Vat

Transfer danych UE - USA – wyrok TSUE

Krzysztof Grabowski, Inspektor Ochrony Danych
2020-07-22
Vat
Trybunał Sprawiedliwości Unii Europejskiej unieważnił porozumienie Privacy Shield, które było podstawą prawną przekazywania danych z UE do USA. Jakie są konsekwencje wyroku dla biznesu?

TSUE orzekł, że rozwiązania prawne zastosowane w Privacy Shield nie zapewniały rzeczywistej ochrony prywatności transferowanych danych, w szczególności przez możliwość tajnego wglądu do nich przez służby wywiadowcze Stanów Zjednoczonych. To kolejna decyzja europejskiego Trybunału Sprawiedliwości, która pokazuje, że kwestia właściwego zabezpieczenia prywatności jest bardzo ważna i organy krajowe nie powinny ignorować skarg osób fizycznych, tylko podejmować zdecydowane działania w celu ochrony ich praw.

TSUE zajął się kwestią Privacy Shield w wyniku skargi złożonej przez obywatela Austrii, który argumentował, że prawo USA nie zapewnia właściwej ochrony danym transferowanym z Europy, na skutek czego dostęp do nich mogą uzyskiwać podmioty do tego nieuprawnione. Ta sama osoba już 5 lat temu - na skutek sprawy wytoczonej portalowi Facebook - przyczyniła się do unieważnienia przekazywanie danych z UE do USA na podstawie mechanizmu zwanego Safe Harbour.

Co dalej z transferem do danych do USA?

Wyrok TSUE nie oznacza zakazu transferu danych z Unii Europejskiej do USA. Jest to nadal możliwe, a podstawy prawne regulowane są w art. 44-49 RODO. Obecnie wszystkie firmy z UE, które planują transfer danych do państw trzecich (spoza EOG) muszą zweryfikować podstawy prawne takiego działania.

Po unieważnieniu Privacy Shield wyróżniamy następujące kategorie podstaw prawnych transferu danych do państw trzecich:

  • standardowe klauzule umowne, czyli porozumienie dotyczące ochrony transferowych danych pomiędzy podmiotem transferującym a podmiotem odbierającym
  • wyraźna zgoda osoby, której dane dotyczą, poprzedzona informacją o ewentualnym ryzyku wynikającym z braku adekwatnych zabezpieczeń

Administratorzy danych, którzy chcą się dowiedzieć, czy wyrok TSUE ma odniesienie do ich działalności, powinni zweryfikować rejestr czynności przetwarzania danych pod kątem transferów do USA. Jeśli taki transfer występuje i podstawą prawną przetwarzania danych jest Privacy Shield, należy dokonać jej zmiany na podstawę zgodną z prawem.

Skontaktuj się z ekspertem

Krzysztof Grabowski
Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe

Ochrona danych osobowych