Przegląd mediów

styczeń 2021

Przekazywanie danych do USA po wyroku Schrems II – czy musimy rezygnować z usług Microsoftu, Google’

2021-01-20  |  11:40
Przegląd mediów

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, który sprawił, że cały europejski świat ochrony danych osobowych (i nie tylko) zatrząsł się w posadach. Zgodnie z sentencją wyroku w sprawie Schrems II straciła ważność tzw. Tarcza Prywatności, czyli decyzja Komisji Europejskiej stwierdzająca, że Stany Zjednoczone zapewniają właściwy poziom ochrony danych osobowych przekazywanych z Europy, a unijni przedsiębiorcy korzystający z usług amerykańskich dostawców, jak i same podmioty danych mogą spać spokojnie. Wraz z publikacją wyroku TSUE pozbawił przywołanej podstawy dziesiątek, jeśli nie setek, a nawet tysięcy administratorów danych osobowych, powodując, że przekazywanie niezliczonych ilości danych w tym momencie stało się bezprawne. Co teraz? Czy istnieje alternatywa? A może należy zaprzestać współpracy z amerykańskimi podmiotami?

Rozpoczynając omawianie przedmiotowej sprawy, warto nadmienić, że wyrok TSUE w sprawie Schrems II oprócz unieważnienia Tarczy Prywatności dotknął dwóch newralgicznych kwestii. Po pierwsze zaakcentowano, że nieadekwatny stopień ochrony danych osobowych przesyłanych do USA wynika z amerykańskich przepisów, którym podlegają dostawcy usług łączności elektronicznej, a które zobowiązują te podmioty do udostępniania wszelkich danych (w tym osobowych) organom publicznym. Trybunał stanął na stanowisku, że jest to nieakceptowalne z perspektywy standardów europejskich, narzuconych przez przepisy unijne, a w szczególności RODO. Druga nie mniej istotna teza odwołuje się do standardowych klauzul umownych (ang. Standard Contractual Clauses). SCC to zestaw klauzul umownych zatwierdzony przez Komisję Europejską. Zastosowanie ich przez administratora w relacji z podmiotem przetwarzającym (tzw. procesorem) spoza Europejskiego Obszaru Gospodarczego dotychczas dawało solidną podstawę prawną, a równocześnie zabezpieczenie w odniesieniu do transferu danych poza EOG. Wyrok Schrems II wprawdzie nie neguje dalszego wykorzystywania tego instrumentu, ale zaznacza, że nie jest to narzędzie wystarczające, a przekazanie danych osobowych poza EOG wymaga dodatkowych środków, które zapewnią adekwatny poziom bezpieczeństwa danych mieszkańców Unii Europejskiej.

Myślisz, że nie przekazujesz danych do USA? Nic bardziej mylnego!

Choć wyrok Schrems II ogólnie odnosi się do zagadnienia przekazywania danych poza EOG, to najwięcej emocji wzbudza jednak kwestia transferu do Stanów Zjednoczonych. Wielu przedsiębiorców może poczuć się w tej chwili bezpiecznie, myśląc, że przecież nie utrzymuje kontaktów biznesowych z żadną amerykańską firmą. Niestety to poczucie bezpieczeństwa jest zdecydowanie złudne, bowiem znakomita większość podmiotów gospodarczych bez cienia wątpliwości korzysta w swojej działalności z narzędzi dostarczanych przez Google, Microsoft czy Facebook. To z kolei nierozerwalnie wiąże się z przetwarzaniem znacznych ilości danych osobowych klientów (w tym potencjalnych), kontrahentów czy pracowników. Z kolei okoliczność, że przywołani giganci posiadają swoje główne siedziby na terenie USA, jest równoznaczna z tym, że wraz z założeniem firmowego fanpage’a na FB albo użyciem Google Analytics może dochodzić do przekazania danych do USA. Nie bez znaczenia jest również fakt, że rozpatrywana problematyka obejmuje nie tylko dosłowny przesył danych osobowych, ale również sytuację, gdy podmiot z państwa trzeciego ma jedynie dostęp do naszych informacji. Taki stan faktyczny ma miejsce, m.in. względem popularnych usług chmurowych.

I co teraz?

Pokłosiem wyroku w sprawie Schrems II i wywołanej nim powszechnej dezorientacji środowiska jest szereg opinii i zaleceń wydanych przez organy nadzorcze państw europejskich. I choć akurat Prezes Urzędu Ochrony Danych Osobowych na razie milczy na ten temat, to warto zwrócić uwagę na charakter wypowiedzi Niemców czy Irlandczyków, którzy rekomendują, a nawet nakazują wstrzymanie przesyłu danych poza EOG. Szwajcarzy natomiast – choć nie są prawnie związani rzeczoną decyzją TSUE – w oficjalnym stanowisku stwierdzają, że Tarcza Prywatności nie zapewnia odpowiedniego poziomu ochrony przy przekazywaniu danych osobowych ze Szwajcarii do Stanów Zjednoczonych, zaś oparte na tym instrumencie transfery powinny zostać wstrzymane do momentu wprowadzenia nowego mechanizmu prawnego w tym zakresie.

Pomimo pojawiających się w ostatnim czasie różnorakich propozycji i wskazówek prezentowanych tak przez doktrynę, jak i praktyków, najbardziej oczekiwanym dokumentem ostatnich miesięcy okazały się oficjalne rekomendacje wydane w dniu 10 listopada 2020 r. przez Europejską Radę Ochrony Danych. Dokładny tytuł opracowania EROD to „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”, co doskonale wskazuje jego istotę. Zalecenia to swego rodzaju instrukcja postępowania, kiedy okaże się, że już mamy do czynienia z przekazywaniem danych osobowych poza EOG bądź taki transfer planujemy. We wprowadzeniu do poradnika EROD szczególnie akcentuje, że standardowe klauzule umowne „nie są zawieszone w próżni” i powinny stanowić jeden, lecz nie jedyny ze środków bezpieczeństwa. Rada wprawdzie nie podaje gotowego przepisu na to, jakie konkretnie narzędzia zabezpieczające dane są właściwe, jednak wskazuje sześć kroków, dzięki którym każdy administrator będzie mógł indywidualnie ocenić swoje potrzeby w tym zakresie.

Krok po kroku

Pierwszym krokiem, który należy wykonać według EROD, jest analiza i ocena „swojego transferu”. Oznacza to konieczność rozebrania określonej operacji na czynniki pierwsze oraz ustalenia, gdzie dokładnie kierowane są dane, których administratorem jesteśmy, czy ich zakres jest ograniczony i adekwatny do celu, w jakim dane te są przekazywane i przetwarzane w państwie trzecim oraz przede wszystkim, czy jesteśmy w stanie zapewnić im odpowiedni stopień bezpieczeństwa. Drugi krok polega na weryfikacji instrumentu prawnego, o który opiera się legalność transferu danych osobowych. Katalog tych podstaw przewiduje Rozdział V RODO i enumeratywnie wymienia on m.in. stosowną decyzję Komisji Europejskiej. Krok trzeci to kontrola przepisów bądź praktyk obowiązujących w państwie trzecim oraz to, czy nie rzutują one na efektywność zabezpieczeń stosowanych przy określonym przesyle danych osobowych. Przyczynkiem do powstania tego punktu jest prawodawstwo amerykańskie, na gruncie którego organy publiczne mają dostęp nie tylko do danych powstałych w USA, ale także do tych mających źródło w innych krajach, w tym w Europie. Stosownie do treści zaleceń jest to okoliczność, której stanowczo nie można zaaprobować, a ocena prawa lokalnego, docelowego miejsca transferu musi być pod tym kątem wnikliwie przeprowadzona oraz udokumentowana. Krok czwarty skupia się na identyfikacji i przyjęciu stosownych środków uzupełniających w przypadku, gdy krok poprzedni wykaże ryzyka wynikające z badanych przepisów prawa. Z kolei krok piąty dotyczy formalnych działań z tym związanych. Jako przykładowe środki przywołane jest przede wszystkim szyfrowanie (z kluczem deszyfrującym znajdującym się po stronie administratora) oraz anonimizacja przekazywanych danych. Może jednak okazać się, że w pewnych okolicznościach żadne z tych środków nie będą stosowne. Wówczas EROD zaleca zawieszenie lub powstrzymanie się od transferu. W ostatnim kroku znajdziemy rekomendację ciągłego nadzoru nad transferem danych do państw trzecich oraz jego sukcesywnej oceny, która może zmieniać się ze względu na zmianę stanu faktycznego bądź prawnego.

Świat po Schremsie

Choć wypada docenić aktywność EROD, to należy jednocześnie stwierdzić, że nie wnoszą one wiele nowego do obecnego stanu prawnego, na dobrą sprawę przywołując wszystko to, co już wiemy. Mimo to z pewnością będą one przydatnym drogowskazem w oczekiwaniu na ruch Komisji Europejskiej, która ma moc wykreowania nowego instrumentu, zastępującego Tarczę Prywatności, gorączkowo wypatrywanego przez całą Europę.

Autor: radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.

 

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Informacje z dnia: 20 stycznia

Medium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Finanse

Podkarpacka Dolina Lotnicza przygotowuje się do mocnego odbicia po kryzysie. Firmy notują wzrost zamówień i chcą wrócić do stanu zatrudnienia sprzed pandemii

W wyniku pandemii i zatrzymania globalnego ruchu lotniczego firmy z podkarpackiego klastra Dolina Lotnicza straciły około 35 proc. wartości sprzedaży, co pociągnęło za sobą zwolnienia w sumie 2 tys. pracowników. Rok 2021 ma być okresem wychodzenia z kryzysu, odzyskiwania pracowników i powrotu do normalnego funkcjonowania. – Prognozujemy 15-proc. wzrost w tym roku, a pod koniec przyszłego powinniśmy wracać do poziomów sprzed pandemii – przewiduje Marek Darecki, prezes zarządu Doliny Lotniczej. Po pandemii firmy branży lotniczej chcą być bardziej nowoczesne i korzystać z zalet pracy zdalnej.

Handel

Koronakryzys przekonał konsumentów do bardziej odpowiedzialnej konsumpcji. Na znaczeniu będzie zyskiwać gospodarka współdzielenia

Coraz więcej osób decyduje się na dostęp do dóbr i usług na życzenie zamiast posiadania ich na własność. Raport firmy Statista szacuje, że do 2025 roku rynek ekonomii współdzielenia będzie wart 335 mld dol. Jednym z kluczowych obszarów jej zastosowania jest transport, a w ostatnich latach współdzielona mobilność to jeden z najszybciej rosnących trendów zarówno w Polsce, jak i całej Europie. Jarosław Wojtas, ekspert Wyższej Szkoły Bankowej w Toruniu, ocenia, że pandemia COVID-19 tylko chwilowo zachwiała rynkiem współdzielonych usług, a koronakryzys dodatkowo przekonał konsumentów do bardziej odpowiedzialnych, zrównoważonych decyzji. Dlatego sharing economy po pandemii powinna dalej zyskiwać na znaczeniu.

Prawo

Rząd pracuje nad nową polityką migracyjną, ale bez konsultacji z przedstawicielami imigrantów. Potrzebnych jest szereg ułatwień, nie tylko administracyjnych

Eksperci są zgodni, że Polska potrzebuje imigrantów zarobkowych. Jednak musi im zapewnić takie warunki prawne i urzędowe, by ułatwić im zarówno wjazd, pobyt, jak i funkcjonowanie na rynku pracy, a także dostęp do usług zdrowotnych czy informacji i pomocy w rodzimym języku. Przedstawiciele migrantów apelują o spójną politykę państwa w tym zakresie i ubolewają, że prace nad polityką migracyjną Polski, które od roku trwają w rządzie, nie są konsultowane ani z organizacjami pozarządowymi reprezentującymi cudzoziemców, ani z pracodawcami.

Zdrowie

Psy i koty nie zagrażają człowiekowi w związku z COVID-19. Jednak szczepienia zwierząt powinny być priorytetem dla UE po zakończeniu pandemii

W Unii Europejskiej rośnie świadomość dotycząca znaczenia regularnych szczepień zwierząt. Taką konieczność uznaje 69 proc. badanych w ośmiu krajach członkowskich – wynika z raportu AnimalhealthEurope. Ma to szczególne znaczenie w przypadku chorób takich jak COVID-19, która dotyka także zwierząt. Nie odnotowano dotąd przypadku przeniesienia choroby ze zwierzaka domowego na człowieka, ale odkryto, że norki mogą przenosić koronawirusa zarówno między sobą, jak i na ludzi. To stwarza także ryzyko kolejnych mutacji wirusa. – Dlatego zależy nam na szybkim wyszczepieniu całej populacji wrażliwych osobników, czy to zwierząt, czy to ludzi – mówi Artur Zalewski, lekarz weterynarii, dyrektor biura zarządu Polskiego Stowarzyszenia Producentów i Importerów Leków Weterynaryjnych POLPROWET.