Co to jest wyrok Schrems II?

Transfer danych do USA przed wydaniem wyroku TSUE Schrems II odbywał się na ramach tzw. Tarczy Prywatności (Privacy Shield) czyli decyzji Komisji Europejskiej z 12 lipca 2016r. która zezwalała na przekazywanie danych firmom z USA należącym do Tarczy. Firmy należące do Tarczy zobowiązane były do przetwarzania danych z zachowaniem ściśle określonych zasad. Oznaczało to, że przekazywanie danych osobowych do takich podmiotów było możliwe bez konieczności stosowania innych mechanizmów pozwalających na zapewnienie należytej ochrony. Program Privacy Shield zastąpił swojego poprzednika czyli program Safe Harbour, który został uchylony w październiku 2015r. 

Przedstawiony problem wynika ze skargi Maximilliana Schremsa, który wskazywał, że podczas korzystania w Europie z Facebooka, jego dane zbierane przez oddział platformy w Irlandii trafiają tak czy inaczej na serwery w USA co w jego ocenie, z uwagi na uprawnienia służb amerykańskich, nie zapewnia wystarczającej ochrony przed dostępem do jego danych.  Amerykańskie przepisy nie zapewniają ochrony danych osobowych przed działaniami agencji bezpieczeństwa a TSUE wskazał, że amerykańskie przepisy dotyczące nadzoru są sprzeczne z podstawowymi prawami Unii.

Rozstrzychnięcie Schrems II ma olbrzymie znaczenia nie tylko na ochrone danych osobowych ale ma wymiar także, i może przede wszystkim, gospodarczy i polityczny. 

Dlaczego wyrok Schrems II jest taki ważny?

Bezsprzecznie rozstrzygnięcie to nie jest powodem do ograniczenia transferu danych ale jest w swojej istocie reakcją na amerykańskie przepisy w zakresie inwigilacji na które osoby, których dane dotyczą nie mają żandego wpływu. 

TSUE, po pierwsze stwierdził nieważność Tarczy Prywatności (Privacy Shiel) uniemożliwiającej przekazywanie danych z UE do USA, a po drugie, że administratorzy nie mohą po prostu oprzeć transferu danych osobowych z EU do USA na standardowych klauzulach umownych (SKU) bez uprzedniego sprawdzenia, czy mogą one być przestrzegane w praktyce.  

W związku z tym, że tarcza Privacy Shield została unieważniona administratorzy muszą oprzeć transfer danych do USA na innej podstawie prawnej. Rozwiązaniem takim mogą być oczywiście SKU zatwierdzone przez KOmisjce Europejską. Podkreślić trzeba, że TSUE nie unieważnił decyzji Komisji Europejskiej 2010/87/UE z 5 lutego 2010r. w sprawie standardowych klauzul umownych, a jedynie, co podnosiłem wyżej, nakazał badanie ustawodastwa kraju transferu. Postawienie tego typu warunków przed administratorami wydaje się być warunkiem nie do spełnienia. Co więcej, samo uzasadnienie wyroku Schrems II (sprawa C311/18) wskazuje, że prawo Stanów Zjednoczonych nie zapewnia nalezytej ochrony. 

Kolejnym warunkiem dopuszczalności korzystania z SKU jest przyjęcie przez strony dodatkowych zabezpieczeń, gdyż co godne podkreślenia, samo TSUE zauważa, że SKU nie wiąże organów władzy publicznej państwa trzecich. W przypadku nie przyjęcie przez unijnych eksporterów dodatkowych zabezpieczeń powinni oni zawiesić lub zakończyć przekazywanie danych osobowych do USA.  

W odpowiedzi na zamieszanie i ryzyko jakie przyniosło rozstrzygnięcie C311/18, Europejska Rada Ochrony Danych Osobowych przygotowała "Frequently Asked Questions on the jugment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireand Ltd and Maximillian Schrems" z 23 lipca 2020r.  Opracowanie to wyjaśnia kwestie dotyczące korzystania z SKU, wiążących reguł korporacyjnych w kontekście art. 49 RODO. 

Duże podmioty takie jak Google, czy Microsoft poinformowały, że dokonały aktualizacji swoich polityk ochrony danych osobowych, i co do zasady klienci korzystający komercyjnie z tych usług są zapewniani, że przetwarzanie danych jest zgodne z prawem. !0 listopda 2020r. EROD wydała rekomendacje dotyczące tego jak upewnić się, że kontrahent jest w stanie zapeanić odpowiedni poziom ochrony danych osobowych. Z rekomendacjami EROD możemy zapoznac się tutaj.

Skutki Schrems II najbardziej oddczują przedsiębiorcy korzystający z usług chmurowych i e-mailowych amerykańskich dostawców, którzy muszą dostosować swoje transfery do nowych okoliczności. 

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

Przetwarzanie danych osobowych w ramach Zakładowego Funduszu Świadczeń Socjalnych (dalej: fundusz) wymaga szczególnej uwagi  administratorów. Wynika to z jednej strony z tego, że w ramach Funduszu przetwarzane mogą być dane szczególnych kategorii, o których mowa w art. 9 RODO, a poza tym, ustawa z dnia 4 marca 1994r. o zakładowym funduszu świadczeń socjalnych zawiera przepisy szczególne dotyczące przetwarzania danych osobowych na potrzeby udzielania świadczeń z funduszu. 

CZYTAJ DALEJ

Pracodawca ma prawo żądać i zbierać informacje o pobycie pracowników za granicą w stanie epidemii SARS-CoV-2 - tak prawomocnie wskazał Sąd Okręgowy w Olsztynie w wyroku z 29 stycznia 2021r. sygn. akt. IV Pa 79/20. To ciekawe orzeczenie zapadło w okolicznościach sprawy, w której pracownik został zwolniony w trybie dyscyplinarnym ze względu na zatajenie przed pracodawcą tego, że odbył podróż zagraniczną w okresie epidamii. 

CZYTAJ DALEJ

Spora grupa administratorów zwykła przerzucać na Inspektora Ochrony Danych zadania, których on nie powienien wykonywać.

Jakie zadania ma zatem IOD?

Odpowiedź na to pytania znajdziemy bezpośrednio w RODO, w szczególności w art. 38 i 39 RODO. Trzeba w tym miejscu dodać, że aby dobrze zrozumiec jaką rolę pełni Inspektor Ochrony Danych trzeba nie tylko zapoznac się z art. 38 i art. 39 RODO ale także spojrzeć na sekcję 4 RODO odnoszącą się do Inspektora Ochrony Danych (art. 37 - 39). Ponadto niektóre inne zadania i obowiązki IOD umieszczono w innych artykułach RODO, jak choćby art. 35, który kreuje funkcję konsultacyjną IOD dla administratora w zakresie sporządzania oceny skutów dla ochrony danych. 

 

CZYTAJ DALEJ