Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Standardowe klauzule umowne i przekazywanie danych do USA. Czy to możliwe?

Aktualizacja: kwi 9


Tematyka przesyłania danych z UE do USA to jedna z najczęściej poruszanych przeze mnie na blogu kwestii. Dzieje się częściowo dlatego, że to po prostu trudne i złożone sprawy, gdzie oczekiwania biznesowe znajdują się na kursie mocno kolizyjnym z różnymi wytycznymi i wskazówkami, wynikającymi z orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej czy wytycznych Europejskiej Rady Ochrony Danych.


Dodatkowo, kwestie te bardzo szybko się zmieniają, a to co było standardem miesiąc temu, może być już zupełnie nieaktualne dziś. Drugi powód mojej częstej aktywności pisarskiej, odnoszącej się do tematyki transferów danych do USA, jest taki, że po prostu lubię te rzeczy.


Dlatego pozwolę sobie na małe podsumowanie - o transferach danych pisałem kilka razy:

Dodatkowo, jeżeli chcesz dowiedzieć się czegoś o przekazywaniu danych do USA, ale zamiast czytać, wolisz oglądać, mam coś dla Ciebie - filmik nagrany przez moją wspólniczkę, Ewę Lewańską. Ewa opowiada w nim o zasadach transferu danych do Stanów Zjednoczonych - czyli o tym samym, co w tym wpisie:




W powyższym podsumowaniu pojawiło się stwierdzenie, że program Tarcza Prywatności, który był główną podstawą do przekazywania danych do USA, jest nieważny. Co się stało?


Dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w głośnej sprawie Schrems II, w ramach której oceniał kwestie związane z przesyłaniem danych z UE (a precyzyjnie - z całego Europejskiego Obszaru Gospodarczego) do USA. No i:

  • Trybunał uznał, że program Tarcza Prywatności jest nieważny - innymi słowy, przekazywanie danych do USA na jego podstawie nie jest dopuszczalne. Co ważne, program Tarcza Prywatności był główną podstawą do przekazywania danych z UE do USA – opierały się na nim wielkie korporacje internetowe, takie jak Microsoft, Google czy Amazon. Nagle, z dnia na dzień, straciły podstawę do przesyłania danych do USA na tej podstawie.

  • Trybunał uznał, że Standardowe Klauzule Umowne generalnie są ważne.


Standardowe klauzule umowne to takie wzory umów, zatwierdzone przez Komisję Europejską, które mają gwarantować odpowiednie bezpieczeństwo danych, które są przekazywane pomiędzy dwoma podmiotami – jednym z Europejskiego Obszaru Gospodarczego, drugim spoza.

Innymi słowy, ze Standardowymi Klauzulami Umownymi mamy do czynienia gdy dwie firmy podpisują umowę zawierającą takie klauzule, przy czym jedna z nich jest administratorem danych zlokalizowanym w UE, a druga odbiorcą danych poza EOG. Umowa zapewnia szereg gwarancji, które daje ten drugi podmiot, co w teorii ma wymuszać odpowiednio wysokie standardy przetwarzania danych.


Tym samym, na Standardowych Klauzulach Umownych można opierać się podczas przekazywania danych do krajów spoza Europejskiego Obszaru Gospodarczego. Trybunał jednocześnie wskazał, że takie przekazanie powinna poprzedzić ocena czy państwo, do którego dane osobowe trafią posiada taki system prawny, który realnie zapewnia możliwość wypełnienia postanowień wspomnianych Standardowych Klauzul Umownych (w skrócie zwanych SCC).


Powołując się na SCC musimy sprawdzić czy kraj, do którego dane trafią, ma takie przepisy prawa, które zapewniają na tyle wysoki poziom ochrony praw jednostki, że możliwe będzie przestrzeganie SCC. Istotna tu jest także praktyka dotycząca poszanowania prywatności w danym państwie. Dotyczy to np. ewentualnego dostępu organów władzy publicznej do danych i związanej z tym kontroli sądowej. W praktyce taka ocena to zadanie dość złożone, zwłaszcza biorąc pod uwagę, że Komisja Europejska np. pozytywnie oceniła możliwość przekazywania danych do USA, a Trybunał Sprawiedliwości UE jednak się z tym nie zgodził.


Pomimo tych dodatkowych wymogów, ważne jest to, że nadal można przekazywać dane poza EOG na podstawie Standardowych Klauzul Umownych.




Co wynika ze stanowiska Europejskiej Rady Ochrony Danych?

W nawiązaniu do wyroku TSUE, Europejska Rada Ochrony Danych opublikowała dokument, zawierający wskazówki dotyczące tego jak można przekazywać dane poza EOG oraz mówiący o tym, co trzeba zrobić aby przekazywać dane na podstawie Standardowych Klauzul Umownych.


Jest to rozwinięcie myśli z wyroku C-311/18, czyli właśnie Schrems II. Nie ma w tym stanowisku żadnej rewolucji. Nadal jest tak, że jeżeli administrator albo podmiot przetwarzający z UE chce oprzeć przekazywanie danych do kraju spoza EOG, to na nim ciąży obowiązek sprawdzenia czy ten kraj zapewnia odpowiednio wysokie standardy bezpieczeństwa, które nie uniemożliwią realizacji postanowień Standardowych Klauzul Umownych.

EROD określił sześć podstawowych zasad dotyczących takich transferów:


1. Miej wiedzę jakie dane transferujesz do państwa spoza EOG


Najpierw powinniśmy dokładnie przeanalizować to, dokąd nasze dane (tzn. dane, które przetwarzamy jako organizacja) mogą zawędrować i w jakich sytuacjach to się dzieje. Innymi słowy, jeżeli korzystamy z usług jakiegoś podmiotu, który przetwarza nasze dane osobowe w USA, to bierzemy pod uwagę to, że dane są przesyłane do USA, sprawdzamy jakie dokładnie informacje mogą być tam przekazane, w jakim zakresie i w jakich sytuacjach.. Dotyczy to również podwykonawców takiego podmiotu, np. w zakresie usług serwisowych czy też zbierania danych analitycznych. Jeśli więc ten usługodawca sam ma podwykonawców w jeszcze innym kraju, np. w Indiach, to również tę kwestię powinniśmy wziąć pod uwagę.


To może być problem w przypadku korzystania z usług dużych korporacji, świadczących usługi chmurowe, które mają sporo podwykonawców rozsianych po całym świecie. Trudnością jest bowiem zweryfikowanie jakie dane rzeczywiście są wysyłane do podwykonawców i w jakim momencie dochodzi do takiej sytuacji.


EROD zaleca stworzenie mapy transferów danych, która wskazywałaby w jakich sytuacjach dane są przekazywane poza Europejski Obszar Gospodarczy. Wskazówką aby zrealizować taki obowiązek może być wykorzystanie rejestru czynności przetwarzania, który jest stosowany w organizacji.


2. Znaj podstawę, na jakiej opierasz takie przekazywanie danych poza Europejski Obszar Gospodarczy.


RODO przewiduje istnienie kilku podstaw przekazania danych poza EOG. Najczęściej spotykane to:

  • decyzja Komisji Europejskiej w sprawie uznania, że jakieś państwo spełnia wymogi dot. przetwarzania danych adekwatne do tych, które wynikają z RODO,

  • Standardowe Klauzule Umowne,

  • wiążące reguły korporacyjne.


Jeżeli tą podstawą jest decyzja Komisji Europejskiej stwierdzająca, że państwo spoza Europejskiego Obszaru Gospodarczego spełnia odpowiednie wymogi w zakresie ochrony danych osobowych, tak jak np. Szwajcaria albo Japonia, to nie ma problemu – przekazanie danych może się odbyć.


W sytuacji natomiast gdy opierasz się na innej podstawie, takiej jak np. Standardowe Klauzule Umowne, o których pisałem powyżej albo wiążące reguły korporacyjne (np. zasady przetwarzania danych przyjęte na poziomie międzynarodowej grupy kapitałowej), konieczne jest podjęcie dodatkowych działań, opisanych w dalszych punktach wytycznych EROD. Polegają one w dużej mierze na upewnieniu się, czy przekazanie danych na pewno nie naruszy praw osób, których te dane dotyczą.


3. Oceń, czy jest coś w przepisach prawa lub praktyce państwa trzeciego co może utrudnić realizację wymogów dot. przekazywania danych na podstawie wybranego przez Ciebie środka bezpieczeństwa


O co tu chodzi? Jeżeli przekazujesz dane osobowe do państwa spoza Europejskiego Obszaru Gospodarczego i opierasz takie przekazywanie np. na Standardowych Klauzulach Umownych, powinieneś zbadać jedną ważną rzecz.


Musisz sprawdzić, czy przepisy prawa, które obowiązują w państwie trzecim, albo panujące tam zwyczaje czy praktyka sądowa, nie uniemożliwią realizacji zasad wynikających ze Standardowych Klauzul Umownych. Oczywiście nie musisz tego robić w sytuacji gdy Komisja Europejska uznała, że jakieś państwo spełnia wymogi w zakresie ochrony danych, które są adekwatne do tych wynikających z RODO. W takim przypadku możesz spokojnie uznać, że Komisja dokonała takiej oceny za Ciebie.


Jeżeli jednak decyzji w sprawie adekwatności nie ma, konieczna jest weryfikacja na ile prawo kraju, w którym znajduje się siedziba odbiorcy danych może mieć wpływ na realizację obowiązków wynikających z RODO. Musisz więc zweryfikować, czy przekazanie danych poza Europejski Obszar Gospodarczy nie naruszy przysługujących osobom, których dane dotyczą praw. Jeżeli istnieje ryzyko, że tak się stanie, przekazanie danych nie powinno mieć miejsca. Najpierw należałoby bowiem wdrożyć odpowiednie zabezpieczenia, tak aby zminimalizować ryzyko. Jeżeli takich zabezpieczeń nie ma, trzeba niestety zrezygnować z transferu.


O jakie przepisy prawa może chodzić?


EROD wskazał, że szczególnej analizy wymagają te przepisy prawa, które dotyczą przekazywania danych organom publicznym albo umożliwiania takim organom bezpośredniego dostępu do takich danych. Może to dotyczyć np. działań związanych ze zwalczaniem przestępczości i bezpieczeństwem narodowym. Regulacje takie nie mogą być nadmiernie ingerujące w prywatność obywateli i powinny pozostawać zgodne z Unijną Kartą Praw Podstawowych. Czasem może być tak, że sama analiza przepisów prawa nie wystarczy – trzeba też zweryfikować np. doniesienia medialne albo ogólną praktykę działania organów danego państwa.


Całą tę analizę należy przeprowadzić przy uwzględnieniu kontekstu przetwarzania danych. Tym samym, ocena powinna uwzględniać np. to w jakiej branży działasz, jakie kategorie danych są przetwarzane, kto będzie odbiorcą danych (np. dostawca jakichś usług online) i w jakim zakresie będzie on przetwarzał przekazane dane osobowe.


4. Wprowadź dodatkowe zabezpieczenia – oczywiście o ile to konieczne


Czasem może zdarzyć się tak, że transfer danych nie jest możliwy, bo kraj trzeci nie spełnia odpowiednich wymogów. W konsekwencji, mogłoby dojść do naruszenia praw osób, których dane dotyczą. Istnieje jednak metoda takiego zabezpieczenia danych, które sprawi, że uda się uniknąć ewentualnych przeszkód związanych z przekazywaniem danych.


Przykładowo, jeżeli dane osobowe są przechowywane na serwerze w państwie poza Europejskim Obszarem Gospodarczym i organy ścigania w tym państwie mogą mieć dostęp do tych danych niezgodnie z wymogami wynikającymi z RODO, nie powinniśmy dokonywać transferu danych osobowych na ten serwer. Stanie się to jednak możliwe w sytuacji gdy dane zostaną zaszyfrowane, a jedynie my (w Europie) będziemy mieli klucze deszyfrujące, umożliwiające dostęp do takich danych. Innymi słowy, ani dostawca usługi serwerowej z państwa trzeciego, ani organy ścigania w tym państwie, nie będą mogły skutecznie dokonać odczytu danych.


Wspominam tu o szyfrowaniu, bo jest to najczęściej wskazywany środek, umożliwiający zabezpieczenie takich danych. Pamiętajmy o tym, że takie szyfrowanie powinno mieć charakter szyfrowania end2end – dostawca usługi przechowywania danych w państwie trzecim nie powinien mieć możliwości samodzielnego ich odszyfrowania. Co ważne, EROD wskazuje, że rzadko zdarzy się tak, że dodatkowe środki bezpieczeństwa będzie można oprzeć tylko na procedurach i zabezpieczeniach organizacyjnych.


Po spełnieniu tego wymogów z tego punktu możemy rozpocząć transfer danych.


5. Uzyskanie ewentualnych zezwoleń organu nadzorczego


W niektórych sytuacjach RODO wymaga uzyskania dodatkowego zezwolenia organu nadzorczego na transfer. To nie jest częsty przypadek – generalnie rzecz biorąc, wykorzystanie samych Standardowych Klauzul Umownych nie wymaga uzyskiwania dodatkowych zezwoleń (chyba, ze chcielibyśmy sami przygotować podobną umowę). Ale już np. wiążące reguły korporacyjne powinny być zaakceptowane przez taki organ nadzorczy.


6. Bieżąca ocena ewentualnych zmian i prawidłowości przekazywania danych


EROD wskazuje, że powinniśmy co jakiś czas weryfikować czy przetwarzanie danych jest nadal dopuszczane. Dotyczy to zwłaszcza sytuacji gdy zmienia się prawo w państwie trzecim, w którym siedzibę ma odbiorca danych. Co ważne, EROD podkreśla aby robić to w regularnych, odpowiednich odstępach czasu.


Takie okresowe analizy, podobnie zresztą jak wszystkie inne analizy i oceny dokonywane na podstawie wytycznych EROD, powinniśmy dokumentować, tak aby móc wykazać spełnianie tych obowiązków zgodnie z zasadą rozliczalności, wynikającą z RODO.

To już koniec


Wydawałoby się, że spełnienie opisanych obowiązków nie jest szczególnie trudne. Teoretycznie tak, ale problemy zaczynają się w związku z praktyczną oceną systemu prawnego państwa trzeciego i panujących tam zasad. Przykładowo, EROD dość kategorycznie stwierdza, że amerykańskie przepisy prawa, a zwłaszcza ustawa FISA i jej sekcja 702, dotycząca zbierania danych ludzi innych niż obywatele USA, narusza zasadę proporcjonalności obowiązują w UE, a więc transfer danych do USA może być dokonywany jedynie pod warunkiem wprowadzenia dodatkowych zabezpieczeń. To mało optymistyczne, ale tak czy siak pozostaje mi życzyć powodzenia w tej kwestii.



Jeśli masz jakieś dodatkowe pytania dotyczące transferu danych poza Europejski Obszar Gospodarczy, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.

#EROD #ochronadanych #transferpozaEOG #standardoweklauzuleumowne #schremsii #tsue

  • LinkedIn Social Icon
72641531_2826510837372791_62610008722353

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.