Cieszące się dużą popularnością wszelkiego rodzaju narzędzia dotyczące analizy wyników sprzedaży, działań marketingowych, zachowania Twoich klientów lub potencjalnych klientów na Twojej stronie internetowej czy w e-sklepie najczęściej należą do największy graczy na rynku, którzy przekazują pozyskane w trakcie świadczenia usług dane osobowe w różne rejony świata poza Europejski Obszar Gospodarczy (EOG), a najczęściej do USA.

Czym są dane osobowe?

Danymi osobowymi nie są tylko imię i nazwisko, ale także mogą nimi być adres IP i pliki cookies, zatem pozyskując te dane od użytkowników Twojej strony czy klientów przetwarzasz dane osobowe i być może przekazujesz je do państw poza EOG.

Jeśli tak jest, to wydane w dniu 16.07.2020 r. przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzeczenie ws. Privacy Shield (C-311/18: „Schrems II”) dotyczące transferu danych osobowych do państwa trzeciego, czyli poza EOG, w tym w szczególności dotyczy to USA, dotyczy także Ciebie. Po wydaniu tego orzeczenia, do którego Polska jako państwo członkowskie UE powinna zastosować się, wątpliwa stała się możliwość kontynuowania korzystanie z określonych usług, w związku z którymi dochodzi do przekazywania danych do USA.

Możliwości transferu danych poza EOG

Zaczynając od początku należy wskazać, jakie istnieją możliwości przekazywania danych osobowych do państwa trzeciego.

Transfer danych poza EOG uzależniony jest od spełnienia określonych warunków wskazanych w rozdziale V rozporządzenia (RODO). Istnieją 3 podstawy, w oparciu o które administrator danych może przekazywać dane osobowe poza EOG:

1. decyzja Komisji Europejskiej  (KE) (art. 45 RODO) stwierdzająca, że dane państwo zapewnia odpowiedni stopień ochrony, przekazanie danych w oparciu o taką decyzję nie wymaga specjalnego zezwolenia

2. razie braku decyzji KE administrator może przekazać dane osobowe poza EOG wyłącznie, gdy dane państwo zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

Zapewnienie odpowiednich zabezpieczeń możliwe jest za pomocą np. standardowych klauzul ochrony danych przyjętych przez KE na podstawie decyzji w sprawie klauzul standardowych (SCC). Decyzje te dostępne są pod linkami:

3. W przypadku braku decyzji KE (pkt 1) oraz odpowiednich zabezpieczeń (pkt 2), transfer zostać oparty jedynie o konkretne przesłanki, takie jak m.in.:

    • zgodę osoby, której dane mają być przetwarzane;
    • konieczność wykonania umowy zawartej pomiędzy podmiotem danych a administratorem;
    • zawarcie lub wykonanie umowy zawartej w interesie podmiotu danych;
    • niezbędność transferu danych ze względu na ważne interesy publiczne.

Szczegółowy katalog został określony w art. 49 RODO.

Google i Facebook to podmioty przekazujące dane poza EOG zgodnie z regulaminami świadczonych przez nie usług, w związku z wymianą informacją w ramach wewnętrznych struktur. Najczęściej dane osobowe przekazywane są do USA ale mogą być przekazywane również do innych państw spoza obszaru EOG. Ponadto, wszystkie podmioty, z których usług korzystasz, a mają swoje siedziby w USA będą dokonywać tam transferu danych osobowych. Dokonując weryfikacji, czy dany podmiot przekazuje dane poza EOG zapoznaj się dokładnie z jego polityką prywatności i regulaminem świadczonych usług.

Do momentu wydania wyroku TUSE w sprawie C-311/18, czyli do dnia 16 lipca 2020 r. przekazywanie danych osobowych do USA odbywało się na podstawie decyzji Komisji Europejskiej, tzw. Tarczy prywatności.

Tarcza prywatności (privacy shield)

Decyzja Komisji Europejskiej nr 2016/1250 (wydana na podstawie art. 45 RODO) dotycząca Tarczy Prywatności UE-US (tzw. privacy shield) została przyjęta 12 lipca 2016 r. a jej zasady zaczęły funkcjonować z dniem 1 sierpnia 2016 r. Tarcza Prywatności jest mechanizmem samocertyfikowania dla przedsiębiorstw zlokalizowanych w Stanach Zjednoczonych. Tarcza Prywatności polega na zobowiązaniu amerykańskich przedsiębiorstw do przestrzegania zasad, reguł i obowiązków określonych w ramach Tarczy Prywatności, dzięki czemu Tarcza Prywatności miała zapewniać ochronę obywatelom UE, a także jasność prawa przedsiębiorstwom. Listę podmiotów spełniających wymogi Tarczy Prywatności można znaleźć na stronie https://www.privacyshield.gov/list. Certyfikacja podlegała odnowieniu po okresie roku.

 

Wyrok w sprawie Schrems II

Jednakże w wyroku z dnia 16 lipca 2020 r. o sygnaturze C-311/18 Trybunał Sprawiedliwości Unii Europejskiej (TSUE) stwierdził, że:

  1. Tarcza Prywatności nie zapewnia odpowiedniej ochrony danych osobowych w państwie trzecim, o której mowa w art. 45 ust. 2 RODO.  Zdaniem Trybunału w decyzji dotyczącej Tarczy Prywatności doszło do naruszenia przepisów Karty Praw Podstawowych Unii Europejskiej i tym sam Trybunał unieważnił decyzję Komisji Europejskiej, co oznacza że od 16 lipca 2020 r. decyzja ta nie może stanowić podstawy transferu danych do USA;
  2. decyzja KE nr 2010/87 zatwierdzająca standardowe klauzule umowne jako instrument transferu danych osobowych w rozumieniu art. 46 RODO jest ważna. Trybunał potwierdził, że klauzule te przewidują skuteczne mechanizmy ochrony danych osobowych. Jednakże samo zawarcie standardowych klauzul umownych z podmiotem z USA nie zapewnia legalności transferu danych osobowych, co oznacza, że administrator powinien dodatkowo je przeanalizować. Administrator nie jest zwolniony z obowiązku sprawdzenia oraz oceny, czy w danym państwie trzecim poziom ochrony jest odpowiedni. Administrator powinien każdorazowo ocenić poziom ochrony praw i wolności, a w przypadku gdy nie jest on odpowiedni – powinien zaprzestać przesyłanie danych do danego państwa.

Powyższe oznacza, że jedynym bezpiecznym i pewnym rozwiązaniem, w przypadku dalszej chęci korzystania z usług lub narzędzi firm, które przekazuje dane Twoich klientów lub użytkowników do USA jest wyrażona zgoda przez osobę, której dane dotyczą.

Zgoda, czyli …

Pamiętaj, że zgoda musi być wyraźna, a także dobrowolna, konkretna i świadoma. Zgoda nie może zostać wyrażona w sposób domyślny. Treść zgody powinna wskazywać administratora danych, odbiorcę za granicą, państwa, do których trafią dane, cel ich transferu, jego zakres oraz kategorie danych, jakich ona dotyczy. Zgoda powinna być uzyskana przez administratora przed przystąpieniem do operacji transferu danych. Późniejsze wystąpienie o zgodę i uzyskanie jej nie legalizuje wcześniejszego przekazania danych, chyba że administrator wykaże, że w chwili dokonywania transferu miała zastosowanie inna podstawa przekazania danych.

Twój użytkownik lub klient, czyli osoba, której dane dotyczą, przed wyrażeniem zgody musi zostać poinformowana o ewentualnym ryzyku związanym z brakiem decyzji stwierdzającej odpowiedni stopień ochrony oraz związanym z brakiem odpowiednich zabezpieczeń.

Obowiązek informacyjny powinien być wykonany zgodnie z zasadami wskazanymi w art. 12 RODO, czyli zawierać wszystkie wymagane informacje jak przy standardowym obowiązku informacyjnym dotyczącym przekazywania danych w obrębie EOG.

Co robić?

Jeżeli nie chcesz uzyskiwać zgód od Twoich kontrahentów i klientów na przekazywanie danych do USA, ani informować ich, że USA nie zostały uznane decyzją Komisji Europejskiej za państwo zapewniające odpowiedni stopień ochrony ich danych osobowych, oraz że nie zapewniasz odpowiednich zabezpieczeń określonych w art. 46 RODO, a także, że w związku brakiem odpowiednich zabezpieczeń istnieje ryzyko niedostatecznej ochrony danych Twoich klientów zrezygnuj z dostawców rozwiązań dla Twojego przedsiębiorstwa, którzy przekazują dane poza EOG.

Wniesione zostały już skargi do wielu europejskich organów zajmujących się ochroną danych osobowych, w tym do Prezesa Urzędu Ochrony Danych Osobowych. Szczegóły dotyczące skarg i stawionych w nich zarzutów znajdziesz pod linkiem EU-US Transfers Complaint Overview.

 

Jeśli chcesz bezpiecznie przetwarzać dane osobowe swoich klientów i użytkowników swoich aplikacji i serwisów możesz skorzystać z pakietu wzorów dokumentów RODO, który zawiera pełen zestaw dokumentów niezbędnych i pomocnych do wypełnienia obowiązków ciążących na administratorze danych osobowych.

Jeżeli nie masz pewności czy przetwarzasz dane osobowe zgodnie z przepisami albo czy nie przekazujesz danych poza EOG bez odpowiedniej postawy do dokonywania transferu skorzystaj z e-porady dostępnej w sklepie albo skontaktuj się z nami za pomocą formularza kontaktowego.

Photo by William Iven on Unsplash
Udostępnij