Transfery danych osobowych poza EOG – wyzwania w 2022 r.

Transfery mają ogromne znaczenie dla Unii

Międzynarodowy transfer danych osobowych ma niebagatelne znaczenie dla naszej wygody, efektywności prowadzenia biznesu, innowacyjności, a także zysków. Jednym z najbardziej znaczących transferów danych z Unii Europejskiej jest ten przez Atlantyk, do USA. Zgodnie z szacunkami Eurostatu, stosunki gospodarcze między Unią a Stanami Zjednoczonymi mają wartość 7,1 biliona dolarów. Udział biznesów opartych na danych będzie w tym względzie rósł ze względu na stopniowy rozwój technologiczny i rosnącą cyfryzację kolejnych obszarów naszego życia. Eurostat szacuje również, że gdyby zatrzymać przepływ danych poza Unię w sektorach opartych na danych – produkt Unii brutto spadłby aż o 2,5%. Jak więc widzimy, transfery danych osobowych poza EOG są elementem koniecznym naszej codzienności.

Standardowe klauzule umowne – powtórka z historii

Ochrona danych osobowych w Unii, a więc i kontrowersje związane z transferem danych poza EOG, nie zaczęły się wraz z wejściem w życie RODO. Już od 1995 roku Unia chroni dane osobowe swoich obywateli – przed RODO ochrona obowiązywała na podstawie Dyrektywy 95/46/WE (Dyrektywa). To właśnie ta dyrektywa przewidywała zabezpieczenie transferu danych poza EOG za pomocą standardowych klauzul umownych opracowywanych przez Komisję Europejską.

W czasie obowiązywania Dyrektywy uchwalono 3 takie zestawy klauzul – w 2001, 2002 i 2010 roku. Zestaw klauzul uchwalony w 2002 r. stracił ważność wraz z uchwaleniem nowego zestawu w 2010 r.

Dodatkowo, w czasie obowiązywania Dyrektywy, Komisja Europejska wydawała decyzje o adekwatności państw trzecich w zakresie przetwarzania danych osobowych – był to mechanizm analogiczny do tego przewidzianego w RODO. Decyzje o adekwatności wydane na gruncie Dyrektywy zachowały z resztą moc na gruncie RODO. 

Transfer danych do USA

Jedną z decyzji o adekwatności była ta zatwierdzająca umowę międzynarodową między USA a Unią w zakresie przekazywania danych – tak zwany Safe Harbor (2000 r.). Decyzja ta została skutecznie zakwestionowana przez Maximiliana Schremsa w postępowaniu przeciwko Facebookowi i w efekcie, w 2015 r. Trybunał Sprawiedliwości Unii Europejskiej uznał tę umowę międzynarodową za nieważną. Unia i USA w krótkim czasie opracowały i zwarły nowe porozumienie – Privacy Shield – które zostało zawarte już w 2016 r. Było ono, podobnie jak Safe Harbor oparte na zasadzie samocertyfikacji podmiotów prywatnych w USA.

Decyzja 2016/1250 z 12 lipca 2016 r., która zatwierdzała Privacy Shield jako adekwatny mechanizm zabezpieczenia transferów danych pomiędzy USA a Unią została uznana za nieważną w wyroku Schrems II. Głównymi zarzutami względem amerykańskiego porządku prawnego, które doprowadziły do obalenia tej decyzji były:

• Znaczący zakres danych osobowych, w tym metadanych, do których mają dostęp służby amerykańskie (np. NSA, CIA i FBI) – w tym w ramach programów PRISM i UPSTREAM, gdzie dane osobowe dotyczące obywateli państw innych niż USA mogą być pozyskiwane z selektorów operatorów telekomunikacyjnych oraz z kabli biegnących po dnie Atlantyku;

• Brak skutecznego środka prawnego przeciwko nadmiernemu pozyskiwaniu danych osobowych przez służby, który przysługiwałby obywatelom państw innych niż USA.

Na ten moment nie ma jeszcze obowiązującej podstawy prawnej, która pozwalałaby na swobodny transfer danych do USA, jednak prowadzone są w sposób szybki i, jak się wydaje, skuteczny rozmowy pomiędzy Unią Europejską a Stanami Zjednoczonymi. W marcu 2022 r. Komisja wydała komunikat, w którym wskazała, że zostały już ustalone główne założenia nowego porozumienia, które ma zastąpić Privacy Shield:

• Porozumienie ma być oparte na podobnym założeniu jak Safe Harbor i Privacy Shield, czyli na samocertyfikacji podmiotów amerykańskich;

• Organy wywiadowcze USA mają być związane zabezpieczeniami ograniczającymi dostęp do danych i zapewnić ich niezbędność i adekwatność do celu ochrony bezpieczeństwa narodowego; służby wywiadowcze USA mają przyjąć procedurę zapewniającą odpowiednie poszanowanie prywatności i innych wolności obywatelskich;

• Ma zostać wprowadzony nowy, dwustopniowy system rozpatrywania skarg Europejczyków na dostęp do ich danych przez służby amerykańskie;

• Zostaną wprowadzone mechanizmy monitorowania i weryfikacji. 

Zapewnienie adekwatnego poziomu ochrony danych osobowych w państwie trzecim

Zgodnie z RODO (np. art. 44), przekazywanie danych osobowych musi być dokonywane w taki sposób, aby nie został naruszony stopień ochrony danych zapewniany przez RODO. Temu właśnie służą mechanizmy ochrony transferów przewidziane w art. 46 RODO – m.in. umowy zawierane na standardowych klauzulach umownych oraz wiążące reguły korporacyjne.

Aby takie mechanizmy mogły jednak być skutecznym sposobem na zabezpieczenie transferu danych osobowych do państwa trzeciego, konieczne jest zbadanie, czy mogą one zostać faktycznie w państwie odbiorcy wykonane. Jak zauważył bowiem Trybunał Sprawiedliwości UE w wyroku Schrems II - postanowienia umowne (czy to w klauzulach, czy w wiążących regułach korporacyjnych) wiążą jedynie strony podpisujące takie zobowiązania, jednak nie organy władzy w państwie obiorcy. Trzeba także mieć na uwadze, że importer danych, będąc postawiony w konflikcie pomiędzy naruszeniem zobowiązań umownych wynikających z klauzul czy wiążących reguł korporacyjnych a naruszeniem prawa w państwie swojej siedziby w dużym prawdopodobieństwem zdecyduje się na naruszenie umowy. 

Badanie skutków transferu dla ochrony danych (Transfer Impact Assessment)

Zarówno Trybunał Sprawiedliwości UE w wyroku Schrems II, jak i Europejska Rada Ochrony Danych w wydanych już po wyroku Schrems II Zaleceniach 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych (wersja 2.0 przyjęta 18 czerwca 2021 r. wyszczególniły elementy obowiązkowego badania państwa odbiorcy danych, które musi być przeprowadzone przed każdym transferem danych osobowych do państwa trzeciego:

Po pierwsze, konieczne jest dokładne zmapowanie transferów danych w organizacji administratora. W wielu przypadkach jest to jeden z najtrudniejszych elementów badania. Trzeba pamiętać, że sprawdzenie musi obejmować nie tylko takie umowy, które aktywnie negocjowaliśmy z dostawcami i które zawierają ustaloną wspólnie klauzulę nakazującą uzyskanie przez procesora zgody na transfer (a czy faktycznie o nią wystąpił? Też warto sprawdzić). Konieczne jest również sprawdzenie narzędzi i usług, z których korzystamy w oparciu o umowy adhezyjne, tj. zawarte np. na podstawie akceptacji niemożliwego do negocjacji regulaminu. Kwestie przekazywania danych osobowych do państw takich jak USA, Australia czy inne państwa trzecie mogą być elementem regulaminu czy polityki prywatności takiego dostawcy. Na tym etapie zalecana jest także weryfikacja czy transfer jest zgodny z naczelnymi zasadami przetwarzania jak minimalizacja danych.

Po drugie, konieczne jest zweryfikowanie podstawy prawnej transferu. Może to być jeden z mechanizmów zabezpieczających przewidzianych w art. 46 RODO, ale być może także wyjątek przewidziany w art. 49 RODO (np. zgoda podmiotu danych). Ważne jest monitorowanie takich środków zabezpieczających.W tym zakresie bardzo istotne jest, aby mieć na uwadze, że uległy zmianie standardowe klauzule umowne, które są najpopularniejszym środkiem zabezpieczającym transfer danych poza EOG. Muszą one zostać uaktualnione w obowiązujących umowach do 27 grudnia 2022 r.

Po trzecie, konieczna jest ocena całości porządku prawnego kraju, do którego zamierzamy eksportować dane osobowe. Badania takie musi obejmować:

• porządek prawny danego państwa trzeciego i czy jest ono w praktyce stosowane (jeśli miałoby spełniać formalnie standard europejski) oraz relewantne elementy praktyki w danym państwie trzecim – w tym możliwość korzystania przez osoby z Europy ze skutecznych środków ochrony;

• ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych bez wiedzy odbiorcy danych w państwie trzecim (w świetle obowiązującego prawa, praktyki i precedensów);

• ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych poprzez odbiorcę danych w państwie trzecim, operatorów telekomunikacyjnych lub kanały komunikacji  (w świetle obowiązującego prawa, technicznych, finansowych i ludzkich możliwości takich organów);

• kontekst eksportu danych: cele przetwarzania, charakter odbiorcy danych i odpowiedni sektor, kategorie przekazywanych danych, gdzie dane będą przechowywane, format danych i kwestie dalszych transferów.
  
  Należy pamiętać, że o ile eksporter danych może opierać się na informacjach i zapewnieniach pozyskanych od odbiorcy w państwie trzecim, o tyle odpowiedzialność za sprawdzenie wszelkich publicznie dostępnych źródeł – treści prawa, publicznie dostępnych decyzji, raportów organizacji pozarządowych czy biznesowych – nadal spoczywa na nim. Jeśli oświadczenia odbiorcy danych będą sprzeczne z powszechnie dostępnymi informacjami, odpowiedzialność za bezprawny transfer obciąży eksportera danych. 

Po czwarte, jeśli to niezbędne ze względu na problematyczne ustawodawstwo lub praktykę w danym państwie trzecim, konieczne jest wprowadzenie dodatkowych środków zabezpieczających, które mają na celu utrzymanie transferu danych na bezpiecznym poziomie mimo takich trudności. Sugerowane przez Europejską Radę Ochrony Danych środki zabezpieczające to m.in.:

• Środki techniczne: przede wszystkim szyfrowanie (w tym w transferze), pseudonimizacja, rozdzielenie procesów między kilku odbiorców.

• Korzystanie z dostępnych wyjątków w prawie kraju odbiorcy – np. obowiązków w zakresie ustawowej tajemnicy zawodowej.

• Dodatkowe zobowiązania umowne: do wymienienia wszelkich mających zastosowanie przepisów, udzielania informacji o otrzymanych żądaniach wydania danych, w tym statystykach odnoszących się do przeszłości, o środkach podjętych dla zapobieżenia ujawnieniu danych, braku obowiązku zostawiania obejść dla organów władzy, przekazywania raportów o braku żądań (Warrant Canary), do wykorzystania całości środków odwoławczych w celu zakwestionowania wydania danych, do informowania podmiotu danych o żądaniu wydania danych, do wsparcia podmiotu danych przeciwko władzy publicznej.

• Zabezpieczenia organizacyjne u odbiorcy danych w państwie trzecim: wyznaczające jasne role i odpowiedzialności procedury, obejmujące również reakcję organizacji na żądanie wydania danych otrzymane od władzy publicznej; rejestry żądań i odpowiedzi udostępniane eksporterowi; zapewnienie ścisłego podejścia do dostępu do danych (na zasadnie konieczności), przestrzeganie tych zasad, ich regularny audyt i wdrażanie, także za pomocą środków dyscyplinarnych.

Warto przypomnieć, że jednym z dodatkowych środków zabezpieczających transfer danych osobowych do kraju trzeciego jest zobowiązanie odbiorcy do podjęcia wszelkich dostępnych w lokalnym prawie kroków proceduralnych w celu zakwestionowania żądania organów administracyjnych czy służb w zakresie dostępu do danych.

Taka sytuacja miała w praktyce miejsce w sprawie Microsoft Corp. V. United States z 2018 r. W sprawie tej Microsoft starał się wywalczyć przed sądami amerykańskimi prawo odmowy dostępu do danych swoich usługobiorców, które były przechowywane na serwerach Microsoft w Irlandii. Sprawa trafiła aż do Sądu Najwyższego, gdzie Microsoft był blisko wygranej (wygraną uniemożliwiło przyjęcie CLOUD Act, o którym piszemy we wcześniejszym okienku).

Po piąte, należy pojąć kroki konieczne w celu zapewnienia obowiązywania stosowanego przez nas sposobu zabezpieczenia. Może być tak, że zastosowane przez nas zmienione klauzule umowne będą np. wymagały potwierdzenia przez właściwy organ nadzorczy.

Po szóste, konieczne jest zapewnienie regularnego powtarzania całej procedury oceny skutków transferu dla ochrony danych, bowiem ryzyka, jak i stosowane środki zabezpieczające ulegają zmianie i starzeją się, zaś wysoki standard ochrony danych osobowych, jakiego wymaga Unia Europejska, nie ulega obniżeniu. 

Konieczność aktualizacji klauzul

Jak wspominamy wyżej, zestawy standardowych klauzul umownych, które zostały przyjęte przed 2021 r. stopniowo przestają obowiązywać. Już od jesieni 2021 r. nie powinny być one wykorzystywane do zawierania nowych umów, a od 27 grudnia 2022 r. powinny zostać uaktualnione do nowego wzoru przyjętego decyzją Komisji 2021/914  z dnia 4 czerwca 2021 r.

Powodów dla aktualizacji zestawów standardowych klauzul umownych było kilka:

• Klauzule przyjęte w 2001 i 2010 r. (czyli te obowiązujące jeszcze do 2021 r.) były opracowywane w czasach, kiedy obowiązującym unijnym aktem prawnym w zakresie ochrony danych osobowych była jeszcze Dyrektywa 95/46/WE – od 2018 r. obowiązuje zaś RODO, które jednak wprowadza nowe obowiązki;
• Klauzule były opracowywane przeszło dekadę temu w rzeczywistości innej niż ta, z którą obecnie się mierzymy. Konieczne było zapewnienie, aby zestawy klauzul umożliwiły zarówno prawidłowe odzwierciedlenie sytuacji faktycznych – długich łańcuchów przetwarzania i dalszego powierzania danych, przekazywania danych między procesorami czy administratorami w różnych krajach, a także umożliwiały zawieranie klauzul pomiędzy więcej niż dwoma podmiotami i dynamicznego przystępowania do umów kolejnych podmiotów.

Nowe standardowe klauzule umowne są oparte na założeniu modułowym, które pozwala na dobranie takich elementów umowy, które będą najbardziej odpowiednie dla realnej relacji między stronami. Ma to zapewnić bardziej praktyczną ochronę danych w transferach poza EOG.