16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotny wyrok, który wymusza zmianę dotychczasowych zasad transferu danych osobowych poza Europejski Obszar Gospodarczy, a w szczególności do Stanów Zjednoczonych.
Wyrok ma istotne znaczenie dla szerokiego grona administratorów danych osobowych, w szczególności dla podmiotów korzystających z narzędzi takich jak Google Analytics, Pixel Facebooka, czy też z usług świadczonych drogą elektroniczną opartych o przetwarzanie danych w chmurze, których dostawca przekazuje dane osobowe poza Europejski Obszar Gospodarczy (m.in. Apple iCloud, Dysk Google, Microsoft OneDrive).
TSUE stwierdził, że prawo amerykańskie (tj. art. 702 FISA i rozporządzenie wykonawcze 12333) nie zapewnia merytorycznie równoważnego stopnia ochrony danych osobowych z prawem obowiązującym na terenie Europejskiego Obszaru Gospodarczego.
Oznacza to, że transfer danych osobowych do Stanów Zjednoczonych zwykle wymagać będzie wprowadzenia tzw. „środków uzupełniających” w celu zapewnienia, że prawo Stanów Zjednoczonych nie będzie mieć negatywnego wpływu na ochronę przekazanych danych osobowych.
CO WYNIKA Z WYROKU TSUE?
Privacy Shield (Tarcza Prywatności) została uznana za nieważną i nie może dłużej stanowić podstawy prawnej transferu danych osobowych do Stanów Zjednoczonych.
Standardowe Klauzule Umowne (SCC) są ważną podstawą prawną transferu danych osobowych poza Europejski Obszar Gospodarczy, o ile istnieją skuteczne mechanizmy umożliwiające zapewnienie zgodności ze stopniem ochrony danych osobowych merytorycznie równoważnym temu gwarantowanemu w Unii Europejskiej przez RODO.
Prawo amerykańskie (tj. art. 702 FISA i rozporządzenie wykonawcze 12333) nie zapewnia merytorycznie równoważnego stopnia ochrony danych osobowych z prawem obowiązującym na terenie Europejskiego Obszaru Gospodarczego.
CO PAŃSTWA ORGANIZACJA POWINNA ZROBIĆ?
- zweryfikować czy w ramach Państwa organizacji dochodzi do transferu danych osobowych poza Europejski Obszar Gospodarczy;
- zweryfikować czy transfer jest niezbędny;
- zweryfikować podstawę prawną transferu;
- znaleźć inną podstawę prawną transferu jeżeli podstawą prawną transferu była Tarcza Prywatności (Privacy Shield);
- jeżeli podstawą prawną transferu są Standardowe Klauzule Umowne (SCC) lub Wiążące Reguły Korporacyjne (BRC) – ocenić czy w państwie trzecim przestrzegany jest stopień ochrony danych osobowych wymagany przez RODO;
- jeżeli z oceny wynika, że państwo trzecie nie zapewnia stopnia ochrony danych osobowych wymaganego przez RODO – ocenić możliwość wprowadzenia środków uzupełniających w celu zapewnienia merytorycznie równoważnego stopnia ochrony danych osobowych;
- w innych przypadkach należy rozważyć zastosowanie wyjątków z art. 49 RODO lub zaprzestać transferu.
Daniel Trędkiewicz
Aplikant radcowski
da****************@fo******.pl