Transfer danych do USA to dla wielu z nas codzienność, chociaż możemy nie zdawać sobie z tego sprawy. Korzystamy bowiem z wiele rozwiązań/produktów IT dostarczanych przez podmioty z USA, choćby przez Google czy Microsoft, w taki sposób, że powierzamy usługodawcy przetwarzanie danych osobowych (o powierzeniu danych do przetwarzania pisałam szerzej w artykule nr V). W przypadku usług chmurowych, kluczowa będzie lokalizacja serwerów (miejsce przechowywania danych), które często znajduje się w USA. Czy zatem nasze działanie jest legalne? Sprawdźmy!
RODO statuuje swobodny przepływ danych jedynie w odniesieniu do operacji przetwarzania danych wewnątrz EOG. W przypadku państw trzecich – przekazanie danych osobowych, może nastąpić jedynie:
a) na podstawie decyzji stwierdzającej odpowiedni stopień ochrony w państwie docelowym lub,
b) gdy państwo trzecie zapewnia odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, lub
c) w szczególnych sytuacjach:
– osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
– przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
– przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
– przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
– przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
– przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
– przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
Jednocześnie w motywie 101 preambuły RODO wyjaśniono, że przepływ danych osobowych do państw spoza Unii i do organizacji międzynarodowych oraz z takich państw i z takich organizacji jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. RODO nie wyklucza zatem takiego transferu, ale wskazuje, że przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy jednak obniżać poziomu ochrony osób fizycznych zapewnianego w Unii rozporządzeniem […].
W stosunku do USA, taką „decyzją stwierdzającą odpowiedni stopień ochrony” była tzw. Tarcza Prywatności (Privacy Shield). Po wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems (tzw. sprawa Schrems II), transfer danych do USA na podstawie Tarczy Prywatności nie jest możliwy – tzn. stanowi naruszenie RODO.
Skoro odpadła możliwość nr 1, sprawdźmy opcję nr 2, czyli sytuację, gdy państwo trzecie zapewnia odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. „Odpowiednie zabezpieczenia” można zapewnić przede wszystkim za pomocą tzw. standardowych klauzul ochrony danych (standardowych klauzul umownych).
Niestety, TSUE wskazał w powyżej opisanym wyroku, że w niektórych przypadkach standardowe klauzule umowne „mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego”.
Taka sytuacja może mieć szczególnie miejsce wtedy, kiedy prawa podmiotów danych nie są w państwie trzecim egzekwowalne lub są narażone na znaczną ingerencję, np. ze strony organów lub władz. W kontekście USA – właśnie z uwagi na sytuację prawną oraz praktyki stosowane w zakresie przekazywania danych organom ścigania oraz władzom publicznym, w szczególności rygorystyczne przepisy inwigilacyjne, TSUE podał w wątpliwość legalność przekazywania danych osobowych do USA w oparciu tylko o standardowe klauzule umowne (scc).
27 czerwca 2021 weszła w życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych (scc) dotyczących przekazywania danych osobowych do państw trzecich. Zastąpiła ona wcześniejsze decyzje, które były przyjęte na podstawie dyrektywy 95/46. Standardowe klauzule umowne odnoszą się do następujących scenariuszy przekazywania danych:
– przekazywania danych między administratorami,
– przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
– przekazywania między podmiotami przetwarzającymi
– przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim.
Wcześniejsze decyzje Komisji Europejskiej (2001/497/WE i 2010/87/UE) utraciły moc od 27 września 2021 r. Umowy zawarte przed 27 września 2021 r. na ich podstawie, zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.
Zastosowanie nowych standardowych klauzul umownych (scc) nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne.
Biorąc pod uwagę powyższe, powstaje wątpliwość, czy obecnie w ogóle jest możliwy legalny transfer danych do USA, tj. czy nawet przy zastosowaniu pewnych dodatkowych zabezpieczeń i środków bezpieczeństwa podmiot transferujący jest w stanie zapewnić odpowiednią ochronę przekazywanych danych.
10 listopada 2020 r. Europejska Rada Ochrony Danych wydała opracowanie „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”. Rada jednak nie podaje, jakie konkretnie narzędzia zabezpieczające dane są właściwe, wskazuje tylko sześć kroków, dzięki którym administrator będzie mógł indywidualnie ocenić swoje potrzeby w tym zakresie. Tak naprawdę nie ma tam nic nowego, czy przydatnego.
Jako środki zalecane wskazuje się najczęściej:
1) środki prawne:
– umowne ograniczenie odbiorcy danych z USA dostępu do tych danych (np. tylko w zakresie w jakim jest to niezbędne dla świadczenia przez niego usług);
– obowiązek odbiorcy danych z USA poinformowania podmiotu dokonującego transferu o żądaniach ujawnienia danych organów ścigania (gdy obowiązek ujawnienia danych wynika z bezwzględnie obowiązujących przepisów prawa);
– obowiązek odbiorcy danych z USA udostępnienia podmiotowi dokonującemu transferu informacji, które umożliwią właściwe przeprowadzenie oceny ryzyka (np. informacji o stosowanych przez odbiorcę procedurach i środkach bezpieczeństwa przetwarzania danych, posiadanych certyfikatach itp.);
2) środki organizacyjne:
– minimalizacja zakresu danych objętych transferem, w tym ograniczenie do minimum transferu danych szczególnej kategorii
– posiadanie przez odbiorców danych stosownych certyfikatów bezpieczeństwa (np. norm bezpieczeństwa ISO itp.);
3) środki techniczne:
– szyfrowanie danych (zarówno podczas transferu, jak i w spoczynku)
– stosowanie środków uniemożliwiających zapoznanie się z danymi
– maskowanie adresów IP.
Zatem – przekazywać dane do USA czy nie – oto jest pytanie! Prezes Urzędu Ochrony Danych Osobowych na razie milczy na ten temat. Natomiast Niemcy i Irlandczycy rekomendują wstrzymanie przesyłu danych poza EOG. A w praktyce? W praktyce – nie znam podmiotów, które całkowicie rezygnowałyby z takiego transferu. Wszyscy czekają na jakieś nowe (cudowne?) regulacje w tym przedmiocie. Co z tego wyniknie? Na chwilę obecną naprawdę nie wiadomo…