Transfery danych osobowych poza EOG – wyzwania w 2022 r.

Transfery danych osobowych poza EOG – wyzwania w 2022 r.


Rok 2022 to moment, w którym wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximilanowi Schremsowi (tzw. wyrok Schrems II) zaczyna nabierać wyrazistego znaczenia dla wszystkich administratorów i podmiotów przetwarzających w Unii. 

Mimo że od czasu wydania tego wyroku minęło już 2 lata (data wyroku to 16 lipca 2020 r.), praktyczne działania, które należy podjąć w jego konsekwencji przypadały na końcówkę roku 2021 oraz rok 2022. Zbliża się także bardzo ważny termin, do którego należy zaktualizować wszystkie umowy zawarte na standardowych klauzulach umownych do nowego ich wzoru wydanego przez Komisję Europejską. Data aktualizacji to 27 grudnia 2022 r., a umowy tego rodzaju obecnie muszą być poprzedzone badaniem skutków transferu dla ochrony danych osobowych.

10 czerwca 2022 r. przeprowadziliśmy webinar dotyczący powyższych obowiązków, a także zapytaliśmy przedsiębiorców, na ile oceniają swoją wiedzę i gotowość w zakresie zgodnego z prawem transferu danych osobowych poza Europejski Obszar Gospodarczy.

Poniżej przedstawiamy podsumowanie obowiązków w zakresie transferów, a także wnioski płynące z ankiet przeprowadzonych wśród przedsiębiorców. 



Pomimo utrudnień wprowadzonych przez COVID-19, chyba żadna kwestia nie była bardziej skomplikowana dla profesjonalistów w dziedzinie prywatności w ostatnich latach niż orzeczenie TSUE w sprawie C-311/18 ("Schrems II"), które unieważniło Tarczę Prywatności UE-USA i postawiło pod znakiem zapytania legalność standardowych klauzul umownych jako sposobu przekazywania danych poza Unię Europejską.

Prawie 6 na 10 specjalistów ds. ochrony prywatności stwierdziło, że przestrzeganie przepisów dotyczących transgranicznego transferu danych jest dla nich najtrudniejszym zadaniem.


Transfery mają ogromne znaczenie dla Unii

Międzynarodowy transfer danych osobowych ma niebagatelne znaczenie dla naszej wygody, efektywności prowadzenia biznesu, innowacyjności, a także zysków. Jednym z najbardziej znaczących transferów danych z Unii Europejskiej jest ten przez Atlantyk, do USA. Zgodnie z szacunkami Eurostatu, stosunki gospodarcze między Unią a Stanami Zjednoczonymi mają wartość 7,1 biliona dolarów. Udział biznesów opartych na danych będzie w tym względzie rósł ze względu na stopniowy rozwój technologiczny i rosnącą cyfryzację kolejnych obszarów naszego życia. Eurostat szacuje również, że gdyby zatrzymać przepływ danych poza Unię w sektorach opartych na danych – produkt Unii brutto spadłby aż o 2,5%. Jak więc widzimy, transfery danych osobowych poza EOG są elementem koniecznym naszej codzienności.

Standardowe klauzule umowne – powtórka z historii

Ochrona danych osobowych w Unii, a więc i kontrowersje związane z transferem danych poza EOG, nie zaczęły się wraz z wejściem w życie RODO. Już od 1995 roku Unia chroni dane osobowe swoich obywateli – przed RODO ochrona obowiązywała na podstawie Dyrektywy 95/46/WE (Dyrektywa). To właśnie ta dyrektywa przewidywała zabezpieczenie transferu danych poza EOG za pomocą standardowych klauzul umownych opracowywanych przez Komisję Europejską.

W czasie obowiązywania Dyrektywy uchwalono 3 takie zestawy klauzul – w 2001, 2002 i 2010 roku. Zestaw klauzul uchwalony w 2002 r. stracił ważność wraz z uchwaleniem nowego zestawu w 2010 r.

Dodatkowo, w czasie obowiązywania Dyrektywy, Komisja Europejska wydawała decyzje o adekwatności państw trzecich w zakresie przetwarzania danych osobowych – był to mechanizm analogiczny do tego przewidzianego w RODO. Decyzje o adekwatności wydane na gruncie Dyrektywy zachowały z resztą moc na gruncie RODO. 

Transfer danych do USA

Jedną z decyzji o adekwatności była ta zatwierdzająca umowę międzynarodową między USA a Unią w zakresie przekazywania danych – tak zwany Safe Harbor (2000 r.). Decyzja ta została skutecznie zakwestionowana przez Maximiliana Schremsa w postępowaniu przeciwko Facebookowi i w efekcie, w 2015 r. Trybunał Sprawiedliwości Unii Europejskiej uznał tę umowę międzynarodową za nieważną. Unia i USA w krótkim czasie opracowały i zwarły nowe porozumienie – Privacy Shield – które zostało zawarte już w 2016 r. Było ono, podobnie jak Safe Harbor oparte na zasadzie samocertyfikacji podmiotów prywatnych w USA.

Decyzja 2016/1250 z 12 lipca 2016 r., która zatwierdzała Privacy Shield jako adekwatny mechanizm zabezpieczenia transferów danych pomiędzy USA a Unią została uznana za nieważną w wyroku Schrems II. Głównymi zarzutami względem amerykańskiego porządku prawnego, które doprowadziły do obalenia tej decyzji były:

  • Znaczący zakres danych osobowych, w tym metadanych, do których mają dostęp służby amerykańskie (np. NSA, CIA i FBI) – w tym w ramach programów PRISM i UPSTREAM, gdzie dane osobowe dotyczące obywateli państw innych niż USA mogą być pozyskiwane z selektorów operatorów telekomunikacyjnych oraz z kabli biegnących po dnie Atlantyku;
  • Brak skutecznego środka prawnego przeciwko nadmiernemu pozyskiwaniu danych osobowych przez służby, który przysługiwałby obywatelom państw innych niż USA.

Komentarz uczestnika webcastu: „Moim zdaniem problem z danymi osobowymi w USA nie leży w kwestii zwracania się instytucji uprawnionych z żądaniem udostepnienia danych, ponieważ w każdym kraju na żądanie uprawnionych organów państwowych dane zostaną udostępnione. Problem polega na niekontrolowanym dostępie do tych danych przez służby bez informacji skierowanej do osoby, której dane dotyczą lub administratora lub innego podmiotu przetwarzającego dane. Środkiem alternatywnym jest dodatkowe szyfrowanie komunikacji.”



Na ten moment nie ma jeszcze obowiązującej podstawy prawnej, która pozwalałaby na swobodny transfer danych do USA, jednak prowadzone są w sposób szybki i, jak się wydaje, skuteczny rozmowy pomiędzy Unią Europejską a Stanami Zjednoczonymi. W marcu 2022 r. Komisja wydała komunikat, w którym wskazała, że zostały już ustalone główne założenia nowego porozumienia, które ma zastąpić Privacy Shield:

  • Porozumienie ma być oparte na podobnym założeniu jak Safe Harbor i Privacy Shield, czyli na samocertyfikacji podmiotów amerykańskich;
  • Organy wywiadowcze USA mają być związane zabezpieczeniami ograniczającymi dostęp do danych i zapewnić ich niezbędność i adekwatność do celu ochrony bezpieczeństwa narodowego; służby wywiadowcze USA mają przyjąć procedurę zapewniającą odpowiednie poszanowanie prywatności i innych wolności obywatelskich;
  • Ma zostać wprowadzony nowy, dwustopniowy system rozpatrywania skarg Europejczyków na dostęp do ich danych przez służby amerykańskie;
  • Zostaną wprowadzone mechanizmy monitorowania i weryfikacji. 

Pytanie uczestnika webcastu: Zgodnie z amerykańskim Cloud Act dane przetwarzane przez amerykańskie firmy mają być dostarczone uprawnionym organom bez względu na miejsce przetwarzania. Co z Cloud Act pod tym kątem i czy regionalizacja ma w ogóle tu jakieś znaczenie?

Umowy chmurowe zapewniają bardzo często usługobiorcom możliwość regionalizacji usług i wybrania opcji, w której dostawca chmurowy zobowiązuje się przetwarzać dane usługobiorcy tylko na terenie EOG. W takiej sytuacji są wykorzystywane centra danych w EOG. Takie postanowienia są zalecane, aby sprostać wymogom RODO.

Faktycznie jednak w 2018 r. przyjęto w USA CLOUD Act, który zobowiązuje podmioty mające siedzibę w USA do przekazania danych niezależnie od tego, gdzie są one w danym momencie przechowywane (czy na przykład na serwerze w Europie). W ocenie ustawodawcy amerykańskiego, takie działanie było zarówno zbieżne z już istniejącym wcześniej prawem USA jak i było konieczne ze względu na  rosnącą liczbę napływających do USA próśb z innych krajów w zakresie pomocy w uzyskaniu danych do postępowań. Zabronione jest masowe pobieranie danych na postawie CLOUD Act.

CLOUD Act został przyjęty w efekcie sprawy Microsoft Corp. v. United States (o której w dalszym okienku).

 


Zapewnienie adekwatnego poziomu ochrony danych osobowych w państwie trzecim

Zgodnie z RODO (np. art. 44), przekazywanie danych osobowych musi być dokonywane w taki sposób, aby nie został naruszony stopień ochrony danych zapewniany przez RODO. Temu właśnie służą mechanizmy ochrony transferów przewidziane w art. 46 RODO – m.in. umowy zawierane na standardowych klauzulach umownych oraz wiążące reguły korporacyjne.

Aby takie mechanizmy mogły jednak być skutecznym sposobem na zabezpieczenie transferu danych osobowych do państwa trzeciego, konieczne jest zbadanie, czy mogą one zostać faktycznie w państwie odbiorcy wykonane. Jak zauważył bowiem Trybunał Sprawiedliwości UE w wyroku Schrems II - postanowienia umowne (czy to w klauzulach, czy w wiążących regułach korporacyjnych) wiążą jedynie strony podpisujące takie zobowiązania, jednak nie organy władzy w państwie obiorcy. Trzeba także mieć na uwadze, że importer danych, będąc postawiony w konflikcie pomiędzy naruszeniem zobowiązań umownych wynikających z klauzul czy wiążących reguł korporacyjnych a naruszeniem prawa w państwie swojej siedziby w dużym prawdopodobieństwem zdecyduje się na naruszenie umowy. 


Badanie skutków transferu dla ochrony danych (Transfer Impact Assessment)

Zarówno Trybunał Sprawiedliwości UE w wyroku Schrems II, jak i Europejska Rada Ochrony Danych w wydanych już po wyroku Schrems II Zaleceniach 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych (wersja 2.0 przyjęta 18 czerwca 2021 r. wyszczególniły elementy obowiązkowego badania państwa odbiorcy danych, które musi być przeprowadzone przed każdym transferem danych osobowych do państwa trzeciego:

Po pierwsze, konieczne jest dokładne zmapowanie transferów danych w organizacji administratora. W wielu przypadkach jest to jeden z najtrudniejszych elementów badania. Trzeba pamiętać, że sprawdzenie musi obejmować nie tylko takie umowy, które aktywnie negocjowaliśmy z dostawcami i które zawierają ustaloną wspólnie klauzulę nakazującą uzyskanie przez procesora zgody na transfer (a czy faktycznie o nią wystąpił? Też warto sprawdzić). Konieczne jest również sprawdzenie narzędzi i usług, z których korzystamy w oparciu o umowy adhezyjne, tj. zawarte np. na podstawie akceptacji niemożliwego do negocjacji regulaminu. Kwestie przekazywania danych osobowych do państw takich jak USA, Australia czy inne państwa trzecie mogą być elementem regulaminu czy polityki prywatności takiego dostawcy. Na tym etapie zalecana jest także weryfikacja czy transfer jest zgodny z naczelnymi zasadami przetwarzania jak minimalizacja danych.


Pytanie uczestnika webcastu: Jak wygląda kwestia korzystania z zasobów (Inżynierów, Pentesterów, etc.) pochodzacych spoza EOG?

Niektóre rodzaje przetwarzania mają kontrowersyjny charakter. Europejska Rada Ochrony Danych w Zaleceniach 01/2020 wskazuje, że zapewnienie wyłącznie dostępu do danych odbiorcom w państwie trzecim, nawet do celów administracyjnych, będzie stanowiło transfer danych osobowych do państwa trzeciego.

Z drugiej strony, w Wytycznych 05/2021 w zakresie relacji między zastosowaniem art. 3 i postanowień o międzynarodowym transferze danych na postawie Rozdziału V RODO przyjętych 18 listopada 2021 r. wskazuje, że jeśli pracownik unijnego administratora uzyskuje dostęp do danych poprzez środki techniczne administratora, ale będąc w państwie trzecim (np. na urlopie), to nie będzie to stanowiło transferu danych – bowiem dane nie są przekazywane poza podmiot, który jest administratorem – pracownik jest tutaj postrzegany jako część organizacji.

Nie będzie również transferem danych sytuacja, w której osoba, której dane dotyczą samodzielnie podaje swoje dane osobowe odbiorcy w państwie trzecim (np. robiąc zakupy w Internecie).

Z drugiej strony, udostępnianie czy powierzanie danych osobowych w ramach międzynarodowych grup kapitałowych będzie stanowiło transfer danych poza EOG i wymaga zabezpieczenia.

 


Po drugie, konieczne jest zweryfikowanie podstawy prawnej transferu. Może to być jeden z mechanizmów zabezpieczających przewidzianych w art. 46 RODO, ale być może także wyjątek przewidziany w art. 49 RODO (np. zgoda podmiotu danych). Ważne jest monitorowanie takich środków zabezpieczających.W tym zakresie bardzo istotne jest, aby mieć na uwadze, że uległy zmianie standardowe klauzule umowne, które są najpopularniejszym środkiem zabezpieczającym transfer danych poza EOG. Muszą one zostać uaktualnione w obowiązujących umowach do 27 grudnia 2022 r.





Pytanie uczestnika webcastu: Proszę o odniesienie się do przekazywania danych do Korei Południowej

Jest to bardzo dobry przykład tego, jak ważne jest monitorowanie stosowanych lub możliwych do zastosowania środków zabezpieczających. W przypadku Korei Południowej rozmowy o adekwatności zakończyły się pozytywną decyzją Komisji Europejskiej o adekwatności Korei Południowej w zakresie ochrony danych osobowych. Decyzja z dnia 17 grudnia 2021 (C(2021) 9316 final) zatwierdziła możliwość transferu danych do Korei Południowej bez konieczności stosowania dodatkowych środków ochronnych.  

 


Po trzecie, konieczna jest ocena całości porządku prawnego kraju, do którego zamierzamy eksportować dane osobowe. Badania takie musi obejmować:

  • porządek prawny danego państwa trzeciego i czy jest ono w praktyce stosowane (jeśli miałoby spełniać formalnie standard europejski) oraz relewantne elementy praktyki w danym państwie trzecim – w tym możliwość korzystania przez osoby z Europy ze skutecznych środków ochrony;
  • ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych bez wiedzy odbiorcy danych w państwie trzecim (w świetle obowiązującego prawa, praktyki i precedensów);
  • ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych poprzez odbiorcę danych w państwie trzecim, operatorów telekomunikacyjnych lub kanały komunikacji  (w świetle obowiązującego prawa, technicznych, finansowych i ludzkich możliwości takich organów);
  • kontekst eksportu danych: cele przetwarzania, charakter odbiorcy danych i odpowiedni sektor, kategorie przekazywanych danych, gdzie dane będą przechowywane, format danych i kwestie dalszych transferów.

    Należy pamiętać, że o ile eksporter danych może opierać się na informacjach i zapewnieniach pozyskanych od odbiorcy w państwie trzecim, o tyle odpowiedzialność za sprawdzenie wszelkich publicznie dostępnych źródeł – treści prawa, publicznie dostępnych decyzji, raportów organizacji pozarządowych czy biznesowych – nadal spoczywa na nim. Jeśli oświadczenia odbiorcy danych będą sprzeczne z powszechnie dostępnymi informacjami, odpowiedzialność za bezprawny transfer obciąży eksportera danych. 

Po czwarte, jeśli to niezbędne ze względu na problematyczne ustawodawstwo lub praktykę w danym państwie trzecim, konieczne jest wprowadzenie dodatkowych środków zabezpieczających, które mają na celu utrzymanie transferu danych na bezpiecznym poziomie mimo takich trudności. Sugerowane przez Europejską Radę Ochrony Danych środki zabezpieczające to m.in.:

  • Środki techniczne: przede wszystkim szyfrowanie (w tym w transferze), pseudonimizacja, rozdzielenie procesów między kilku odbiorców.
  • Korzystanie z dostępnych wyjątków w prawie kraju odbiorcy – np. obowiązków w zakresie ustawowej tajemnicy zawodowej.
  • Dodatkowe zobowiązania umowne: do wymienienia wszelkich mających zastosowanie przepisów, udzielania informacji o otrzymanych żądaniach wydania danych, w tym statystykach odnoszących się do przeszłości, o środkach podjętych dla zapobieżenia ujawnieniu danych, braku obowiązku zostawiania obejść dla organów władzy, przekazywania raportów o braku żądań (Warrant Canary), do wykorzystania całości środków odwoławczych w celu zakwestionowania wydania danych, do informowania podmiotu danych o żądaniu wydania danych, do wsparcia podmiotu danych przeciwko władzy publicznej.
  • Zabezpieczenia organizacyjne u odbiorcy danych w państwie trzecim: wyznaczające jasne role i odpowiedzialności procedury, obejmujące również reakcję organizacji na żądanie wydania danych otrzymane od władzy publicznej; rejestry żądań i odpowiedzi udostępniane eksporterowi; zapewnienie ścisłego podejścia do dostępu do danych (na zasadnie konieczności), przestrzeganie tych zasad, ich regularny audyt i wdrażanie, także za pomocą środków dyscyplinarnych.

Warto przypomnieć, że jednym z dodatkowych środków zabezpieczających transfer danych osobowych do kraju trzeciego jest zobowiązanie odbiorcy do podjęcia wszelkich dostępnych w lokalnym prawie kroków proceduralnych w celu zakwestionowania żądania organów administracyjnych czy służb w zakresie dostępu do danych.

Taka sytuacja miała w praktyce miejsce w sprawie Microsoft Corp. V. United States z 2018 r. W sprawie tej Microsoft starał się wywalczyć przed sądami amerykańskimi prawo odmowy dostępu do danych swoich usługobiorców, które były przechowywane na serwerach Microsoft w Irlandii. Sprawa trafiła aż do Sądu Najwyższego, gdzie Microsoft był blisko wygranej (wygraną uniemożliwiło przyjęcie CLOUD Act, o którym piszemy we wcześniejszym okienku).

Po piąte, należy pojąć kroki konieczne w celu zapewnienia obowiązywania stosowanego przez nas sposobu zabezpieczenia. Może być tak, że zastosowane przez nas zmienione klauzule umowne będą np. wymagały potwierdzenia przez właściwy organ nadzorczy.

Po szóste, konieczne jest zapewnienie regularnego powtarzania całej procedury oceny skutków transferu dla ochrony danych, bowiem ryzyka, jak i stosowane środki zabezpieczające ulegają zmianie i starzeją się, zaś wysoki standard ochrony danych osobowych, jakiego wymaga Unia Europejska, nie ulega obniżeniu. 

Konieczność aktualizacji klauzul

Jak wspominamy wyżej, zestawy standardowych klauzul umownych, które zostały przyjęte przed 2021 r. stopniowo przestają obowiązywać. Już od jesieni 2021 r. nie powinny być one wykorzystywane do zawierania nowych umów, a od 27 grudnia 2022 r. powinny zostać uaktualnione do nowego wzoru przyjętego decyzją Komisji 2021/914  z dnia 4 czerwca 2021 r.

Powodów dla aktualizacji zestawów standardowych klauzul umownych było kilka:

  • Klauzule przyjęte w 2001 i 2010 r. (czyli te obowiązujące jeszcze do 2021 r.) były opracowywane w czasach, kiedy obowiązującym unijnym aktem prawnym w zakresie ochrony danych osobowych była jeszcze Dyrektywa 95/46/WE – od 2018 r. obowiązuje zaś RODO, które jednak wprowadza nowe obowiązki;
  • Klauzule były opracowywane przeszło dekadę temu w rzeczywistości innej niż ta, z którą obecnie się mierzymy. Konieczne było zapewnienie, aby zestawy klauzul umożliwiły zarówno prawidłowe odzwierciedlenie sytuacji faktycznych – długich łańcuchów przetwarzania i dalszego powierzania danych, przekazywania danych między procesorami czy administratorami w różnych krajach, a także umożliwiały zawieranie klauzul pomiędzy więcej niż dwoma podmiotami i dynamicznego przystępowania do umów kolejnych podmiotów.

Nowe standardowe klauzule umowne są oparte na założeniu modułowym, które pozwala na dobranie takich elementów umowy, które będą najbardziej odpowiednie dla realnej relacji między stronami. Ma to zapewnić bardziej praktyczną ochronę danych w transferach poza EOG. 





Podsumowanie

Rok 2022 to moment, w którym tzw. wyrok Schrems II zaczyna nabierać wyrazistego znaczenia dla wszystkich administratorów i podmiotów przetwarzających w Unii. Mimo że od czasu wydania tego wyroku minęło już 2 lata, praktyczne działania, które należy podjąć w jego konsekwencji przypadały na końcówkę roku 2021 oraz rok 2022. Teraz zbliża się także bardzo istotny termin, do którego należy zaktualizować wszystkie umowy zawarte na standardowych klauzulach umownych do nowego ich wzoru wydanego przez Komisję Europejską. Data aktualizacji to 27 grudnia 2022 r., a umowy tego rodzaju obecnie muszą być poprzedzone badaniem skutków transferu dla ochrony danych osobowych.


Kontakt
Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

Informacje

Polecane artykuły

Dyrektywa Omnibus – nowe narzędzie do zwiększenia ochrony konsumentów w UE

Dyrektywa Omnibus zwiększy ochronę praw konsumentów w zakresie zakupów w Internecie, ale także wprowadzi szereg nowych wymogów dla podmiotów prowadzących działalność w sieci.

Sztuczna inteligencja – zagrożenie czy zbawienie? Podsumowanie debaty oksfordzkiej

Jeszcze kilka lat temu sztuczna inteligencja wydawała się być częścią filmów science-fiction. Dzisiaj AI (a wraz z nią uczenie maszynowe) jest obecna prawie wszędzie. W 2018 roku tylko 30% przedsiębiorstw korzystało z AI w swoich działaniach marketingowych, w 2020 roku robiło to już 85%. Zadaliśmy sobie pytanie, czy to dobrze, czy źle, i zorganizowaliśmy debatę oksfordzką z udziałem naszych specjalistów. W niniejszym artykule przedstawiamy najważniejsze jej konkluzje.