Transfer danych osobowych do USA po wyroku w sprawie Schrems II. Praktyczne informacje dla przedsiębiorców z sektora MŚP

Istotnym elementem działalności wielu polskich przedsiębiorców, w szczególności z branży e-commerce oraz innych prowadzących biznes w środowisku online, jest transfer danych osobowych do państw spoza terytorium Europejskiego Obszaru Gospodarczego[1], w tym do USA, choć nie zawsze są oni świadomi tego faktu. W rozumieniu RODO[2] jest to tzw. transfer danych do państw trzecich, który jest obarczony dodatkowymi wymogami, jako że w państwach tych nie znajdują zastosowania przepisy ww. rozporządzenia. W celu zapewnienia wysokiej i skutecznej ochrony danych osobowych, aby taki transfer mógł zostać uznany za legalny, podmioty, które przekazują dane do państw trzecich, muszą zatem posiadać adekwatną podstawę prawną – jeden z formalnych mechanizmów transferu przewidzianych w RODO. 

Do niedawna, tj. do czasu wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 roku w sprawie Schrems II[3], w zakresie transferu danych osobowych do USA taką adekwatną podstawę stanowiła decyzja Komisji Europejskiej nazywana „Tarczą Prywatności”[4]. Była ona powszechnie wykorzystywana zarówno przez przedsiębiorców z sektora MŚP, jak i przez globalne korporacje, w tym np. czołowych graczy z branży IT takich jak Google czy Microsoft. Na mocy wspomnianego wyroku decyzja ta została jednak uznana za nieważną i, co istotne, automatycznie utraciła moc wiążącą, tzn. nie przewidziano w tym zakresie żadnego okresu przejściowego. W efekcie od daty wyroku nie można się już na nią skutecznie powoływać. Ponadto lektura wyroku zmusza również do tego, aby zastanowić się, na ile w przypadku transferu danych do USA możliwe jest w ogóle powoływanie się na inne „mechanizmy” przewidziane w RODO, w tym standardowe klauzule umowne lub wiążące reguły korporacyjne.

Obecnie powstaje więc pytanie, czy, a jeżeli tak, to w jaki sposób i na jakiej podstawie, można przekazywać dane osobowe z UE do USA – tak aby nie narazić się na zarzut naruszenia przepisów RODO i związane z nim potencjalne i dotkliwe konsekwencje finansowe. 

Transfer danych do państw trzecich

W pierwszej kolejności przedsiębiorcy powinni jednak ustalić, czy w ramach prowadzonej przez nich działalności w ogóle dochodzi do transferu danych osobowych do Stanów Zjednoczonych (lub innych państw trzecich). Warto tu zwrócić uwagę na kilka podstawowych kwestii, w tym przede wszystkim wyjaśnić, czym jest transfer danych i kiedy może on mieć miejsce.

Transfer (inaczej: przekazanie) danych osobowych to czynność polegająca na ich „fizycznym” przemieszczeniu z jednej lokalizacji do innej – przykładowo na przesłaniu lub przeniesieniu danych osobowych z punktu A do punktu B w wiadomości email, na dysku online, na pendrive, a także poprzez zamieszczenie danych na serwerze lub przesłanie ich przez sieć informatyczną. Jest to więc jedna z form przetwarzania danych osobowych.

Z transferem danych do państwa trzeciego będziemy mieli natomiast do czynienia w przypadku, gdy dane są przekazywane do państwa (tj. dosłownie przekraczają granicę terytorialną[5]), które w RODO określone jest mianem tzw. „państwa trzeciego”. Jak już zostało wskazane, pojęcie to obejmuje państwa, które nie należą do Europejskiego Obszaru Gospodarczego, w tym USA. Jednocześnie, jak wskazuje B. Fischer, dla ustalenia, że w danym przypadku faktycznie występuje transfer danych do państwa trzeciego „nie ma znaczenia, czy przekazanie danych osobowych ma charakter jednorazowy (incydentalny), czy wielokrotny (set of transfers), sposób przekazywania, okres gromadzenia i przechowywania danych, forma prawna, na podstawie której dochodzi do przekazania[6]”. Nie ma również znaczenia, czy w rzeczywistości dochodzi do zapoznania się z danymi w państwie trzecim; wystarczające jest, jeżeli jest jedynie taka możliwość.

W praktyce transfer danych osobowych do USA w ramach działalności prowadzonej przez polskich przedsiębiorców często ma miejsce w przypadku:

• korzystania z narzędzi analitycznych firm amerykańskich (np. Google Analytics);
• korzystania z usług poczty elektronicznej firm amerykańskich (np. Gmail, Yahoo);
• korzystania z narzędzi informatycznych firm amerykańskich wspomagających bieżącą działalność (np. do zarządzania projektami, zgłaszania problemów, komunikacji);
• korzystania z usług amerykańskich dostawców rozwiązań informatycznych (w tym usług hostingowych, np. Microsoft Azure, AWS Amazon);
• współpracy biznesowej z amerykańskimi podmiotami (np. partnerami, pracownikami);
• innych sytuacji, w których dane osobowe są przekazywane z terytorium UE do USA.

W przypadku ustalenia, że w ramach danej działalności dochodzi do transferu danych do USA, w następnej kolejności należy zastanowić się nad wyborem właściwej dla takiego przetwarzania podstawy prawnej określonej w RODO.

Podstawy transferu danych do państw trzecich

Generalnie w przypadku transferu danych osobowych do państw trzecich – a więc nie tylko USA, ale także np. Szwajcarii, Japonii, Nowej Zelandii – możliwe do wyboru i stosowane w praktyce są zasadniczo następujące opcje – „mechanizmy” transferu[7]:

• decyzja Komisji UE stwierdzająca odpowiedni stopień ochrony danych w państwie, do którego są one transferowane (wydawana w odniesieniu do konkretnego państwa),
• standardowe klauzule umowne[8] przyjęte lub zatwierdzone przez Komisję, w prawidłowy sposób implementowane do umów dotyczących transferu danych osobowych,
• wiążące reguły korporacyjne[9], tj. polityki ochrony danych osobowych mające charakter wewnątrzorganizacyjny, ustanawiane na poziomie globalnych grup kapitałowych.

Szczególnie w przypadku USA kwestia wyboru adekwatnej podstawy transferu jest jednak obecnie dosyć skomplikowana z uwagi na wspomniany już wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II.

Co wynika z wyroku w sprawie Schrems II?

Analiza wyroku w sprawie Schrems II prowadzi do prostego wniosku – transfer danych do USA na podstawie decyzji Komisji UE zwanej „Tarczą Prywatności” nie jest możliwy – tzn. stanowi naruszenie RODO i wiąże się z ryzykiem poniesienia znacznych konsekwencji finansowych –  ponieważ decyzja ta z chwilą wydania wyroku jest nieważna[10]. Tym samym wszystkie podmioty, które dotychczas powoływały się na ten „mechanizm” transferu, powinny zmienić podejście i dostosować swoje działania do nowej rzeczywistości prawnej. Co do zasady pozostaje im więc oparcie takiego transferu na standardowych klauzulach umownych lub na wiążących regułach korporacyjnych. Warto tu jednak zasygnalizować, że dla przedsiębiorców z sektora MŚP, o ile nie są one częścią międzynarodowej grupy kapitałowej, realnie „dostępna” będzie tylko pierwsza z ww. podstaw.

I, co istotne, tu również sytuacja nie staje się dla przedsiębiorców prosta. W omawianym wyroku TSUE wskazał bowiem, że w niektórych przypadkach standardowe klauzule umowne „mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego[11]”.

Taka sytuacja może mieć szczególnie miejsce wtedy, kiedy prawa podmiotów danych nie są w państwie trzecim egzekwowalne lub są narażone na znaczną ingerencję, np. ze strony organów lub władz. W kontekście USA kwestia ta jest niezwykle ważna, ponieważ właśnie z uwagi na sytuację prawną oraz praktyki stosowane w tym kraju w zakresie przekazywania danych organom ścigania oraz władzom publicznym, w szczególności rygorystyczne przepisy inwigilacyjne, TSUE podał w wątpliwość legalność przekazywania danych osobowych do USA w oparciu tylko o standardowe klauzule umowne[12].

Na marginesie należy wskazać, że biorąc pod uwagę szeroki zakres zastosowania ww. amerykańskich przepisów inwigilacyjnych, powstaje również wątpliwość, czy w ogóle obecnie jest możliwy legalny transfer danych do USA, tj. czy nawet przy zastosowaniu pewnych dodatkowych zabezpieczeń i środków bezpieczeństwa podmiot transferujący jest w stanie zapewnić odpowiednią ochronę przekazywanych danych. Trudno w tym zakresie na tę chwilę o jednoznaczną odpowiedź. Zasadne jest więc, aby zadać sobie pytanie, czy warto podejmować takie ryzyko i dokonywać ww. transferu, w tym czy nie lepiej np. zrezygnować z usług lub narzędzi firm amerykańskich na rzecz firm europejskich – jest to opcja prawnie bezpieczna, choć oczywiście może wymuszać konieczność poniesienia dodatkowych kosztów związanych ze zmianą stosowanych rozwiązań technologicznych lub dostawców. Przy założeniu jednak, że transfer danych do USA w ramach danej działalności jest kluczowy lub co najmniej istotny, przedsiębiorcom nie pozostaje nic innego jak odpowiednio go zabezpieczyć.

Oprócz standardowych klauzul umownych zasadne jest zatem stosowanie dodatkowych zabezpieczeń i środków transferu, zapewniających wysoką ochronę danych osobowych podmiotów z EOG. Przy czym aktualnie nie ma oficjalnych wytycznych co do tego, jakie to powinny być zabezpieczenia i środki. Dostępne są jedynie rekomendacje oraz zalecenia, które są opisane w dalszej części artykułu. W tym zakresie należy więc liczyć na działalność właściwych organów nadzoru. Jest to istotne o tyle, że TSUE wyraźnie podkreślił, że to do podmiotu dokonującego transferu (administratora lub podmiotu przetwarzającego) „należy sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach”. Innymi słowy to podmiot dokonujący transferu jest odpowiedzialny za weryfikację poziomu bezpieczeństwa ochrony danych w państwie, do którego je przekazuje i to on ponosi za taki transfer odpowiedzialność.

Jak zminimalizować ryzyko związane z transferem danych do USA?

Do czasu wydania jednoznacznych wytycznych w tym zakresie przez właściwe organy nadzoru, należy przyjąć, że każdy transfer danych osobowych do USA wiąże się z ryzkiem naruszenia przepisów RODO. Nie oznacza to jednak, że jest on stanowczo zakazany, tzn. że bezwzględnie nie można przekazywać danych do USA. To do administratora należy ostatecznie decyzja biznesowa w tym zakresie, która powinna być poprzedzona analizą wszystkich „za” i „przeciw” związanych z takim przetwarzaniem danych. Powstaje zatem pytanie, jak skutecznie zminimalizować ww. ryzyko związane z transferem danych do USA?

Zgodnie z aktualnie dostępnymi zaleceniami oraz rekomendacjami[13], transfer danych do Stanów Zjednoczonych czy to na podstawie standardowych klauzul umownych, czy wiążących reguł korporacyjnych, aby mógł zostać uznany za legalny, musi być przede wszystkim należycie zabezpieczony. Podmiot dokonujący transferu powinien w szczególności stosować dodatkowe zabezpieczenia i środki, w tym prawne, organizacyjne oraz techniczne – może to polegać np. na dokładnej weryfikacji oraz analizie umów zawieranych z dostawcami usług lub narzędzi wykorzystywanych w ramach danej działalności, regulaminów świadczenia usług czy uzyskaniu od takich dostawców informacji lub oświadczeń w zakresie stosowanych zasad bezpieczeństwa przetwarzania danych.

Do przykładowego katalogu dodatkowych zabezpieczeń i środków można zaliczyć m.in.:

• środki prawne:
  1. umowne ograniczenie odbiorcy danych z USA dostępu do tych danych (np. tylko w zakresie w jakim jest to niezbędne dla świadczenia przez niego usług);
  2. obowiązek odbiorcy danych z USA poinformowania podmiotu dokonującego transferu o żądaniach ujawnienia danych organów ścigania (gdy obowiązek ujawnienia danych wynika z bezwzględnie obowiązujących przepisów prawa);
  3. obowiązek odbiorcy danych z USA udostepnienia podmiotowi dokonującemu transferu informacji, które umożliwią właściwe przeprowadzenie oceny ryzyka (np. informacji o stosowanych przez odbiorcę procedurach i środkach bezpieczeństwa przetwarzania danych, posiadanych certyfikatach itp.);

• środki organizacyjne:
  1. „regionalizacja” przetwarzania danych, czyli możliwość wyboru lokalizacji przechowywania danych na terytorium EOG[14] (np. przechowywanie danych cyfrowych w serwerowni spółki amerykańskiej zlokalizowanej w Niemczech);
  2. minimalizacja zakresu danych objętych transferem, w tym ograniczenie do minimum transferu danych szczególnej kategorii (tzw. „danych wrażliwych”);
  3. posiadanie przez odbiorców danych stosownych certyfikatów bezpieczeństwa (np. norm bezpieczeństwa ISO itp.);

• środki techniczne:
  1. szyfrowanie danych (zarówno podczas transferu, jak i w spoczynku);
  2. stosowanie środków uniemożliwiających zapoznanie się z danymi;
  3. maskowanie adresów IP.

Należy jednak mieć na uwadze, że wskazane powyżej przykładowo rodzaje (typy) zabezpieczeń i środków dodatkowych powinny być każdorazowo indywidualnie dobrane do danej czynności przekazywania danych do USA, w tym z uwzględnieniem jej charakteru oraz zasięgu, a także z uwzględnieniem rodzaju i kategorii przekazywanych danych.

Dodatkowo trzeba również pamiętać o zawartej w RODO zasadzie rozliczalności (art. 5 ust. 2) i wynikającego z niej obowiązku wykazania przez administratora danych, że działa w zgodzie z przepisami ww. rozporządzenia. W kontekście transferu danych do USA administrator powinien zatem być w stanie wykazać, że przeprowadził odpowiednią analizę ryzyka przed dokonaniem transferu danych, a sam  transfer był dodatkowo zabezpieczony za pomocą wybranych środków. W tym celu można dokumentować proces analizy ryzyka przy wykorzystaniu przygotowanych scenariuszy działań oraz prowadzić rejestr stosowanych zabezpieczeń i środków dodatkowych.

Podsumowanie

Transfer danych osobowych do USA nie jest obecnie czynnością w pełni bezpieczną, jeżeli chodzi o jego zgodność z RODO. Istnieje ryzyko, że ta forma przetwarzania w konkretnym przypadku zostanie uznana przez właściwy organ nadzorczy za niezgodną z przepisami RODO. Decydując się na taki transfer, dany podmiot przyjmuje zatem na siebie ww. ryzyko, przy czym może starać się je minimalizować.

W trzech krokach: podmiot który transferuje dane do USA lub planuje taki transfer, powinien:

• zweryfikować, czy posiada podstawę prawną do dokonania transferu – na tę chwilę możliwe są zasadniczo standardowe klauzule umowne lub wiążące reguły korporacyjne;
• wdrożyć odpowiednie zabezpieczenia oraz środki dodatkowe wzmacniające ochronę danych osobowych w ramach transferu do USA;
• odpowiednio dokumentować podejmowane przez siebie czynności, w celu wykazania przestrzegania przez siebie przepisów RODO.

Z uwagi na dynamiczny rozwój sytuacji, w tym zapowiedzi zarówno organów krajowych , jak i europejskich dotyczące przygotowania odpowiednich wytycznych w omówionym zakresie, rekomendowane jest, aby na bieżąco monitorować oraz analizować wszelkie pojawiające się materiały oraz dostosowywać swoją działalność zgodnie z zawartą w nich treścią[15].

Adrianna Żyrek

aplikantka radcowska w Kancelarii Radców Prawnych Barta & Kaliński, specjalistka z zakresu ochrony danych osobowych oraz prawa nowych technologii

Przeczytaj więcej takich artykułów w strefie wiedzy PARP 

Artykuł pochodzi z biuletynu Euro Info Enterprise Europe Network nr 6/2020

[1] Europejski Obszar Gospodarczy obejmuje kraje Unii Europejskiej, a także Norwegię, Islandię oraz Lichtenstein.

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej jako: RODO). Tekst rozporządzenia dostępny pod linkiem https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679.

[3] Zob. wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 roku w sprawie Schrems II (C-311/18).

[4] Pełna nazwa decyzji to: Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

[5] Por. B. Fisher [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, komentarz do art. 44 RODO, Legalis.

[6] Tak B. Fisher, tamże.

[7] Nie jest to jednak wyliczenie wyczerpujące. Do pozostałych „mechanizmów” transferu danych osobowych do państw trzecich należą zatwierdzone kodeksy postępowania oraz zatwierdzone mechanizmy certyfikacji. W szczególnych sytuacjach transfer można również opierać na wyjątkach przewidzianych w art. 49 RODO.

[8] Co istotne aktualnie status obowiązujący mają standardowe klauzule umowne adekwatne do relacji administrator – administrator oraz do relacji administrator – podmiot przetwarzający. Należy mieć to na uwadze przygotowując projekt umowy transferowej.

[9] Dla swojej skuteczności wymagają zatwierdzenia przez właściwy organ nadzorczy.

[10] Co ciekawe podobna sytuacja miała miejsce w przypadku „poprzedniczki” decyzji ws. „Tarczy prywatności” – tj. decyzji ws. „Bezpiecznej przystani”, czyli decyzji Komisji z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (2000/520/WE). W wyroku z dnia 6 października 2015 roku, w sprawie C-362/14, TSUE analogicznie jak w tym przypadku uznał, że ww. decyzja jest nieważna. Sprawa ta niekiedy jest określana mianem „Schrems I”, jako że skarżącym był ten sam podmiot – Maximillian Schrems.

[11] Zob. akapit 126 i n. wyroku TSUE w sprawie Schrems II.

[12] Zob. akapit 134 wyroku TSUE w sprawie Schrems II.

[13] Należy tu wskazać w szczególności na: dokument Europejskiej Rady Ochrony Danych „Frequently Asked Questions” dostępny pod linkiem https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en oraz dostępne online liczne analizy branżowe i prawnicze publikowane w tym zakresie.

[14] Niektóre z amerykańskich firm oferują już taką możliwość, lecz nie zawsze w stosunku do wszystkich swoich usług (np. AWS Amazon).

[15] Z tych samych względów zastrzeżenia wymaga również, że informacje zawarte w niniejszym artykule są aktualne na moment jego sporządzenia (październik 2020 r.), lecz mogą ulec zmianie w związku z pojawianiem się nowych wytycznych lub stanowisk właściwych organów.