Gdzie znajdę przystępnie podane, różnorodne informacje prawne?
Centrum prasowe DZP.
28.07.2020
Autorzy:16 lipca 2020 roku Trybunał Sprawiedliwości UE (TSUE) wydał wyrok w sprawie Schrems II (sygn. C‑311/18). Rozstrzygnięcie obejmuje co najmniej dwie płaszczyzny praktyki przetwarzania danych osobowych w zakresie ich przekazywania do państw trzecich (poza UE).
TSUE po pierwsze stwierdził nieważność decyzji Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE–USA, a po drugie utrzymał w mocy decyzje KE 2010/87/UE oraz 2016/2297 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania owych klauzul w praktyce.
Unicestwienie Tarczy Prywatności uprawnia wniosek, iż USA ponownie dołączyły do grona państw takich jak Chiny czy Rosja, które w ocenie UE nie zapewniają danym osobowym odpowiedniego - europejskiego - stopnia ochrony. To oznacza, że standardowe klauzule umowne (z ang. standard contractual clauses - SCC) przyjęte przez KE na podstawie dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 95/46 (już nieobowiązującej poprzedniczki RODO - przypis redakcji) nie mogą być, pomimo ich urzędowego i modelowego charakteru, stosowane bezkrytycznie, a ich stosowanie wymaga testu adekwatności przeprowadzanego m.in. zgodnie z art. 45 RODO.
Tło i źródło problemu
UE uznaje, że europejski model ochrony danych osobowych ma w skali globalnej charakter wzorcowy, a świat dzieli się na kraje, które należycie (zgodnie z unijnym standardem) dbają o dane, oraz „państwa trzecie”. Państwami trzecimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada. W konsekwencji tej dychotomii, przekazywanie danych do państw trzecich wymaga spełnienia szczególnych wymogów. Stąd istotne znaczenie mają uprawnienia KE, która może systemowo „udrażniać” przekazywanie danych osobowych do państw trzecich, m.in. uznając, iż określone państwo trzecie (a nawet terytorium czy sektor) zapewnia ochronę równoważną tej obowiązującej w UE. Formułowana w ten sposób „biała lista” obejmuje m.in. Izrael, Japonię czy, z pewnymi ograniczeniami, Kanadę. Także USA do 16 lipca 2020 korzystały w pewnym zakresie z „wpisu na białą listę” – uczestniczące w programie Tarczy Prywatności podmioty z siedzibą w USA korzystały z domniemania, że chronią dane na europejskim poziomie. Mówimy o nieco ponad 5300 największych światowych przedsiębiorstw.
Innym środkiem przysługującym KE jest przyjęcie wzorcowych, standardowych klauzul umownych (według RODO: standardowych klauzul ochrony), które „zapewniają odpowiednie środki zabezpieczające” (art. 26 ust. 4 dyrektywy 95/46).
SCC, opublikowane na stronie internetowej KE, często były w całości implementowane do komercyjnych umów zawieranych między unijnym podmiotem przekazujący dane i ich odbiorcą w państwie trzecim. Zastosowanie klauzul na zasadzie copy&paste uchodziło za wystarczające dla zapewnienia legalności przekazywania danych do państwa trzeciego.
Różnice w podejściu USA i UE do ochrony danych
Szczególnie interesująca jest kwestia różnic w podejściu do regulacji ochrony danych przyjętym w UE i w USA. Różnice mają w znacznej mierze charakter filozoficznoprawny, i wynikają m.in. z odmiennego: umiejscowienia jednostki w systemie prawnym, pojmowania roli organów administracji, spojrzenia na tworzenie i kształt przepisów. Odmienności te z perspektywy UE oceniane są negatywnie, jako osłabiające ochronę jednostki i jej danych osobowych. Niemniej okoliczność, iż współczesna gospodarka jest „gospodarką zasilaną danymi” a USA są największym partnerem handlowym UE, jak również akcentowana transatlantycka wspólnota wartości (nieco dziś zwietrzała) powodują, iż ponawiane są próby znalezienia przynajmniej rozwiązań pomostowych. Stąd w latach 2000-2015 obowiązywało porozumienie Bezpiecznej Przystani (Safe Harbor), a od 2016 roku Tarcza Prywatności. Oba porozumienia zasadzały się na tych samych założeniach i korzystały ze zbliżonych mechanizmów.
Po pierwsze, podmiot z siedzibą w USA mógł na zasadzie dobrowolności i samocertyfikacji zostać uczestnikiem określonego programu. Po wtóre, oba porozumienia przewidywały mechanizmy kontroli i nadzoru w zakresie przestrzegania zasad ochrony danych. Po trzecie, oba akcentowały dostępność drogi odwoławczej. Praktyka pokazała, iż zarówno wspomniana kontrola i nadzór, jak i droga odwoławcza okazywały się iluzoryczne. Co więcej, na podstawie prawa amerykańskiego, do danych objętych zarówno Bezpieczną Przystanią, jak i Tarczą Prywatności nadmiernie swobodny dostęp miały i mają amerykańskie organy wywiadowcze. De facto właśnie to przesądziło o „uchyleniu” przez TSUE zarówno programu Safe Harbor (wyrok TSUE z 6 października 2016 w sprawie Schrems I), jak i Privacy Shield (analizowana tu sprawa Schrems II).
Szereg amerykańskich szczegółowych regulacji dopuszcza szeroki dostęp do danych osobowych przez amerykańską administrację. Przepisy, na podstawie których to się dzieje, często nie przewidują żadnych skutecznych środków odwoławczych służących obywatelom UE, co zresztą władze amerykańskie przyznają. Tytułem przykładu można wskazać federalną ustawę Foreign Intelligence Surveillance Act 1978 (FISA) czy prezydenckie akty normatywne dotyczące bezpieczeństwa publicznego –Executive Order z 1981 r. (nr 12333) oraz Presidential Policy Directive 28 z 2014 r. (PPD-28).
Wnioski praktyczne po wyroku TSUE z 16 lipca 2020 roku
Powyższe pozwala na sformułowanie kilku wniosków praktycznych. Do najdonioślejszych zaliczyć można:
TSUE co prawda wskazuje, że wyrok w sprawie Schrems II nie kreuje luki systemowej, sugerując stosowanie innych podstaw przekazywania danych do państw trzecich, w tym podstaw wyjątkowych, przewidzianych w art. 49 RODO. Niemniej rozwiązania z art. 49 ust. 1 lit a-g RODO stanowią podstawę przekazywania danych do państwa trzeciego z uwagi na określone uwarunkowania i potrzeby, a nie przy zapewnieniu danym bezpieczeństwa; szczególna zaś podstawa przewidziana w art. 49 ust. 1 akapit 2 RODO odnosi się zasadniczo do okazjonalnego przekazywania danych do państwa trzeciego.
Autorem artykułu jest Bartosz Marcinkowski, Partner w Zespole Ochrony Danych Osobowych.
Dalsza część artykułu dostępna jest na stronie Prawo.pl.
Od 25 maja 2018 r. w Polsce i w innych krajach Unii Europejskiej stosowane jest Ogólne rozporządzenie o ochronie danych (RODO). W związku z tym pragniemy przekazać kilka szczegółów na temat tego, w jaki sposób DZP przetwarza dane osobowe.
Administratorem danych osobowych jest Domański Zakrzewski Palinka Sp.k. („DZP”; adres: Rondo ONZ 1, 00-124 Warszawa). Dane są przetwarzane w celach kontaktowych, w tym do udzielania informacji o zmianach przepisów i praktyk organów, oraz o innych kwestiach, w tym wydarzeniach dotyczących bieżących zagadnień prawnych, gospodarczych i kulturalnych, m.in. poprzez wysyłkę newsletterów DZP. Powyższe jest realizowane na podstawie prawnie uzasadnionego interesu, czyli zgodnie z art. 6 ust. 1 lit. f RODO. Dane mogą być także przetwarzane, gdy jest to niezbędne do zawarcie lub wykonania umowy i wypełnienia obowiązków prawnych ciążących na DZP, czyli na podstawie art. 6 ust. 1 lit. b oraz lit. c RODO. Dane mogą być przekazywane podmiotom, z pomocą których DZP realizuje wskazane cele, w tym podmiotom utrzymującym infrastrukturę IT. Podanie danych jest dobrowolne, a w relacjach umownych stanowi wymóg zawarcia i realizacji umowy. Możliwe jest zgłoszenie sprzeciwu wobec przetwarzania danych, żądania do nich dostępu, sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia. Dane przechowywane są do wniesienia sprzeciwu, a w relacjach umownych – przez czas trwania umowy i po jej zakończeniu przez okres wynikający z przepisów o archiwizacji i przedawnieniu roszczeń. Każdemu przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Pytania dotyczące ochrony prywatności w DZP można kierować do Inspektora Ochrony Danych DZP, Macieja Maciejewskiego, na adres: iod@dzp.pl.
Nowe zasady dotyczące cookies: Domański Zakrzewski Palinka sp.k., jako usługodawca strony www.dzp.pl przechowuje i uzyskuje dostęp do cookies, tj. niewielkich informacji tekstowych, wysyłanych przez serwer WWW i zapisywanych na twardym dysku, lub innym nośniku danych użytkownika, w celu: prawidłowego funkcjonowania strony www.dzp.pl, konfiguracji strony www.dzp.pl, bezpieczeństwa i niezawodności strony www.dzp.pl, monitorowania stanu sesji, wyświetlania reklam, dostosowania wyświetlanych informacji do użytkownika lub analiz, statystyk, badań i audytu wyświetleń strony internetowej.
Możesz określić warunki przechowywania lub uzyskiwania dostępu do cookies za pomocą ustawień przeglądarki. Zgodę na przechowywanie lub uzyskiwanie dostępu do cookies przez Domański Zakrzewski Palinka sp.k. na Twoim urządzeniu, wyrażasz za pomocą ustawień zainstalowanej na Twoim urządzeniu przeglądarki. Więcej informacji można znaleźć w naszej Polityce prywatności i cookies.