ssw tax alert
Transkrypt
ssw tax alert
16 listopada 2015 r. SSW TAX ALERT SSW NEWSLETTER DANE OSOBOWE (Nie)Bezpieczna Przystań – Przekazywanie danych z UE do Stanów Zjednoczonych zakwestionowane przez Trybunał Sprawiedliwości UE W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej („Trybunał”) wydał przełomowy wyrok w sprawie Maximillian Schrems v. Data Protection Commissioner (C-362/14), na mocy którego stwierdzona została nieważność Decyzji Komisji Europejskiej 2000/520/EC z dnia 26 lipca 2000 r., na mocy której funkcjonuje tzw. program Safe Harbour. Zgodnie z przepisami, przekazywanie danych osobowych poza Europejski Obszar Gospodarczy może się odbywać wyłącznie wtedy gdy odbiorca danych, np. w Stanach Zjednoczonych zagwarantuje odpowiedni, adekwatny poziom ochrony. W przypadku przekazywania danych osobowych do Stanów Zjednoczonych, uznawano, że ta przesłanka jest spełniona, jeżeli odbiorca danych w Stanach Zjednoczonych, przystąpił do programu Safe Harbour (Bezpieczna Przystań), tj. uzyskał i posiada ważny certyfikat przynależności do programu Safe Harbour, określający w jakim zakresie i celu te dane mogą być przetwarzane. W oparciu o program Safe Harbour przez ostatnie 15 lat odbywał się transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Zapadły wyrok Trybunału zakwestionował stosowany na podstawie programu Safe Harbour, przez tysiące przedsiębiorców z całej Unii Europejskiej, mechanizm transferu danych do Stanów Zjednoczonych. Wyrok Trybunału zapadł w związku ze skargą Pana Maximilliana Schrems, obywatela Austrii oraz działacza na rzecz ochrony prywatności, złożoną przed organem ochrony danych osobowych w Irlandii (gdzie mieści się siedziba spółki Facebook Ireland Ltd.), w związku z przechowywaniem jego danych jako użytkownika Facebooka na serwerach w Stanach Zjednoczonych, gdzie dane te były przetwarzane w sposób budzący wątpliwości skarżącego. Skarga związana była z informacjami ujawnionymi przez pana Edwarda Snowdena dotyczącymi nadużyć w działalności amerykańskich służb specjalnych w zakresie dostępu oraz niekontrolowanego przetwarzania danych osobowych na bardzo szeroką skalę. Trybunał uznał, że program Safe Harbour nie zapewnia stopnia ochrony praw podstawowych obywateli Unii Europejskiej, których dane osobowe są przekazywane do Stanów Zjednoczonych, na poziomie równoważnym do tego, który jest zagwarantowany na terytorium Unii Europejskiej. W szczególności Trybunał zwrócił uwagę, że osoby, których dane były przekazywane do Stanów Zjednoczonych nie miały dostępu do tych danych, jak również nie zapewniono im możliwości zmiany lub usunięcia tych danych. Dane były ponadto wykorzystywane niezgodnie z celem, dla którego zostały przekazane (w szczególności w sposób nie znajdujący uzasadnienia były wykorzystywane przez amerykańskie służby specjalne). Trybunał kwestionując ważność decyzja Komisji Europejskiej, w oparciu o którą funkcjonuje program Safe Harbour, stwierdził, że w przypadku kwestionowania legalności transferu danych do Stanów Zjednoczonych, który odbywa się na podstawie programu Safe Harbour, organy ochrony danych osobowych państw członkowskich, obowiązane są do samodzielnego zbadania czy w danym przypadku należyty poziom ochrony jest zapewniony. Wyrok ten ma duże znaczenie w zakresie transferów danych osobowych do Stanów Zjednoczonych, opierających się głównie o fakt przystąpienia odbiorcy danych w Stanach Zjednoczonych do programu Safe Harbour. Wynika to z faktu, że wiele podmiotów polskich przechowuje bazy danych osobowych na serwerach zlokalizowanych w Stanach 16 listopada 2015 r. SSW TAX ALERT SSW NEWSLETTER DANE OSOBOWE Zjednoczonych, czy też przetwarza swoje dane osobowe w tzw. chmurze zlokalizowanej w Stanach Zjednoczonych, co z prawnego punktu widzenia oznacza transfer danych. Mając na uwadze ten wyrok, przedsiębiorcy, w szczególności będący częścią międzynarodowych grup spółek, powinni zweryfikować dotychczasową podstawę prawną przekazywania danych osobowych do spółek z siedzibą w Stanach Zjednoczonych. Będzie to, w szczególności dotyczyć przedsiębiorców, których „centrala” – spółka matka jest położona w Stanach Zjednoczonych, w częstych przypadkach np. przechowywania danych osobowych pracowników lub klientów w globalnej bazie danych w centrali w Stanach Zjednoczonych, do której polski podmiot z grupy, ma zdalny dostęp. O ile więc dotychczasowe przekazywanie danych osobowych odbywało się na podstawie faktu, że dany podmiot z siedzibą w Stanach Zjednoczonych jest członkiem programu Safe Harbour, należałoby rozważyć zastosowanie innego mechanizmu przekazywania danych osobowych do Stanów Zjednoczonych, tak aby zagwarantować adekwatny poziom ochrony przekazywanych danych w Stanach Zjednoczonych. Alternatywą może być m.in. stosowanie umów transferowych wg. wzoru Komisji Europejskiej (tzw. standardowych klauzul umownych), uzyskiwanie pisemnej zgody osoby której dane dotyczą. Wybór danej metody legitymizującej transfer, zależny jest od wielu czynników, w tym strategii biznesowej i organizacyjnej przetwarzania danych osobowych w spółce/grupie spółek w zakresie przepływów danych osobowych. Wyrok ten powinien skłonić przedsiębiorców nie tylko do weryfikacji obecnego mechanizmu przekazywania danych osobowych do Stanów Zjednoczonych, ale też weryfikacji dokumentacji dotyczącej przetwarzania danych, w kontekście m.in. obowiązków informacyjnych, jakie spółka jako administrator danych powinna spełnić wobec osób, których dane osobowe dotyczą. Może mieć to np. wpływ na konieczność dostosowania zapisów w polityce prywatności dotyczących odbiorców danych w Stanach Zjednoczonych powołujących się na przynależność do programu Safe Harbour, jako spełniającego adekwatny poziom ochrony danych. Wyrok będzie miał ogromne znaczenie dla praktyki transferu danych do Stanów Zjednoczonych dla przedsiębiorców ze wszystkich krajów członkowskich Unii Europejskiej. Generalny Inspektor Ochrony Danych Osobowych („GIODO”) wyraził swoje stanowisko w tej sprawie wskazując, iż z chwilą wydania omawianego wyroku, transfer danych do Stanów Zjednoczonych oparty na programie Safe Harbour jest nielegalny. Organy ochrony danych osobowych państw UE zdecydowały, iż do końca stycznia 2016 r. wypracują we współpracy z władzami USA rozwiązanie kwestii transferu danych z krajów członkowskich do USA. GIODO zaznaczył jednak, że będzie reagował na skargi dotyczące przekazywania danych do Stanów Zjednoczonych pojawiające się także przed upływem wskazanego terminu. Jednocześnie organ ten podkreślił, że w mocy pozostają inne mechanizmy legalizujące transfer danych, jak na przykład standardowe klauzule umowne. Joanna Tomaszewska Partner, Radca Prawny [email protected] Anna Turek Associate, Adwokat [email protected]