W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (tzw. sprawa Schrems II), który w praktyce przekreśla legalny transfer danych osobowych do USA na podstawie dotychczas wypracowanego mechanizmu, tzw. Privacy Shield (Tarcza Prywatności).
Trybunał stwierdził nieważność decyzji Komisji Europejskiej 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. O kwestii przekazywania danych osobowych do USA pisaliśmy w jednym z poprzednich artykułów.
W ocenie Trybunału prawo Stanów Zjednoczonych nie zapewnia co do zasady równoważnego stopnia ochrony danych osobowych, jak prawo Unii Europejskiej. Argumentowano to zbyt dużą ingerencją w prawa podstawowe osób fizycznych i przekazywanie danych osobowych na potrzeby bezpieczeństwa narodowego.
Tym samym automatyczne przekazywanie danych osobowych do USA na podstawie ww. decyzji Komisji Europejskiej nie jest już legalne. Co to oznacza w praktyce?
Transfer danych osobowych do USA – jak to wygląda w praktyce?
Każdy podmiot chcący dokonać transferu danych osobowych do USA musi każdorazowo dokonać oceny, uwzględniając przy tym okoliczności przekazywania danych osobowych oraz środki uzupełniające, które należy zastosować. Klauzule zastosowane w umowie z podmiotem z USA, zastosowane środki uzupełniające, jak i okoliczności transferu danych osobowych muszą gwarantować brak negatywnego wpływu prawa USA na ochronę danych osobowych.
W przypadku uznania, że nie jest możliwe zapewnienie odpowiedniego stopnia ochrony danych osobowych transferowanych do USA, należy zaprzestać ich przekazywania. Dalsze działania w takich warunkach wymagają poinformowania Prezesa Urzędu Ochrony Danych Osobowych.
Przekazywanie danych do USA wciąż jest możliwe na podstawie wyjątków przewidzianych w art. 49 RODO, pod warunkiem istnienia przesłanek w nim określonych. Zgodnie z ww. przepisem w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem:
- wyraźnej zgody osoby, której dane osobowe podlegają przekazaniu, wyrażonej po uprzednim poinformowaniu o ryzyku jakie wiąże się z przekazaniem;
- przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
- przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
- przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
