Przegląd mediów

styczeń 2021

Przekazywanie danych do USA po wyroku Schrems II – czy musimy rezygnować z usług Microsoftu, Google’

2021-01-20  |  11:40
Przegląd mediów

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, który sprawił, że cały europejski świat ochrony danych osobowych (i nie tylko) zatrząsł się w posadach. Zgodnie z sentencją wyroku w sprawie Schrems II straciła ważność tzw. Tarcza Prywatności, czyli decyzja Komisji Europejskiej stwierdzająca, że Stany Zjednoczone zapewniają właściwy poziom ochrony danych osobowych przekazywanych z Europy, a unijni przedsiębiorcy korzystający z usług amerykańskich dostawców, jak i same podmioty danych mogą spać spokojnie. Wraz z publikacją wyroku TSUE pozbawił przywołanej podstawy dziesiątek, jeśli nie setek, a nawet tysięcy administratorów danych osobowych, powodując, że przekazywanie niezliczonych ilości danych w tym momencie stało się bezprawne. Co teraz? Czy istnieje alternatywa? A może należy zaprzestać współpracy z amerykańskimi podmiotami?

Rozpoczynając omawianie przedmiotowej sprawy, warto nadmienić, że wyrok TSUE w sprawie Schrems II oprócz unieważnienia Tarczy Prywatności dotknął dwóch newralgicznych kwestii. Po pierwsze zaakcentowano, że nieadekwatny stopień ochrony danych osobowych przesyłanych do USA wynika z amerykańskich przepisów, którym podlegają dostawcy usług łączności elektronicznej, a które zobowiązują te podmioty do udostępniania wszelkich danych (w tym osobowych) organom publicznym. Trybunał stanął na stanowisku, że jest to nieakceptowalne z perspektywy standardów europejskich, narzuconych przez przepisy unijne, a w szczególności RODO. Druga nie mniej istotna teza odwołuje się do standardowych klauzul umownych (ang. Standard Contractual Clauses). SCC to zestaw klauzul umownych zatwierdzony przez Komisję Europejską. Zastosowanie ich przez administratora w relacji z podmiotem przetwarzającym (tzw. procesorem) spoza Europejskiego Obszaru Gospodarczego dotychczas dawało solidną podstawę prawną, a równocześnie zabezpieczenie w odniesieniu do transferu danych poza EOG. Wyrok Schrems II wprawdzie nie neguje dalszego wykorzystywania tego instrumentu, ale zaznacza, że nie jest to narzędzie wystarczające, a przekazanie danych osobowych poza EOG wymaga dodatkowych środków, które zapewnią adekwatny poziom bezpieczeństwa danych mieszkańców Unii Europejskiej.

Myślisz, że nie przekazujesz danych do USA? Nic bardziej mylnego!

Choć wyrok Schrems II ogólnie odnosi się do zagadnienia przekazywania danych poza EOG, to najwięcej emocji wzbudza jednak kwestia transferu do Stanów Zjednoczonych. Wielu przedsiębiorców może poczuć się w tej chwili bezpiecznie, myśląc, że przecież nie utrzymuje kontaktów biznesowych z żadną amerykańską firmą. Niestety to poczucie bezpieczeństwa jest zdecydowanie złudne, bowiem znakomita większość podmiotów gospodarczych bez cienia wątpliwości korzysta w swojej działalności z narzędzi dostarczanych przez Google, Microsoft czy Facebook. To z kolei nierozerwalnie wiąże się z przetwarzaniem znacznych ilości danych osobowych klientów (w tym potencjalnych), kontrahentów czy pracowników. Z kolei okoliczność, że przywołani giganci posiadają swoje główne siedziby na terenie USA, jest równoznaczna z tym, że wraz z założeniem firmowego fanpage’a na FB albo użyciem Google Analytics może dochodzić do przekazania danych do USA. Nie bez znaczenia jest również fakt, że rozpatrywana problematyka obejmuje nie tylko dosłowny przesył danych osobowych, ale również sytuację, gdy podmiot z państwa trzeciego ma jedynie dostęp do naszych informacji. Taki stan faktyczny ma miejsce, m.in. względem popularnych usług chmurowych.

I co teraz?

Pokłosiem wyroku w sprawie Schrems II i wywołanej nim powszechnej dezorientacji środowiska jest szereg opinii i zaleceń wydanych przez organy nadzorcze państw europejskich. I choć akurat Prezes Urzędu Ochrony Danych Osobowych na razie milczy na ten temat, to warto zwrócić uwagę na charakter wypowiedzi Niemców czy Irlandczyków, którzy rekomendują, a nawet nakazują wstrzymanie przesyłu danych poza EOG. Szwajcarzy natomiast – choć nie są prawnie związani rzeczoną decyzją TSUE – w oficjalnym stanowisku stwierdzają, że Tarcza Prywatności nie zapewnia odpowiedniego poziomu ochrony przy przekazywaniu danych osobowych ze Szwajcarii do Stanów Zjednoczonych, zaś oparte na tym instrumencie transfery powinny zostać wstrzymane do momentu wprowadzenia nowego mechanizmu prawnego w tym zakresie.

Pomimo pojawiających się w ostatnim czasie różnorakich propozycji i wskazówek prezentowanych tak przez doktrynę, jak i praktyków, najbardziej oczekiwanym dokumentem ostatnich miesięcy okazały się oficjalne rekomendacje wydane w dniu 10 listopada 2020 r. przez Europejską Radę Ochrony Danych. Dokładny tytuł opracowania EROD to „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”, co doskonale wskazuje jego istotę. Zalecenia to swego rodzaju instrukcja postępowania, kiedy okaże się, że już mamy do czynienia z przekazywaniem danych osobowych poza EOG bądź taki transfer planujemy. We wprowadzeniu do poradnika EROD szczególnie akcentuje, że standardowe klauzule umowne „nie są zawieszone w próżni” i powinny stanowić jeden, lecz nie jedyny ze środków bezpieczeństwa. Rada wprawdzie nie podaje gotowego przepisu na to, jakie konkretnie narzędzia zabezpieczające dane są właściwe, jednak wskazuje sześć kroków, dzięki którym każdy administrator będzie mógł indywidualnie ocenić swoje potrzeby w tym zakresie.

Krok po kroku

Pierwszym krokiem, który należy wykonać według EROD, jest analiza i ocena „swojego transferu”. Oznacza to konieczność rozebrania określonej operacji na czynniki pierwsze oraz ustalenia, gdzie dokładnie kierowane są dane, których administratorem jesteśmy, czy ich zakres jest ograniczony i adekwatny do celu, w jakim dane te są przekazywane i przetwarzane w państwie trzecim oraz przede wszystkim, czy jesteśmy w stanie zapewnić im odpowiedni stopień bezpieczeństwa. Drugi krok polega na weryfikacji instrumentu prawnego, o który opiera się legalność transferu danych osobowych. Katalog tych podstaw przewiduje Rozdział V RODO i enumeratywnie wymienia on m.in. stosowną decyzję Komisji Europejskiej. Krok trzeci to kontrola przepisów bądź praktyk obowiązujących w państwie trzecim oraz to, czy nie rzutują one na efektywność zabezpieczeń stosowanych przy określonym przesyle danych osobowych. Przyczynkiem do powstania tego punktu jest prawodawstwo amerykańskie, na gruncie którego organy publiczne mają dostęp nie tylko do danych powstałych w USA, ale także do tych mających źródło w innych krajach, w tym w Europie. Stosownie do treści zaleceń jest to okoliczność, której stanowczo nie można zaaprobować, a ocena prawa lokalnego, docelowego miejsca transferu musi być pod tym kątem wnikliwie przeprowadzona oraz udokumentowana. Krok czwarty skupia się na identyfikacji i przyjęciu stosownych środków uzupełniających w przypadku, gdy krok poprzedni wykaże ryzyka wynikające z badanych przepisów prawa. Z kolei krok piąty dotyczy formalnych działań z tym związanych. Jako przykładowe środki przywołane jest przede wszystkim szyfrowanie (z kluczem deszyfrującym znajdującym się po stronie administratora) oraz anonimizacja przekazywanych danych. Może jednak okazać się, że w pewnych okolicznościach żadne z tych środków nie będą stosowne. Wówczas EROD zaleca zawieszenie lub powstrzymanie się od transferu. W ostatnim kroku znajdziemy rekomendację ciągłego nadzoru nad transferem danych do państw trzecich oraz jego sukcesywnej oceny, która może zmieniać się ze względu na zmianę stanu faktycznego bądź prawnego.

Świat po Schremsie

Choć wypada docenić aktywność EROD, to należy jednocześnie stwierdzić, że nie wnoszą one wiele nowego do obecnego stanu prawnego, na dobrą sprawę przywołując wszystko to, co już wiemy. Mimo to z pewnością będą one przydatnym drogowskazem w oczekiwaniu na ruch Komisji Europejskiej, która ma moc wykreowania nowego instrumentu, zastępującego Tarczę Prywatności, gorączkowo wypatrywanego przez całą Europę.

Autor: radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.

 

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Informacje z dnia: 20 stycznia

Medium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Transport

W czasie pandemii Polacy zaczęli korzystać z carsharingu na dłuższe dystanse. Na krótkoterminowy wynajem aut stawia też coraz więcej firm

W czasie kolejnych lockdownów mobilność Polaków była mniejsza, ale z drugiej strony własny samochód stał się jedynym pewnym i bezpiecznym środkiem transportu. Za zmianami wynikającymi z obostrzeń pandemicznych szybko nadążyły też firmy carsharingowe, które wprowadziły do oferty usługę dezynfekcji pojazdu, tak żeby ich użytkowanie było bezpieczne dla zdrowia. Po chwilowym zahamowaniu popytu w ubiegłym roku w kolejnych miesiącach klienci chętniej sięgali po auta na minuty. I to nie tylko na krótkich dystansach, lecz również na dłuższe podróże. – Musieliśmy rozszerzyć naszą ofertę o pakiety dobowe czy tygodniowe i weszliśmy do 100 kolejnych miast – mówi Maciej Panek z PANEK Carsharing. Wynajem aut na minuty – zamiast własnej floty – rozważa też coraz więcej firm.

Ochrona środowiska

Do końca czerwca Krajowy Plan Odbudowy powinien uzyskać zgodę Komisji Europejskiej. Polska liczy na pierwsze środki już w wakacje

W drugiej połowie tego roku krajową gospodarkę powinny realnie wesprzeć środki przewidziane na realizację Krajowego Planu Odbudowy. Projekt tego dokumentu kilka dni temu trafił do konsultacji. Jego głównymi celami mają być m.in. wzmocnienie konkurencyjności i odbudowa polskiej gospodarki po pandemii, wsparcie ochrony zdrowia i zielonej transformacji. Do rozdysponowania będzie prawie 60 mld euro. – W najbliższych miesiącach będziemy obserwowali boom gospodarczy i rozwojowy, o ile uporamy się z pandemią – mówi wiceminister Waldemar Buda. 

Prawo

W kwietniu możliwe duże zmiany w ubezpieczeniach społecznych. Rząd pracuje nad ustawą, która ma usprawnić rozliczenia płatników z ZUS-em

1 kwietnia 2021 roku ma wejść w życie nowelizacja ustawy o systemie ubezpieczeń społecznych, nad którą pracuje Ministerstwo Rodziny i Polityki Społecznej. Zgodnie z założeniami projekt ma uporządkować system ubezpieczeń społecznych, wprowadzić jednolite rozwiązania w zakresie przyznawania i wypłaty świadczeń oraz usprawnić rozliczanie płatników z ZUS-em. Część rozwiązań budzi jednak wątpliwości. – Skrócenie do roku możliwości samodzielnego złożenia korekt informacji ZUS IWA, czyli dokumentów, na podstawie których ZUS ustala wysokość składki wypadkowej dla płatnika, zaburza równowagę między przedsiębiorcą a urzędem – komentują eksperci Inventage.

Problemy społeczne

Efektem pandemii może być fala samobójstw wśród nastolatków. Prawie 40 proc. zmaga się z objawami depresji, a co piąty z nich ma myśli samobójcze

Polska jeszcze przed pandemią COVID-19 była w niechlubnej czołówce państw z najwyższym odsetkiem samobójstw wśród dzieci i młodzieży. W 2019 roku w grupie wiekowej 13–18 lat odnotowano blisko tysiąc prób samobójczych. W ubiegłym roku było ich nieco mniej, ale specjaliści od zdrowia psychicznego obawiają się, że długotrwałym skutkiem pandemii może być fala samobójstw wśród nastolatków. – W grupie nastolatków z objawami depresji, potrzebującej natychmiastowej pomocy psychologa i psychiatry, ok. 18 proc. zmaga się z myślami samobójczymi – alarmuje psycholog dr Beata Rajba. – Nie oznacza to, że te nastolatki popełnią samobójstwo, ale że są w grupie wysokiego ryzyka i potrzebują natychmiastowej pomocy – dodaje.