Katalog

ssw tax alert
download Reklamacja

Transkrypt

ssw tax alert 
16 listopada 2015 r.
SSW TAX ALERT
SSW NEWSLETTER DANE OSOBOWE
 (Nie)Bezpieczna Przystań – Przekazywanie danych z UE do Stanów
Zjednoczonych zakwestionowane przez Trybunał Sprawiedliwości UE
W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej („Trybunał”) wydał przełomowy wyrok w
sprawie Maximillian Schrems v. Data Protection Commissioner (C-362/14), na mocy którego stwierdzona została
nieważność Decyzji Komisji Europejskiej 2000/520/EC z dnia 26 lipca 2000 r., na mocy której funkcjonuje tzw.
program Safe Harbour. Zgodnie z przepisami, przekazywanie danych osobowych poza Europejski Obszar
Gospodarczy może się odbywać wyłącznie wtedy gdy odbiorca danych, np. w Stanach Zjednoczonych
zagwarantuje odpowiedni, adekwatny poziom ochrony. W przypadku przekazywania danych osobowych do Stanów
Zjednoczonych,
uznawano,
że
ta
przesłanka
jest
spełniona,
jeżeli
odbiorca
danych
w Stanach Zjednoczonych, przystąpił do programu Safe Harbour (Bezpieczna Przystań), tj. uzyskał i posiada ważny
certyfikat przynależności do programu Safe Harbour, określający w jakim zakresie i celu te dane mogą być
przetwarzane.
W oparciu o program Safe Harbour przez ostatnie 15 lat odbywał się transfer danych osobowych z Unii Europejskiej
do Stanów Zjednoczonych. Zapadły wyrok Trybunału zakwestionował stosowany na podstawie programu Safe
Harbour, przez tysiące przedsiębiorców z całej Unii Europejskiej, mechanizm transferu danych do Stanów
Zjednoczonych.
Wyrok Trybunału zapadł w związku ze skargą Pana Maximilliana Schrems, obywatela Austrii oraz działacza na
rzecz ochrony prywatności, złożoną przed organem ochrony danych osobowych w Irlandii (gdzie mieści się siedziba
spółki Facebook Ireland Ltd.), w związku z przechowywaniem jego danych jako użytkownika Facebooka na
serwerach w Stanach Zjednoczonych, gdzie dane te były przetwarzane w sposób budzący wątpliwości skarżącego.
Skarga związana była z informacjami ujawnionymi przez pana Edwarda Snowdena dotyczącymi nadużyć w
działalności amerykańskich służb specjalnych w zakresie dostępu oraz niekontrolowanego przetwarzania danych
osobowych na bardzo szeroką skalę.
Trybunał uznał, że program Safe Harbour nie zapewnia stopnia ochrony praw podstawowych obywateli Unii
Europejskiej, których dane osobowe są przekazywane do Stanów Zjednoczonych, na poziomie równoważnym do
tego, który jest zagwarantowany na terytorium Unii Europejskiej. W szczególności Trybunał zwrócił uwagę, że
osoby, których dane były przekazywane do Stanów Zjednoczonych nie miały dostępu do tych danych, jak również
nie zapewniono im możliwości zmiany lub usunięcia tych danych. Dane były ponadto wykorzystywane niezgodnie z
celem, dla którego zostały przekazane (w szczególności w sposób nie znajdujący uzasadnienia były
wykorzystywane przez amerykańskie służby specjalne).
Trybunał kwestionując ważność decyzja Komisji Europejskiej, w oparciu o którą funkcjonuje program Safe Harbour,
stwierdził, że w przypadku kwestionowania legalności transferu danych do Stanów Zjednoczonych, który odbywa się
na podstawie programu Safe Harbour, organy ochrony danych osobowych państw członkowskich, obowiązane są
do samodzielnego zbadania czy w danym przypadku należyty poziom ochrony jest zapewniony.
Wyrok ten ma duże znaczenie w zakresie transferów danych osobowych do Stanów Zjednoczonych, opierających
się głównie o fakt przystąpienia odbiorcy danych w Stanach Zjednoczonych do programu Safe Harbour. Wynika to z
faktu, że wiele podmiotów polskich przechowuje bazy danych osobowych na serwerach zlokalizowanych w Stanach
16 listopada 2015 r.
SSW TAX ALERT
SSW NEWSLETTER DANE OSOBOWE
Zjednoczonych, czy też przetwarza swoje dane osobowe w tzw. chmurze zlokalizowanej w Stanach Zjednoczonych,
co z prawnego punktu widzenia oznacza transfer danych.
Mając na uwadze ten wyrok, przedsiębiorcy, w szczególności będący częścią międzynarodowych grup spółek,
powinni zweryfikować dotychczasową podstawę prawną przekazywania danych osobowych do spółek
z siedzibą w Stanach Zjednoczonych. Będzie to, w szczególności dotyczyć przedsiębiorców, których „centrala” –
spółka matka jest położona w Stanach Zjednoczonych, w częstych przypadkach np. przechowywania danych
osobowych pracowników lub klientów w globalnej bazie danych w centrali w Stanach Zjednoczonych, do której
polski podmiot z grupy, ma zdalny dostęp.
O ile więc dotychczasowe przekazywanie danych osobowych odbywało się na podstawie faktu, że dany podmiot z
siedzibą w Stanach Zjednoczonych jest członkiem programu Safe Harbour, należałoby rozważyć zastosowanie
innego mechanizmu przekazywania danych osobowych do Stanów Zjednoczonych, tak aby zagwarantować
adekwatny poziom ochrony przekazywanych danych w Stanach Zjednoczonych. Alternatywą może być m.in.
stosowanie umów transferowych wg. wzoru Komisji Europejskiej (tzw. standardowych klauzul umownych),
uzyskiwanie pisemnej zgody osoby której dane dotyczą. Wybór danej metody legitymizującej transfer, zależny jest
od wielu czynników, w tym strategii biznesowej i organizacyjnej przetwarzania danych osobowych w spółce/grupie
spółek w zakresie przepływów danych osobowych.
Wyrok ten powinien skłonić przedsiębiorców nie tylko do weryfikacji obecnego mechanizmu przekazywania danych
osobowych do Stanów Zjednoczonych, ale też weryfikacji dokumentacji dotyczącej przetwarzania danych, w
kontekście m.in. obowiązków informacyjnych, jakie spółka jako administrator danych powinna spełnić wobec osób,
których dane osobowe dotyczą. Może mieć to np. wpływ na konieczność dostosowania zapisów w polityce
prywatności dotyczących odbiorców danych w Stanach Zjednoczonych powołujących się na przynależność do
programu Safe Harbour, jako spełniającego adekwatny poziom ochrony danych.
Wyrok będzie miał ogromne znaczenie dla praktyki transferu danych do Stanów Zjednoczonych dla przedsiębiorców
ze wszystkich krajów członkowskich Unii Europejskiej. Generalny Inspektor Ochrony Danych Osobowych
(„GIODO”) wyraził swoje stanowisko w tej sprawie wskazując, iż z chwilą wydania omawianego wyroku, transfer
danych do Stanów Zjednoczonych oparty na programie Safe Harbour jest nielegalny. Organy ochrony danych
osobowych państw UE zdecydowały, iż do końca stycznia 2016 r. wypracują we współpracy z władzami USA
rozwiązanie kwestii transferu danych z krajów członkowskich do USA. GIODO zaznaczył jednak, że będzie
reagował na skargi dotyczące przekazywania danych do Stanów Zjednoczonych pojawiające się także przed
upływem wskazanego terminu. Jednocześnie organ ten podkreślił, że w mocy pozostają inne mechanizmy
legalizujące transfer danych, jak na przykład standardowe klauzule umowne.
Joanna Tomaszewska
Partner, Radca Prawny
[email protected]
Anna Turek
Associate, Adwokat
[email protected]

Podobne dokumenty

Typowe kroki związane z rozpoczęciem działalności gospodarczej

Typowe kroki związane z rozpoczęciem działalności gospodarczej

Bardziej szczegółowo

Oferta towarowa - Fantastyczneswiaty.pl

Oferta towarowa - Fantastyczneswiaty.pl

Bardziej szczegółowo

spis treści

spis treści

Bardziej szczegółowo

REGULAMIN KONKURSU SPOTLIGHT ON THE USA DLA SZKÓŁ

REGULAMIN KONKURSU SPOTLIGHT ON THE USA DLA SZKÓŁ

Bardziej szczegółowo

Flaga USA - Edukacyjne bajki do czytania

Flaga USA - Edukacyjne bajki do czytania

Bardziej szczegółowo

Polacy za granicą - John A. Gronouski, pierwszy urzędnik polskiego

Polacy za granicą - John A. Gronouski, pierwszy urzędnik polskiego

Bardziej szczegółowo

Jeżeli Twoja firma rozważa wejście na rynek amerykański przez

Jeżeli Twoja firma rozważa wejście na rynek amerykański przez

Bardziej szczegółowo

Focus on America

Focus on America

Bardziej szczegółowo
2024 © doczz.pl
O nas | DMCA / GDPR | Nadużycie