Ochrona danych osobowych w firmie i szkolenia ABI
EU-US Privacy Shield is invalid! O co chodzi? Co dalej?

EU-US Privacy Shield is invalid! O co chodzi? Co dalej?

shredder-71772_640

„Trybunał stwierdził nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA” – tak brzmi bardzo krótkie i zarazem znaczące w skutkach stwierdzenie Trybunału Sprawiedliwości Unii Europejskiej wyrażone w wyroku wydanym 16 lipca 2020 r. w sprawie C-311/18 Facebook Ireland i Schrems. Stwierdzenie które spędziło sen z powiek w ostatnim czasie wielu prawnikom, menadżerom oraz zarządzającym.

Krótkie przypomnienie. O co chodzi?

Historia sporu Maximilliana Schremsa związana z przekazywaniem jego danych do USA sięga już kilku lat, a jej początek stanowiło ujawnienie przez Edwarda Sonwdena w 2013 r. informacji dotyczących inwigilacji „wszystkich” przez służby Stanów Zjednoczonych, w szczególności w ramach programu PRISM, w którym udział brały/biorą (?) wszyscy wielcy amerykańscy dostawcy technologii, w tym Facebook, którego działania kwestionuje Pan Maximilian Schrems.

Historia wątpliwości Pana Maximiliana Schremsa  była już przeze nas opisywana na blogu w 2015 r. w dwóch wpisach tj.

zapraszam do lektury jeżeli, ktoś chce zgłębić i zrozumieć szerszy kontekst oraz skalę rażenia działania Maximiliana Schremsa.

W skrócie (dużym)

  1. W 2013 r. Edward Snowden ujawnia rewelacje w tym dotyczące programu PRISM czyli inwigilacji przez służby amerykańskie na dużą skalę m.in. obywateli państw członkowskich UE.
  2. Austriak, Maximilian Schrems – później określany mianem aktywisty, ma wątpliwości dotyczące transferu jego danych zawartych w ramach konta w ramach serwisu Facebook do USA przez spółkę córkę uczestnika programu PRISM tj. Facebook Ireland Ltd. (krótko po tym skarży działania Facebook Ireland Ltd i finalnie sprawa trafia do TSUE w formie pytania prejudycjalnego irlandzkiego High Court).
  3. TSUE w ramach postępowania uznaje, że decyzja stwierdzająca, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony (2000/520 tzw. Safe Harbour) umożliwiająca transfer danych do USA (m.in. przez Facebook Ireland Ltd.) is invalid.
  4. Decyzja upada a z nią Safe Harbour… Transfer odbywa się dalej – TSUE wskazuje że teraz inicjatywa leży po stronie organów nadzorczych państw członkowskich bo każdemu z nich przysługuje kompetencja, aby sprawdzić, czy przekazywanie danych osobowych z własnego państwa członkowskiego do państwa trzeciego jest zgodne z wymogami określonymi w dyrektywie 95/46, a…
  5. Sprawa Pana Maximiliana Schremsa wraca do Irlandii i zostaje przekazana do ponownego rozpoznania.
  6. Safe Harbour upadła więc na pytanie na jakiej podstawie Facebook Ireland nadal przekazuje dane do USA, Facebook Ireland wyjaśniła, że znaczna część danych osobowych została przekazana Facebook Inc. na podstawie standardowych klauzul ochrony danych zawartych w załączniku do decyzji w sprawie klauzul standardowych.
  7. Pan Schrems wskazuje, że prawo amerykańskie nakłada na Facebook Inc. (podmiot otrzymujący dane od Facebook Ireland) obowiązek udostępnienia władzom amerykańskim, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI), przekazanych jej danych osobowych. Twierdzi, że ze względu na to, iż dane te były wykorzystywane w ramach różnych programów nadzoru w sposób niezgodny z art. 7, 8 i 47 Karty Praw Podstawowych Unii Europejskiej, decyzja w sprawie klauzul standardowych nie może uzasadniać przekazania tych danych do Stanów Zjednoczonych.
  8. Finalnie Pan Schrems zwraca się/wnioskuje o zakazanie bądź zawieszenie przekazywania jego danych osobowych przez Facebook Ireland do Facebook Inc.
  9. 4 maja 2018 r. ponownie High Court zwraca się do TSUE z pytaniami prejudycjalnymi.
  10. W międzyczasie Komisja wydaje nową Decyzję warunkującą transfer danych do USA tj. Decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA – czyli nowa wersja Bezpiecznej Przystani – tym razem Privacy Shield.
  11. Organy nadzorcze Państw członkowskich nie robią dużo (delikatnie mówiąc) w kontekście pkt 4 powyżej czyli sprawdzenia, czy przekazywanie danych osobowych z własnego państwa członkowskiego do USA jest zgodne z wymogami określonymi w dyrektywie 95/46.
  12. ….a i jeszcze RODO wchodzi w życie i znajduje zastosowanie.
  13. TSUE w ramach postępowania uznaje po raz drugi, że decyzja stwierdzająca, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony (2016/1250 tzw. Privacy Shield) umożliwiająca transfer danych do USA (m.in. przez Facebook Ireland Ltd.) is invalid… jednocześnie stwierdzając, że można stosować mechanizmy standardowych klauzul.

Co wiemy z wyroku w sprawie C-311/18 – a czego nie wiemy?

 

Co wiemy?

Czego nie wiemy?

Zakres stosowania RODO obejmuje przekazywanie danych osobowych przez podmiot gospodarczy mający siedzibę w jednym państwie członkowskim innemu podmiotowi gospodarczemu z siedzibą w państwie trzecim niezależnie od faktu, że w trakcie tego przekazywania lub w jego następstwie dane te mogą być przetwarzane przez organy władzy danego państwa trzeciego w celach związanych z bezpieczeństwem publicznym, obronnością i bezpieczeństwem państwa. Czyli RODO znajdzie zastosowanie w przypadkach kiedy organ publiczny Państwa trzeciego wobec przesłanek bezpieczeństwa czy obronności uzyskuje dostęp do danych udzielany przez podmiot, który otrzymuje dane od drugiego podmiotu mającego siedzibę w państwie członkowskim UE.

W jakim zakresie służby USA uzyskały/uzyskują dostęp do danych Europejczyków.

 

Fun fact, w pkt 63 orzeczenia TSUE Schrems II stwierdza „Jeśli chodzi o rozporządzenie wykonawcze nr 12333, sąd odsyłający stwierdza, że umożliwia ono NSA uzyskanie dostępu do danych, które są „w tranzycie” w kierunku terytorium Stanów Zjednoczonych poprzez dostęp do podwodnych kabli spoczywających na dnie Oceanu Atlantyckiego, a także gromadzenie i zatrzymywanie tych danych, zanim jeszcze dotrą one do Stanów Zjednoczonych i będą tam podlegać przepisom FISA. Sąd ten wyjaśnia, że czynności prowadzone na podstawie rozporządzenia wykonawczego nr 12333 nie zostały uregulowane ustawowo.” czyli realnie dane jeszcze zanim trafią do USA mogą być poddane analizie…

Wiemy jakie czynniki należy wziąć pod uwagę w celu ustalenia czy właściwy stopień ochrony pozostaje zapewniony w kontekście przekazywania danych do podmiotu mającego swoją siedzibę w państwie trzecim na podstawie standardowych klauzul ochrony danych – tutaj należy wziąć pod uwagę również ewentualny dostęp do danych przez organy władzy publicznej.

Jaki dostęp do danych posiadają organy władzy publicznej w USA – de facto mogą mieć nieograniczony… Kolejne pytanie – jak wiarygodnie zweryfikować odpowiedź: „Mamy taki dostęp, a raczej nie mamy”?

O ile nie istnieje ważna decyzja Komiji stwierdzająca odpowiedni stopień ochrony danych (taka jak Privacy Shield czy wcześniej Safe Harbour) – właściwy organ nadzorczy jest zobowiązany do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych przyjętych przez Komisję, jeżeli ten organ nadzorczy w świetle całokształtu okoliczności towarzyszących temu przekazywaniu uzna, że klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo Unii, nie może być zapewniona za pomocą innych środków, jeśli to przekazywanie danych nie zostało zawieszone lub zakończone przez samego administratora lub podmiot przetwarzający z siedzibą w Unii.

Co zrobią organy nadzorcze… bo Privacy Shield NIE MA a przesłanki do uznania, że klauzule są właściwym gwarantem należy uznać za mało wiarygodne. Teraz od decyzji  organów nadzorczych każdego kraju członkowskiego zależy zakaz lub zawieszenie transferu.

 

Polski PUODO w komunikacie z dnia 20 lipca 2020 r. wskazał, konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE (Scherms II) w całej Unii Europejskiej oraz niezbędność wspólnych działań w tym zakresie krajowych organów nadzorczych współpracujących w ramach Europejskiej Rady Ochrony Danych (EROD), w której pracach Prezes UODO uczestniczy.

Decyzja KE w sprawie klauzul standardowych przewiduje skuteczne mechanizmy umożliwiające w praktyce zapewnienie, iż przekazywanie do państwa trzeciego danych osobowych na podstawie zawartych w załączniku do tej decyzji standardowych klauzul ochrony danych zostanie zawieszone lub zakazane, jeżeli podmiot odbierający dane nie przestrzega tych klauzul lub nie jest w stanie ich przestrzegać.

 

Fun fact, standardowe klauzule umowne nie wiążą władzy publicznej – kreują stosunki pomiędzy przekazującym dane a je odbierającym – tyle.

Pkt 125 wyroku: Niemniej jednak, choć klauzule te są wiążące dla administratora danych mającego siedzibę w Unii i odbierającego przekazywane dane podmiotu mającego siedzibę w państwie trzecim, w przypadku gdy zawarli oni umowę zawierającą odesłanie do tych klauzul, bezsporne jest, że wspomniane klauzule nie mogą wiązać organów tego państwa trzeciego, ponieważ nie są one stronami zawartej umowy.

Czyli standardowe klauzule gwarantują możliwość zawieszenia lub zakazania transferu, ale ogólnie nie wiążą organów władzy publicznej… budujące.

Standardowe klauzule ochrony danych przyjęte przez Komisję na podstawie art. 46 ust. 2 lit. c) RODO mają na celu wyłącznie ustanowienie dla mających siedzibę w Unii administratorów danych lub podmiotów przetwarzających zabezpieczeń umownych znajdujących jednolite zastosowanie we wszystkich państwach trzecich, a zatem niezależnie od stopnia ochrony gwarantowanego w każdym z tych państw. Ze względu na to, że te standardowe klauzule ochrony danych nie mogą, przez swój charakter, przewidywać zabezpieczeń wykraczających poza umowne zobowiązanie do monitorowania przestrzegania stopnia ochrony wymaganego przez prawo Unii, w zależności od sytuacji panującej w danym państwie trzecim mogą one ustanawiać wymóg podjęcia przez administratora danych dodatkowych środków mających na celu zapewnienie przestrzegania tego stopnia ochrony.

 

W związku z tym, to do administratora danych lub podmiotu przetwarzającego przekazującego dane należy sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych (tu wiemy, że prawo USA tego nie gwarantuje…) przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych we wskazanych klauzulach.

Jak postąpią giganci z USA, organy nadzorcze nadzorcze państw członkowskich i co najważniejsze administratorzy danych i podmioty przetwarzające w zakresie dokonywanego transferu danych – szczególnie wobec faktu, że transfer danych do USA bez wątpienia wymaga ustanowienia dodatkowych zabezpieczeń do standardowych klauzul – to wynika pośrednio ze stwierdzenia, że podmioty władzy publicznej w USA mają nieskrępowaną możliwość dostępu do danych (jak podałem wcześniej również w fazie faktycznego przepływu danych).

Resumując

Privacy Shield upadła, ale transfer do USA jest możliwy na podstawie standardowych klauzul, które nie wiążą organów władzy publicznej USA (gdzie nie gwarantuje się środków przewidzianych prawem UE) jednak transfer ten może być zawieszony lub zakazany na skutek działania organu nadzorczego albo może być niedokonywany zgodnie z decyzją administratora lub podmiotu przetwarzającego, który decyduje się nie transferować danych ze względu na fakt, że standardowe klauzule nie chronią praw podmiotu danych w sposób odpowiedni do standardów prawa UE… uff

Pytanie zasadnicze – co na to organy nadzorcze. I tutaj mamy już konkretne działania np. organ nadzorczy Nadrenii-Palatynatu wyraźnie stwierdził, że transfer danych do przedsiębiorców telekomunikacyjnych i związane z tym przetwarzanie w chmurze, nie mogą się odbywać na podstawie standardowych klauzul.

Czekamy w każdym razie na dalszy bieg wydarzeń. Mam osobiście wrażenie, że ktoś w sprawie Schrems II przed TSUE musiał zginąć – padło na Privacy Shield, jednak ktoś, ze względu na skalę wykorzystania usług gdzie dane lokowane są w USA, musiał „przeżyć” – tutaj standardowe klauzule. W innym wypadku usługi dostarczane przez  amerykańskich gigantów nowych technologii musiałyby być lokowane w UE bądź w państwie gdzie UE stwierdziła odpowiedni stopień ochrony. Fakt niezaprzeczalny jest taki, że realnie stosunek kontroli przetwarzania na poziomie państwa członkowskie/UE-USA padł, a pozostał całkowicie zależny od podmiotów uczestniczących w procesach przetwarzania i transferu oraz na organach nadzorczych, które będą miały ciężki orzech do zgryzienia – na razie grają „na czas” (z pewnymi wyjątkami jak organ nadzorczy Nadrenii-Palatynatu).

Podsumowując, w mojej ocenie niczego odkrywczego wyrok nie wprowadził. Potwierdził główne stwierdzenia wyroku w sprawie Schrems I szczególnie w aspekcie inicjatywy po stronie organów nadzorczych państw członkowskich… Podobnie jak przepisy RODO – niby nowe ale jak tak spojrzeć głębiej – nie do końca.

Więcej poniżej:

Nasze wpisy dot. sprawy Schrems I
Marcin Kaleta

Prezes Zarządu