W lipcu 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Schrems II, w którym stwierdził niedopuszczalność dokonywania transferów danych osobowych do USA w oparciu o tzw. „Tarczę Prywatności” (Privacy Shield). Choć wyrok zapadł ponad dwa lata temu, to warto przypomnieć o nim dzisiaj, ponieważ to właśnie od dziś bezwzględnie stosowane przez wszystkich administratorów oraz podmioty przetwarzające muszą być nowe standardowe klauzule umowne, a więc jeden z przewidzianych w przepisach RODO mechanizmów zgodnego z prawem transferu danych osobowych poza Europejski Obszar Gospodarczy.

Kilka słów o wyroku Schrems II

W wyroku w sprawie Schrems II TSUE orzekł, że decyzja Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności jest nieważna, ponieważ Stany Zjednoczone nie zapewniają stopnia ochrony danych osobowych w równoważnym zakresie co przepisy unijne (m.in. z uwagi na przepisy prawa amerykańskiego, które dają służbom amerykańskim szeroki dostęp do danych osobowych Europejczyków przetwarzanych w USA).

Dlaczego unieważnienie Tarczy Prywatności było rewolucją i co mają do tego standardowe klauzule umowne?

Do 16 lipca 2020 r. Tarcza Prywatności stanowiła podstawę prawną dla większości transferów danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi. Wyrok spowodował więc, że większość transferów danych osobowych do Stanów Zjednoczonych zaczęła odbywać się niezgodnie z prawem. Aby przeciwdziałać konsekwencjom tego orzeczenia (oraz zrealizować obowiązki wynikające z RODO), Komisja Europejska przyjęła w czerwcu 2021 roku nowe standardowe klauzule umowne (SKU). SKU to nic innego jak oparta o szablon umowa między podmiotami wymieniającymi się danymi osobowymi, której celem jest zagwarantowanie, że w związku z przetwarzaniem danych osobowych poza EOG nie dojdzie do obniżenia poziomu ochrony danych osobowych.

Wszyscy administratorzy oraz procesorzy mieli bezwzględny obowiązek zaimplementować nowe SKU do wszystkich relacji zakładających transfer danych osobowych poza EOG do 27 grudnia 2022 roku. To oznacza, że od dziś, 28 grudnia 2022 roku, nowe standardowe klauzule umowne muszą być bez żadnego wyjątku stosowane przez wszystkich administratorów i procesorów, którzy przesyłają dane osobowe poza EOG w oparciu o ten mechanizm transferu danych.

Co wdrożenie nowych klauzul umownych oznaczało dla przedsiębiorców? 

Po pierwsze przedsiębiorcy powinni byli sprawdzić, czy przekazują dane osobowe poza EOG (np. gdy korzystają z usług IT), a następnie powinni byli zweryfikować, na jakiej podstawie dochodzi do takiego transferu. Jeżeli transfer odbywał się bez żadnego zabezpieczenia lub na podstawie „starych” standardowych klauzul umownych (tj. z decyzji Komisji Europejskiej z 2001 lub 2010 roku) to przedsiębiorcy z partnerem spoza EOG powinni byli zawrzeć nową umowę dot. transferu danych osobowych poza EOG, w oparciu o nowe standardowe klauzule umowne (treść klauzul tutaj).

Warto pamiętać o tym, że Komisja Europejska przyjęła nowe standardowe klauzule umowne w czterech modułach, tzn. dla sytuacji gdzie dane osobowe są przesyłane pomiędzy:

Stąd też przed podpisaniem nowych standardowych klauzul umownych każdy przedsiębiorca powinien był zadać sobie pytanie jaką rolę pełni w procesie przetwarzania danych osobowych, a co za tym idzie, z którego modułu standardowych klauzul umownych powinien był skorzystać. Ponadto z wyroku TSUE w sprawie Schrems II oraz zaleceń Europejskiej Rady Ochrony Danych dotyczących środków uzupełniających narzędzi przekazywania  w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych  wynika, że przed przesłaniem danych osobowych poza EOG administrator lub procesor powinien zbadać, czy nowe SKU mogą być faktycznie wykonane w państwie, do którego wysyłane są dane osobowe.

Czas na plot twist

Jak widać stosowanie nowych SKU nie jest najprostsze i generuje duże koszty operacyjne dla biznesów po obu stronach Oceanu Atlantyckiego. Aby uprościć transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych, władze USA (w porozumieniu z władzami UE) rozpoczęły proces dostosowywania prawa amerykańskiego do wniosków płynących z orzeczenia Schrems II. W efekcie, w październiku 2022 r. prezydent Joe Biden podpisał rozporządzenie wykonawcze, które wprowadza nowe ramy ochrony danych osobowych Europejczyków w USA. Rozporządzenie m.in. ogranicza dostęp agencji wywiadu do danych osobowych Europejczyków do sytuacji, gdy jest to niezbędne i proporcjonalne do zapewnienia bezpieczeństwa kraju; wprowadza możliwość zgłaszania skarg przez osoby, których dane osobowe zostały naruszone na terytorium Stanów Zjednoczonych, a także wprowadza dostępny dla Europejczyków mechanizm dochodzenia roszczeń z tytułu naruszenia prywatności. Rozporządzenie Wykonawcze Joe Bidena jest o tyle istotne, że stanowi ono podwaliny dla projektu decyzji Komisji Europejskiej o adekwatności w zakresie ochrony danych osobowych pomiędzy UE i USA.

Jeżeli decyzja ta zostałaby przyjęta, to moglibyśmy mówić o wdrożeniu „Tarczy Prywatności 2.0”, a sam  transfer danych osobowych do Stanów Zjednoczonych mógłby się odbywać na podstawie „zwykłej” umowy powierzenia przetwarzania danych, tak jak ma to miejsce pomiędzy przedsiębiorcami w UE. Obecnie projekt decyzji został przekazany do zaopiniowania Europejskiej Radzie Ochrony Danych. Już dziś widzimy jednak, że przyjęcie ww. decyzji przez Komisję Europejską nie będzie łatwym zadaniem z uwagi na krytykę organizacji pozarządowych zajmujących się ochroną danych osobowych, w tym organizacji NOYB i Maxa Schremsa, którzy już teraz zapowiadają, że podejmą kroki prawne w celu unieważnienia i tego mechanizmu transferu danych.

Zapewnienie zgodnego z prawem transferu danych osobowych nie należy do prostych zagadnień, zwłaszcza że sytuacja w tym zakresie jest bardzo dynamiczna. Jeżeli potrzebujesz wsparcia lub konsultacji w zakresie przesyłania danych osobowych poza EOG w Twojej organizacji, jesteśmy do Twojej dyspozycji.