Dane osobowe po wyroku Schrems II
16 lipca Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w głośnej sprawie Schrems II ogłosił, że Stany Zjednoczone nie zapewniają odpowiedniego poziomu ochrony danych osobowych, którego wymaga Unia Europejska. Co to właściwie oznacza dla samych firm i użytkowników oraz jakie ma to konsekwencje? Zapraszamy do gościnnego artykułu, napisanego przez ekspertów Kancelarii GARRIGUES, naszego Partnera.
WPROWADZENIE
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (dalej „TSUE”) wydał wyrok w sprawie tzw. Schrems II (sygnatura C-3111/18), który dotyczy przekazywania danych osobowych do podmiotów zlokalizowanych w USA. Sprawa dotyczyła stosowania ogólnego rozporządzenia w sprawie ochrony danych osobowych Unii Europejskiej, znanej szerzej pod akronimem „RODO” [1], w odniesieniu do danych przekazywanych do Stanów Zjednoczonych w ramach umów z podmiotami mającymi siedzibę w tym kraju. Do najpopularniejszych dostawców usług wykorzystujących dane osobowe mających siedziby w USA należą: Google, Facebook, Amazon, Microsoft, Paypal, Twitter i inne duże firmy technologiczne świadczące usługi za pośrednictwem Internetu.
TŁO PRAWNE
Aby zrozumieć co oznacza dla unijnego biznesu wyrok w tej sprawie, musimy cofnąć się do 2016 roku, gdy Komisja Europejska zatwierdziła i podpisała umowę o współpracy w zakresie ochrony danych osobowych z rządem USA. Umowa ta jest zwana Tarczą Prywatności[2] i wyznacza zasady jakimi powinni kierować się przedsiębiorcy unijni i amerykańscy w celu zapewnienia skutecznej ochrony danych osobowych. W ramach Tarczy Prywatności Komisja Europejska stwierdziła, że USA zapewnia odpowiedni poziom ochrony danych osobowych oraz pozwoliła Departamentowi Handlu USA na certyfikowanie zgodności działania amerykańskich przedsiębiorstw z Tarczą. Zatem Tarcza Prywatności była podstawowym mechanizmem umożliwiającym zgodne z prawem przekazywanie danych osobowych pomiędzy amerykańskimi podmiotami świadczącymi usługi IT a ich europejskimi klientami. Do programu zapewnienia zgodności ochrony danych osobowych w ramach Tarczy w krótkim czasie przystąpiły największe amerykańskie firmy takie jak Google, Microsoft, Amazon czy LinkedIn.
W 2018 r. RODO wprowadziło nowe zasady ochrony danych osobowych poprzez nałożenie na administratorów danych wyższych standardów ochrony posiadanych danych osobowych oraz nowe procedury mające na celu lepszą ochronę praw jednostki. W związku w powyższym, dotychczasowe transfery danych osobowych na terytorium USA mogły być dokonywane na dwóch podstawach prawnych wynikających z RODO: Tarczy Prywatności i standardowych klauzulach umownych.
WYROK TSUE
Ten stan rzeczy został poddany pod wątpliwość na skutek skargi obywatela Austrii – Maksymiliana Schremsa - który zarzucił spółce Facebook Ireland nieprawidłowości w procesie przetwarzania danych osobowych użytkowników, bowiem na etapie rejestracji spółka informuje, że dane wszystkich użytkowników lub ich część, są przekazywane do USA. Pan Schrems wskazał, że prawo USA nie zapewnia ochrony danych osobowych w tym samym stopniu co RODO. Jako niezgodnie z RODO zostało w szczególności wskazane szerokie prawo do żądania danych osobowych, którymi dysponują amerykańskie służby wywiadowcze takie jak NSA czy FBI oraz brak skutecznych środków do przeciwstawienia się tym żądaniom po stronie obywateli UE.
16 lipca 2020 r. TSUE stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, wobec czego od tamtego dnia nie może ona stanowić podstawy prawnej przetwarzania danych osobowych obywateli UE przez amerykańskie firmy. Trybunał stwierdził, że decyzja Komisji Europejskiej o zapewnieniu przez prawo USA dostatecznego poziomu ochrony danych osobowych jest niezgodna z art. 45 ust. 1 RODO. Trybunał wyjaśnił, iż mechanizmy zawarte w ramach Tarczy Prywatności nie gwarantują obywatelom Unii Europejskiej skutecznej i adekwatnej ochrony danych przetwarzanych w USA. Wniosek taki wypłynął w kontekście przede wszystkim uprawnień amerykańskich służb wywiadowczych, umożliwiających dostęp do danych osobowych obywateli UE, znajdujących się na terenie USA. Te uprawnienia wynikają bowiem wyłącznie z amerykańskich przepisów prawa i nie uwzględniają zasad ochrony danych osobowych ujętych w RODO. TSUE zauważył też, że obywatele UE, których dane mogą być przetwarzane przez te służby, nie mają możliwości skutecznego dochodzenia swoich praw przed amerykańskim sądem.
Trybunał w tym samym orzeczeniu odniósł się również do drugiej podstawy prawnej, jaką są standardowe klauzule umowne („SCC”). TSUE stwierdził, że transfer danych osobowych na tej podstawie jest nadal legalny i skuteczny, o ile, oprócz zatwierdzenia SCC, zastosowane są proporcjonalne i skuteczne środki ochrony danych osobowych wynikające z RODO. Trybunał tym samym potwierdził, że SCC pozostają ważną podstawą prawną przetwarzania danych osobowych. Zgodnie z wyrokiem, kwestią kluczową w zapewnieniu odpowiedniej ochrony danych osobowych przekazywanych do USA pozostaje ich poufność w kontekście uprawnień amerykańskich służb wywiadowczych.
SKUTKI WYROKU
Obecnie w środowisku zajmującym się ochroną danych osobowych funkcjonuje kilka różnych interpretacji tego wyroku. Najbardziej radykalna z nich, popierana przez niemiecki urząd ochrony danych osobowych, opiera się na całkowitym zakazie wysyłania danych osobowych do USA. Należy jasno zaznaczyć, że takie podejście do respektowania wyroku TSUE wzbudza kontrowersje w kontekście jego nieprzystawalności do realiów funkcjonowania gospodarki. Po pierwsze, żaden przedsiębiorca prowadzący działalność gospodarczą, w oparciu o usługi technologiczne, nie ma fizycznej możliwości z dnia na dzień zrezygnować z usług Google czy Microsoftu, z uwagi na konieczność zapewnienia ciągłości prowadzonego biznesu. Przyjęcie omawianej tutaj interpretacji oznacza, że przedsiębiorcy którzy działali dotychczas w dobrej wierze na podstawie Tarczy Prywatności z dnia na dzień znaleźli się w sytuacji, w której kontynuacja ich działalności oznacza naruszanie obowiązującego prawa. Chcąc tego uniknąć, powinni w trybie natychmiastowym zawiesić swoją działalność i wprowadzić takie zmiany do swojego modelu biznesowego, żeby go dostosować do zaistniałej sytuacji. Najczęściej nie będzie to jednak możliwe i nie można od nich wymagać, aby wskutek nagłej i niespodziewanej zmiany otoczenia prawnego zawiesili na bliżej nieokreślony czas swoje procesy biznesowe z uwagi na przedmiotowe orzeczenie. Jest to sprzeczne z zasadami zaufania obywateli do organów państwa i organów UE. Po drugie, Trybunał nie orzekł, że transfer każdej postaci danych osobowych do USA jest niezgodny z RODO. Dla zgodności przetwarzania danych z prawem kluczowe jest podanie odpowiedniej podstawy prawnej i zastosowanie mechanizmów ocen mających na celu ochronę danych osobowych jednostki. Po trzecie Europejska Rada Ochrony Danych w swoim oświadczeniu[3], jak również wielu ekspertów z zakresu ochrony danych osobowych w swoich wypowiedziach, zaznacza, że jest możliwe zapewnienie odpowiedniego poziomu ochrony danych osobowych na podstawie standardowych klauzul umownych przy wprowadzeniu dodatkowych środków zapewniających poufność przekazywanych danych. Skoro to właśnie poufność przekazywanych danych osobowych, wobec amerykańskich podmiotów publicznych, budzi zastrzeżenia, zniwelowanie tego ryzyka może doprowadzić do zapewnienia poziomu ochrony zgodnego z RODO. Wymagany stopień poufności przekazywanych danych można osiągnąć, między innymi, poprzez odpowiednie szyfrowanie danych np. poprzez hashing lub zaawansowaną kryptografię.
Należy również podkreślić, że w przypadku korzystania z usług korporacji takich jak Google, Microsoft czy Facebook należy zadbać o to by w zawartej umowie znajdował się zapis o przechowywaniu przekazanych danych osobowych na terenie UE lub, w przypadku mniejszych firm, zaznaczenie takiej opcji przy wyborze usługi elektronicznej. Technologiczni giganci są w pełni świadomi różnic między systemem ochrony danych osobowych w USA i UE, dlatego umożliwiają swoim klientom z Europy wybór miejsca przechowywania danych.
Niezależnie od powyższego, firmy działające w obszarze usług chmurowych, zaznaczają w swoich regulaminach, że część dostarczanych danych jest przekazywana do ich central w USA. Są to najczęściej dane diagnostyczne, techniczne lub statystyczne metadane, które nie zawsze mogą być uznane za dane osobowe. Dane te są wykorzystywane do usprawnienia świadczonych usług i lepsze zrozumienie potrzeb klientów. Pogląd, że wyżej wymienione dane są danymi osobowymi jest mocno wątpliwy, z uwagi na wysoki poziom skomplikowania i niski poziom dokładności procesu identyfikacji osoby, do której te dane należą. W celu jednak zapewnienia jak najpełniejszej ochrony danych osobowych należy rozważyć, czy i takich danych nie powinniśmy szyfrować w celu zagwarantowania odpowiedniego poziomu poufności.
W reakcji na wyrok Trybunału największe amerykańskie korporacje z branży technologicznej podjęły działania mające na celu zapewnienie odpowiedniego poziomu ochrony danych osobowych użytkowników z UE. Amazon opublikował na swojej stronie oświadczenie, w którym potwierdza skuteczność zastosowanych środków ochrony danych oraz standardowych klauzul umownych, stanowiących podstawę prawną przetwarzania[4]. Podobnie zareagowali Google Cloud[5] i Microsoft[6], którzy zapewnili swoich klientów i użytkowników o przestrzeganiu SCC oraz norm bezpieczeństwa ISO 27018 oraz ISO 27701 w celu zagwarantowania najwyższej jakości ochrony danych osobowych klientów.
PODSUMOWANIE
Wyrok w sprawie Schrems II niewątpliwie usunął jedną z kluczowych podstaw prawnych przetwarzania danych osobowych obywateli UE przez amerykańskie firmy. Większość z nich zabezpieczyła się jednak na taką ewentualność poprzez zastosowanie standardowych klauzul umownych, których ważność została potwierdzona przez TSUE w tym samym wyroku. Niezależnie od powyższego należy wskazać, że firmy takie jak Amazon, Google czy Microsoft posiadają jedne z najlepszych systemów cyberbezpieczeństwa na świecie, które spełniają wyższe standardy techniczne od tych wymaganych przez RODO. Każda z tych korporacji jednocześnie dysponuje możliwościami dostosowania miejsca przechowywania danych do potrzeb klienta, co ułatwia przedsiębiorcom podjęcie decyzji w zakresie korzystania z ich usług. Podkreślenie wymaga, że w przypadku przechowywania danych klientów na terenie UE, do USA są wysyłane jedynie zanonimizowane dane diagnostyczne, które praktycznie uniemożliwiają identyfikację podmiotów, których te dane dotyczą. W związku z powyższym, korzystanie z usług chmurowych Google, Amazon czy innej amerykańskiej firmy nie może być na skutek tego wyroku potraktowane z góry, jako bezprawne z uwagi na mnogość czynników, które wpływają na kwalifikację danego procesu przetwarzania danych.
Wpis gościnny kancelarii GARRIGUES:
Autorzy: Krzysztof Stępień, Mateusz Przygodzki
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[2] Wszystkie dokumenty związane z Tarczą Prywatności UE-USA można znaleźć pod adresem: europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en, data dostępu 04.11.2020 r.
[3] Oświadczenie Europejskiej Rady Ochrony Danych w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 - Data Protection Commissioner przeciwko Facebook Ireland i Maximillian Schrems, dostępne na stronie uodo.gov.pl.
[4] https://aws.amazon.com/blogs/security/customer-update-aws-and-the-eu-us-privacy-shield/, data dostępu 04.11.2020 r.
[5] https://cloud.google.com/blog/products/identity-security/google-clouds-commitment-to-eu-international-data-transfers-and-the-cjeu-ruling, data dostępu 04.11.2020 r.
[6] https://mspoweruser.com/microsoft-responds-to-bombshell-eu-us-privacy-shield-decision-with-message-to-european-users/, data dostępu 04.11.2020 r.