Transfery danych osobowych do państw spoza EOG – nowe zasady

Na podstawie wyroku z dnia 16 lipca br. (sygn. sprawy C-311/18), dalej „Wyrok”, Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) unieważnił Tarczę Prywatności, tj. decyzję wykonawczą Komisji Europejskiej nr 2016/1250 uznającą, że przepisy obowiązujące w Stanach Zjednoczonych (USA) zapewniają odpowiedni stopień ochrony danych osobowych. W uproszczeniu, w Wyroku TSUE stwierdził, że Tarcza Prywatności nie zapewnia odpowiedniej ochrony danych osobowych, ponieważ organy publiczne USA (w szczególności organy wywiadowcze) są uprawnione do dostępu do danych osobowych obywateli spoza USA. Warto wskazać, że jak dotychczas, Tarcza Prywatności stanowiła główną podstawę prawną umożliwiającą przekazywanie danych osobowych do USA, zgodną z wymogami Rozporządzenia Ogólnego o ochronie Danych Osobowych nr 2016/679 („RODO”).

Wyrok ma doniosłe znaczenie dla znacznej części polskich przedsiębiorców / grup kapitałowych, transferujących dane do USA. W praktyce takie transfery odbywają się często:

  • w dużych grupach kapitałowych, posiadających globalne sieci informatyczne pozwalające pracownikom spółki z siedzibą w USA na dostęp do danych pracowników spółek z siedzibą w EOG lub w ramach których usługi IT na rzecz spółek z grupy są świadczone przez spółkę z USA;
  • w związku z przechowywaniem danych w infrastrukturze chmurowej (które to usługi są często oferowane przez podmioty z USA);
  • w związku z używaniem w ramach serwisów internetowych, narzędzia analitycznego „Google Analytics”, co ze względu na siedzibę Google (w USA), może wiązać się z transferem danych, zbieranych przy pomocy cookies, do USA.

Wydanie Wyroku oznacza, że firmy transferujące dane osobowe do USA powinny możliwie jak najszybciej zastanowić się nad celowością dalszego transferu lub nad wypracowaniem innej, zgodnej z RODO, podstawy prawnej przekazywania danych do USA. Za taką podstawę dotychczas uznawane były tzw. standardowe klauzule umowne, wydane na podstawie decyzji Komisji Europejskiej nr 2010/87. W świetle Wyroku, ze względu na wspomniane powyżej szerokie uprawnienia organów wywiadowczych USA, ww. klauzule nie są jednak wystarczającym środkiem zapewniającym bezpieczeństwo danych osobowych osób z obszaru EOG w przypadku przekazywania ich danych do USA. W ocenie TSUE, standardowe klauzule umowne co prawda mogą zabezpieczać prawa osób fizycznych przed ingerencją podmiotów prywatnych, natomiast na ich podstawie nie można wykluczyć ani zapobiec dostępowi ze strony organów publicznych USA. Stąd, w przypadku podmiotów zamierzających rozpocząć lub kontynuować transfery do USA istnieje konieczność wypracowania mechanizmów redukujących ryzyka zakwestionowania przyjętego modelu przekazywania danych osobowych.

Co istotne, z Wyroku wynika również, że standardowe klauzule ochrony danych są niewystarczającym środkiem ochrony danych nie tylko w przypadku ich transferu do USA, lecz również do innych państw spoza EOG, które nie gwarantują ochrony danych na poziomie równoważnym z zapewnionym w państwach EOG. Chodzi w szczególności o państwa, co do których Komisja nie wydała decyzji stwierdzającej odpowiedni stopień ochrony danych, w których organy publiczne mogą uzyskiwać dostęp do danych osób fizycznych.

Jak możemy pomóc?

Kancelaria KPMG D.Dobkowski wspiera swoich Klientów w zakresie m.in.:

  • analiz dotyczących aktualnych i planowanych transferów danych osobowych do państw spoza EOG pod kątem wymogów związanych z ochroną danych osobowych;
  • wypracowania rozwiązań ograniczających ryzyka zakwestionowania stosowanych transferów, w tym poprzez skorzystanie z mechanizmów przewidzianych w RODO;
  • wsparcie w ewentualnej korespondencji i sporach z organami nadzorczymi (w tym UODO).

W przypadku pytań, zachęcamy do kontaktu.