krokiem, który należy wykonać według EROD, jest analiza i ocena „swojego transferu”. Oznacza to konieczność rozebrania określonej operacji na czynniki pierwsze oraz ustalenia, gdzie dokładnie kierowane są dane, których administratorem jesteśmy, czy ich zakres jest ograniczony i adekwatny do celu, w jakim dane te są przekazywane i przetwarzane w państwie trzecim oraz przede wszystkim, czy jesteśmy w stanie zapewnić im odpowiedni stopień bezpieczeństwa. Drugi krok polega na weryfikacji instrumentu prawnego, o który opiera się legalność transferu danych osobowych. Katalog tych podstaw przewiduje Rozdział V RODO i enumeratywnie wymienia on m.in. stosowną decyzję Komisji Europejskiej. Krok trzeci to kontrola przepisów bądź praktyk obowiązujących w państwie trzecim oraz to, czy nie rzutują one na efektywność zabezpieczeń stosowanych przy określonym przesyle danych osobowych. Przyczynkiem do powstania tego punktu jest prawodawstwo amerykańskie, na gruncie którego organy publiczne mają dostęp nie tylko do danych powstałych w USA, ale także do tych mających źródło w innych krajach, w tym w Europie. Stosownie do treści zaleceń jest to okoliczność, której stanowczo nie można zaaprobować, a ocena prawa lokalnego, docelowego miejsca transferu musi być pod tym kątem wnikliwie przeprowadzona oraz udokumentowana. Krok czwarty skupia się na identyfikacji i przyjęciu stosownych środków uzupełniających w przypadku, gdy krok poprzedni wykaże ryzyka wynikające z badanych przepisów prawa. Z kolei krok piąty dotyczy formalnych działań z tym związanych. Jako przykładowe środki przywołane jest przede wszystkim szyfrowanie (z kluczem deszyfrującym znajdującym się po stronie administratora) oraz anonimizacja przekazywanych danych. Może jednak okazać się, że w pewnych okolicznościach żadne z tych środków nie będą stosowne. Wówczas EROD zaleca zawieszenie lub powstrzymanie się od transferu. W ostatnim kroku znajdziemy rekomendację ciągłego nadzoru nad transferem danych do państw trzecich oraz jego sukcesywnej oceny, która może zmieniać się ze względu na zmianę stanu faktycznego bądź prawnego.

Świat po Schremsie

Choć wypada docenić aktywność EROD, to należy jednocześnie stwierdzić, że nie wnoszą one wiele nowego do obecnego stanu prawnego, na dobrą sprawę przywołując wszystko to, co już wiemy. Mimo to z pewnością będą one przydatnym drogowskazem w oczekiwaniu na ruch Komisji Europejskiej, która ma moc wykreowania nowego instrumentu, zastępującego Tarczę Prywatności, gorączkowo wypatrywanego przez całą Europę.

Autor: radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.

 

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Informacje z dnia: 20 stycznia

Medium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Finanse

OFE do całkowitej likwidacji. Każda decyzja w sprawie zgromadzonych tam oszczędności będzie oznaczać utratę części środków

1 czerwca ma zacząć obowiązywać nowa ustawa, która ostatecznie zlikwiduje otwarte fundusze emerytalne. Nastąpi to 28 stycznia 2022 roku, a zgromadzone na nich pieniądze zostaną przetransferowane domyślnie na Indywidualne Konta Emerytalne lub na wniosek posiadacza rachunku w OFE do Zakładu Ubezpieczeń Społecznych. Wybór przyszłego emeryta w każdym z tych przypadków będzie oznaczał utratę części środków. Przeniesienie środków do IKE wiąże się z pobraniem 15-proc. opłaty przekształceniowej, z kolei do ZUS – z podatkiem od emerytur i niemożnością dziedziczenia środków. – Te zmiany nastąpią bez konsultacji społecznych – mówi ekonomistka WSB w Poznaniu, dr Edyta Wojtyla.

 

Handel

Allegro chce przejąć część wartego 340 mld zł rynku zakupów firmowych. Na nowej platformie zniżki hurtowe i odroczone płatności cieszą się największym zainteresowaniem

W czasie pandemii duża część wydatków zakupowych Polaków przeniosła się do e-handlu. Do internetowych zakupów przekonały się również firmy. Według szacunków przytaczanych przez Allegro wartość zakupów firmowych w kanale online przekroczyła 340 mld zł w 2020 roku. Znacząca część tego rynku jest do zagospodarowania przez ofertę giganta polskiego e-commerce, w czym ma pomóc uruchomiona na początku lutego nowa platforma Allegro Biznes. Korzyści dla kupujących to m.in. odroczona płatność do 60 dni i rabaty przy dużych zamówieniach oraz cenniki hurtowe. W ofercie są nie tylko produkty odpowiadające na podstawowe, ale jednocześnie szerokie potrzeby wszystkich przedsiębiorców, np. artykuły papiernicze, produkty do sprzątania czy sprzęt IT. Oferta jest również dostosowana do bardzo specyficznych branż, takich jak warsztaty samochodowe, firmy budowlane czy gabinety kosmetyczne.

Handel

Powstaje projekt wspólnej europejskiej chmury. Ma przyspieszyć wdrażanie takich rozwiązań w polskich firmach

Ze względu na pandemię koronawirusa masowa migracja polskich przedsiębiorstw do chmury jest już nieunikniona. Firmy wciąż mają jednak obawy dotyczące tego procesu. Przykładowo 44 proc. z nich wymaga, aby ich centra danych podlegały unijnej legislacji. Odpowiedzią ma być GAIA-X, czyli koncepcja europejskiej infrastruktury chmurowej, w ramach której usługi będą świadczone przez lokalnych dostawców z Europy. Projekt może być motorem napędowym do szybszego wdrażania rozwiązań chmurowych w polskich firmach, chociaż jak pokazują najnowsze dane GUS, obecnie już prawie 40 proc. średnich oraz 60 proc. dużych firm w Polsce korzysta z płatnych rozwiązań cloud computingu.

Handel

Kraje globalnego Południa potrzebują lepszego dostępu do szczepionek na COVID-19. Pandemia jest tam nie tylko problemem zdrowotnym, ale także przyczyną głodu

– Najbardziej dokuczliwym skutkiem rozprzestrzeniania się koronawirusa w krajach globalnego Południa jest nie tyle sam COVID-19, co klęska głodu. W wielu krajach pandemia spowodowała zamknięcie lokalnych gospodarek, masowe bezrobocie, przerwanie łańcuchów dostaw i wzrost cen – wymienia Helena Krajewska z Polskiej Akcji Humanitarnej. Dlatego biedne kraje Afryki, Azji czy Ameryki Południowej pilnie potrzebują szczepień przeciwko COVID-19. W ramach programu COVAX do końca tego roku do najbiedniejszych państw ma trafić co najmniej 1,3 mld dawek. To jednak kropla w morzu potrzeb. Pierwsze szczepionki trafiły w ubiegłym tygodniu do Ghany i Wybrzeża Kości Słoniowej.