Artykuł ukazał się w Magazynie ODO
Autor: Olga Legat
Po upływie przeszło roku od wydania przez TSUE wyroku w sprawie Schrems II przesyłanie danych osobowych do krajów trzecich nieobjętych decyzjami o adekwatności nadal może budzić wiele wątpliwości. Szczególnie trudna w praktyce może być analiza porządku prawnego i realiów stosowania prawa w państwie odbiorcy danych.
Wprowadzenie
W ostatnim czasie mieliśmy do czynienia z dużym zamieszaniem wokół transferu danych osobowych poza Europejski Obszar Gospodarczy, co było związane przede wszystkim z realizacją skutków Brexitu wobec Wielkiej Brytanii – w zakresie danych osobowych przełomowym dniem był 30 czerwca 2021 r., kiedy wygasło porozumienie tymczasowe pozwalające stosować fikcję pozostawania Wielkiej Brytanii w UE. Mimo tego, że 28 czerwca 2021 Komisja przyjęła decyzję o adekwatności Wielkiej Brytanii (C(2021) 4800) zapewniając, że przepływ danych do tego kraju na następnych parę lat będzie mógł przebiegać w sposób niezakłócony, transfer danych poza EOG powinien nadal pozostać ważnym tematem dla wszystkich osób zajmujących się ochroną danych osobowych. Od 27 września 2021 r. należy bowiem stosować nowe standardowe klauzule umowne dotyczące transferu danych osobowych poza EOG, zaś do 27 grudnia 2022 r. zapewnić aktualizację wszystkich relacji umownych opartych na poprzednio stosowanych standardowych klauzulach umownych do nowego standardu – innymi słowy zawrzeć nowe umowy na nowych wzorach opublikowanych przez Komisję (por. art. 4 Decyzji Wykonawczej Komisji (UE) 2021/914, Dz. Urz. UE seria L Nr 199, 7.6.2021, s. 31). Stosowanie wszelkich instrumentów zabezpieczających transfer danych do krajów, które nie zostały uznane przez Komisję za zapewaniające adekwatny stopień ochrony danych osobowych wymaga jednak uprzedniej analizy – zarówno lokalnego porządku prawnego jak i realiów działania organów administracyjnych w takim kraju. Kwestie te zostały uwypuklone w wyroku TSUE Schrems II i pomimo upływu ponad roku od wydania tego wyroku – nadal mogą przysparzać wielu trudności.
Sprawy Maxa Schremsa – przypomnienie
None of your business – NGO zajmujący się ochroną prywatności oraz jej założyciel i honorowy przewodniczący Max Schrems od wielu lat walczą z przesyłaniem danych osobowych rezydentów UE do USA, wskazując przed sądami unijnymi na niezgodność przetwarzania danych w USA ze standardami unijnymi, w szczególności jeśli chodzi o przetwarzanie danych przez służby wywiadowcze USA. Działania NYOB są bardzo skuteczne, bowiem zarówno 6 października 2015 r., jak i 16 lipca 2020 r. Maxowi Schremsowi udało się doprowadzić do stwierdzenia przez TSUE nieważności instrumentu umożliwiającego szeroki przepływ danych przez Atlantyk (w 2015 r. było to porozumienie Safe Harbor, w 2020 r. – Privacy Shield).
W efekcie wyroku Schrems II (z dnia 16 lipca 2020 r.) podważone zostało również wygodne z punktu widzenia rynku niesłuszne założenie, że podpisanie samej umowy z podmiotem spoza EOG – o ile zawarta została za pomocą niezmienionych standardowych klauzul umownych – spełnia wymogi zabezpieczenia transferu danych poza EOG. TSUE stwierdził bowiem, że klauzule mogą nie być wystarczające, jeśli podmiot mający siedzibę w państwie trzecim nie ma faktycznie możliwości wywiązania się ze swoich zobowiązań umownych, chociażby ze względu na obowiązujące w takim kraju ustawodawstwo (por. pkt 104 wyroku). Co więcej, w takim przypadku organ nadzorczy w państwie członkowskim eksportera danych może w sposób władczy zawiesić lub zakazać przekazywania danych do takiego państwa trzeciego (pkt 120 wyroku). Faktycznie, trudno uznać za dostateczny środek ochrony dwu lub wielostronną umowę między podmiotami prywatnymi w sytuacji, gdy część jej postanowień, najbardziej istotnych z punktu widzenia prawa podstawowego do ochrony danych osobowych, może zostać w każdym momencie zniweczona przez działania władzy państwowej wobec jednej ze stron.
Stanowisko organów USA
Wobec uznania Privacy Shield za nieważny środek legalizujący przesyłanie danych do USA, powstało duże zamieszanie na rynku – większość podmiotów w Europie oczekiwała na stanowisko Europejskiej Rady Ochrony Danych lub inne wytyczne organów, aby zdecydować o swoich dalszych działaniach. Straty związane z ewentualnym zatrzymaniem przepływu danych mogły wystąpić po obu stronach Atlantyku.
Z braku innego wyjścia, Departament Stanu USA musiał zająć się zaproponowaniem możliwych sposobów na utrzymanie przepływu danych przez Atlantyk[1]. Departament Stanu USA wydał we wrześniu 2020 r. White Paper dotyczący dodatkowych środków zapewniających prywatność w odniesieniu do standardowych klauzul umownych i innych podstaw prawnych transferu danych pomiędzy USA a UE po wyroku Schrems II[2]. Dokument ten stanowi przegląd procedur i środków prawnych w USA, które mogą być wskazywane jako dodatkowe zabezpieczenia transferu danych – w ocenie Departamentu nie były one brane pod uwagę przez TSUE, częściowo dlatego, że wprowadzono je już po zatwierdzeniu przez Komisję Privacy Shield jako mechanizmu legalizującego przepływ danych od USA. W White Paper znajduje się jednak wiele argumentów odnoszących się raczej do przydatności samych narzędzi śledczych czy do braku wzorcowych działań po stronie UE czy innych krajów – a więc argumentów nie odnoszących się do kwestii dodatkowych zabezpieczeń danych, choć wpływających na ocenę adekwatności przetwarzania w USA do standardów UE.
Departament Stanu w pierwszej kolejności zwraca uwagę, że większość podmiotów prowadzących działalność związaną z przepływem danych osobowych pomiędzy USA a UE nie ma powodów by sądzić, że dane przez nie przetwarzane mogą stanowić przedmiot zainteresowania organów wywiadowczych USA. Departament Stanu odnosi się w tym zakresie do obu wskazanych przez TSUE aktów prawnych, tj. Executive Order 12333 pozwalającego organom wywiadowczym na żądanie od podmiotów prywatnych wydania informacji, jak również do sekcji 702 Foreign Intelligence Surveillance Act (FISA 702), pozwalających na przejęcie danych z komunikacji na odległość prowadzonej przez osoby spoza USA – również do celów wywiadowczych. Argumentem Departamentu Stanu w tym zakresie jest, że w większości takie informacje w ogóle nie są interesujące dla organów wywiadowczych USA i przytłaczająca większość podmiotów objętych skutkami wyroku Schrems II nigdy nie otrzymała wezwania do przekazania danych opartego na FISA 702, a co więcej, zabronione jest ich wykorzystanie w celach komercyjnych. Na gruncie Executive Order 12333 zabronione jest masowe zbieranie danych od podmiotów prywatnych.
W tym miejscu dość jasno rysuje się różnica w podejściu do ochrony danych osobowych po obu stronach Atlantyku. W Unii argument o zakazie wykorzystania danych osobowych do celów komercyjnych ma oczywiście znaczenie, gdyż obywatele Unii tak samo jak obywatele USA są zmęczeni i zdenerwowani niechcianymi komunikatami marketingowymi – niemniej w UE ochrona danych osobowych jest postrzegana jako ochrona prawa człowieka (co przecież wynika z art. 8 Karty Praw Podstawowych Unii Europejskiej) i argumenty o komercyjnym lub niekomercyjnym wykorzystaniu danych osobowych nie mogą mieć przeważającego znaczenia. W USA dane osobowe są traktowane bardziej jak dobro podlegające obrotowi i na takim założeniu opiera się zarówno argument przywołany przez Departament Stanu, jak i wiele ustawodawstw stanowych dotyczących ochrony danych osobowych.
Departament Stanu wskazuje również, że ryzyko potencjalnego dostępu do danych osobowych przez organy wywiadowcze USA nie jest wyższe niż ryzyko takiego samego dostępu – ale organów wywiadowczych z innych krajów, w tym państw członkowskich Unii Europejskiej. Z argumentem tym można oczywiście dyskutować mając na uwadze informacje o skali nadzoru wywiadowczego USA ujawnione przez Edwarda Snowdena, niemniej faktycznie trudno jest wykluczyć dostęp do danych przez organy wywiadu innych państw (choćby słynnego wywiadu Izraela). W mojej ocenie jednak, biorąc pod uwagę ochronę danych osobowych jako prawo człowieka, argument ten nie działa na korzyść USA, a raczej na niekorzyść wszystkich państw, których działalność może prowadzić do bezprawnego pozyskiwania danych osobowych do celów wywiadowczych, a która po prostu nie została jeszcze nagłośniona lub której skala nie jest tak porażająca jak to, co ujawnił Edward Snowden.
W drugiej kolejności Departament stanu wskazuje na to, że służby wywiadowcze USA regularnie dzielą się z UE danymi, które są niezbędne do zachowania bezpieczeństwa publicznego. W White Paper powołane jest 5 przykładów realnej pomocy USA w odnalezieniu sprawców zamachów terrorystycznych czy udaremnieniu ich przygotowań. Departament stanu wskazuje, że zastosowanie mechanizmów FISA 702 w znaczącym stopniu służy także interesom UE – bowiem na rok 2014 ponad ¼ danych dotyczących międzynarodowego terroryzmu pochodziła właśnie z danych pozyskanych drogą FISA 702. Departament Stanu wskazuje, że w zakresie przekazywania danych do służb wywiadowczych w takim trybie można zastosować wyjątek przewidziany w art. 49 ust. 1 lit. d RODO, czyli możliwość przekazania danych bez zabezpieczenia ze względu na ważne interesy publiczne. Wskazuje także na wytyczne EROD dotyczące wyjątków z art. 49 RODO. Byłaby to być może odpowiednia podstawa prawna, jednak nie należy zapominać, że wyjątki są z samej definicji sytuacjami rzadkimi i nie wolno stosować ich rozszerzająco. Także w tym zakresie informacje ujawnione przez Edwarda Snowdena poddają w wątpliwość kwestię faktycznej sporadyczności dostępu służb amerykańskich do danych osobowych obywateli państw innych niż USA.
Argument związany z bezpieczeństwem, w szczególności z ochroną przed atakami terrorystycznymi, silnie trafia do wyobraźni i wywołuje emocje, szczególnie w sytuacji, gdy Europa co jakiś czas jest sceną takich właśnie ataków. Nie można jednak tracić z pola widzenia tego, że zarówno bezpieczeństwo osobiste (art. 6 Karty Praw Podstawowych UE), jak i prawo do ochrony danych osobowych (art. 8 Karty Praw Podstawowych) są prawami człowieka i ograniczenie któregokolwiek z nich na rzecz drugiego musi odbywać się w sposób proporcjonalny. Argument konieczności zapewnienia bezpieczeństwa nie może powodować, że ochrona danych osobowych przestaje być w ogóle brana pod uwagę.
Po trzecie, Departament Stanu opisuje w szczegółach procedurę FISA 702 wykazując, że nakazy wydania wiadomości muszą być zatwierdzone przez sąd i są ważne przez okres jednego roku. Wskazuje także na to, że TSUE nie wziął pod uwagę wszystkich okoliczności związanych z procedurą określania i zatwierdzania podmiotów, o których zbierane są informacje, w tym szczegółowo opisuje system nadzoru nad wykorzystaniem narzędzi śledczych FISA 702. Departament Stanu zaleca więc, aby całość procedury zarówno zatwierdzania narzędzi śledczych, jak i nadzoru ich użycia był brany pod uwagę przez podmioty, które pragną nadal przesyłać dane do USA – na podstawie standardowych klauzul umownych czy innych instrumentów przewidzianych w RODO. Departament Stanu argumentuje również, że istnieją w USA środki prawne, które pozwalają na skuteczne dochodzenie roszczeń przez cudzoziemców, którzy uważają, że organy wywiadowcze USA przekroczyły swoje uprawnienia. Część z tych mechanizmów została wprowadzona w USA już po decyzji Komisji zatwierdzającej Privacy Shield jako mechanizm transferowy.
Stanowisko Europy
Po wyroku w sprawie Schrems II, NYOB zwróciło się do wielu administratorów z pytaniem, w jaki sposób dostosowali się oni do skutków zapadłego wyroku i wielu przypadkach nie otrzymało żadnej odpowiedzi[3]. NYOB słusznie przewidywało, że wyrok może nie odnieść szybkich skutków ani w praktyce organów nadzorczych, ani samych administratorów danych osobowych. Jak wskazało NYOB 16 czerwca 2021 r. (rok po orzeczeniu Schrems II) – większość organów nadzorczych przyjęło podstawę „zobaczymy co się stanie” i nie wszczęło żadnych postępowań. Jednocześnie, NYOB na dzień 16 czerwca 2021 złożyło 101 skarg, z których żadna nie została rozstrzygnięta[4]. Nie jest też wielką tajemnicą, że po dziś dzień w wielu politykach prywatności można nadal znaleźć odwołania do Privacy Shield jako mechanizmu legalizującego transfer danych osobowych do USA.
Niemniej, coś się jednak wydarzyło. 10 listopada 2020 r. EROD przyjął pierwszą wersję Rekomendacji 01/2020 w sprawie dodatkowych narzędzi transferowych w celu zapewnienia zgodności z europejskim poziomem ochrony danych, których druga wersja została przyjęta 18 czerwca 2020r. [5] EROD wskazało na sześć podstawowych kroków, które muszą być dokonane przez każdego administratora:
– po pierwsze, konieczna jest identyfikacja przepływów danych poza Europejski Obszar Gospodarczy; ten krok może wydawać się trywialny, jednak każdy, kto podjął się wsparcia we wdrażaniu RODO wie, że sama identyfikacja przepływów danych jest zadaniem trudnym, czasochłonnym i często niewdzięcznym, ale niezbędnym aby móc w ogóle mówić o zgodności przetwarzania danych z RODO (nawet, jeśli całość przetwarzania ma miejsce w EOG);
– po drugie, konieczna jest identyfikacja zastosowanego narzędzia transferowego; tutaj wchodzą w grę zarówno mające zastosowanie decyzje o adekwatności, jak i wszelkie inne mechanizmy legalizujące, wynikające czy to z art. 46 RODO, czy wyjątki z art. 49 RODO; to także nie jest proste zadanie mając na uwadze, że wielu administratorów korzysta z narzędzi podmiotów spoza EOG, gdzie umowa powierzenia zawierająca odpowiedni mechanizm transferowy jest po prostu umową adhezyjną zawieraną poprzez rozpoczęcie korzystania z narzędzia i akceptację regulaminu;
– po trzecie, konieczna jest ocena otoczenia prawnego odbiorcy danych w miejscu jego siedziby i przetwarzania danych; w mojej ocenie może to okazać się najtrudniejszym i najbardziej kosztownym krokiem w całej procedurze zalecanej przez EROD, bowiem wymaga to oceny nie tylko prawa obowiązującego w takim państwie trzecim (co już samo w sobie jest niezwykle trudnym zadaniem, nawet tylko ze względów językowych), ale także praktyki organów państwowych, która poddawałaby w wątpliwość stosowanie przyjętego prawa, a także ewentualnego podlegania importera danych pod szczegółowe regulacje, które mogłyby mieć negatywny wpływ na ochronę danych osobowych przesyłanych przez eksportera z UE;
– czwartym krokiem jest zidentyfikowanie i wprowadzenie dodatkowych środków zabezpieczających, które mają zrekompensować ewentualne braki zidentyfikowane w prawie czy praktyce organów właściwych dla importera danych – środki te, takie jak pseudonimizacja, szyfrowanie, transfer do podmiotu objętego specjalną ochroną, rozdzielenie czynności przetwarzania czy dodatkowe postanowienia umowne, powinny rekompensować braki zidentyfikowane w ustawodawstwie i praktyce w kraju odbiorcy danych;
– piątym krokiem jest podjęcie wszelkich niezbędnych procedur aby zaimplementować dodatkowe środki zabezpieczające rekompensujące transfer danych do państwa niezapewniającego odpowiedniego stopnia ochrony danych osobowych;
– szóstym krokiem jest zaś regularne monitorowanie zmian w legislacji oraz praktyce organów w kraju odbiorcy danych, które ma skutkować również regularną ponowną oceną bezpieczeństwa przetwarzania danych w tym kraju, w tym adekwatności zastosowanych dodatkowych środków zabezpieczających.
Warto również pamiętać, że pomimo przyjęcia przez Komisję nowych wzorów standardowych klauzul umownych, powyższe obowiązki związane z oceną bezpieczeństwa przetwarzania danych w państwie importera nie ustają – tak samo jak konieczność zrekompensowania braków w tym bezpieczeństwie dodatkowymi środkami zabezpieczającymi.
Co dalej z transferami?
W mojej ocenie można mieć niejakie wątpliwości co do tego, jak szerokie zastosowanie będą miały powyższe rekomendacje EROD czy Departamentu Stanu USA dla uczestników rynku. Podmioty międzynarodowe, które albo na co dzień korzystają z doradców prawnych w różnych jurysdykcjach, albo mają dostateczne środki aby prowadzić dokładne badania obcej legislacji i praktyki administracyjnej zapewne przynajmniej w części podejmą działania w zakresie tzw. transfer impact assessment, którego wymaga EROD. Takie podmioty mają bowiem również wiele do stracenia, jak choćby Google wypytywany ostatnio przez Maxa Schremsa (o czym poniżej) czy spółki Facebooka będące podmiotami zainteresowania nie tylko irlandzkiego organu ochrony danych osobowych. Jeśli chodzi o mniejsze podmioty – w mojej ocenie istnieje spore ryzyko, że nadal będą one korzystać ze standardowych klauzul umownych bez żadnych dodatkowych działań, tak jak miało to miejsce przed wyrokiem Schrems II. Zapewne w wielu wypadkach umowy transferowe nie zostaną nawet zaktualizowane do nowego brzmienia standardowych klauzul umownych.
W maju 2021 r. NOYB opublikowało post, w którym informowało o złożeniu skargi na dalsze przekazywanie przez Google danych osobowych do USA, mimo wyroku Schrems II. W stanowisku tym NOYB zwraca uwagę na absurdalność argumentu Google, że stosowane są dodatkowe środki zabezpieczające – ogrodzenia wokół centrów danych mieszczących się w USA[6]. Jak widać, kwestia stosowania dodatkowych środków zabezpieczających nie jest jeszcze dla wszystkich jednoznaczna. Będziemy mieli zapewne do czynienia z wieloma tego rodzaju „nietypowymi argumentami” – trudno bowiem uwierzyć, aby transfer danych do USA miał w jakiejkolwiek wyobrażalnej przyszłości ustać, podobnie jak działania wywiadowcze organów USA oraz walka Maxa Schremsa z przesyłaniem danych z Unii do USA.
[1] Źródło: https://www.commerce.gov/about/letter-deputy-assistant-secretary-james-sullivan-schrems-ii-decision, dostęp: 16.09.2021
[2] Dostępne pod adresem: https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF; dostęp: 16.09.2021
[3] Źródło: https://noyb.eu/en/companies-cant-say-how-they-comply-cjeu-ruling, dostęp: 15.09.2021
[4] Źródło: https://noyb.eu/en/statement-max-schrems-schrems-ii-anniversary, dostęp: 15.09.2021
[5] Dostępne w języku angielksim po adresem: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en, dostęp: 16.09.2021
[6] Źródło: https://noyb.eu/en/austrian-dpa-has-option-fine-google-eu6-billion, dostęp: 15.09.2021
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
