Transfer danych w zgodności z Wyrokiem Schrems 2.0
Czy przesyłanie danych osobowych do USA jest legalne po 16 lipca?
Dnia 16 lipca 2020 Trybunał Sprawiedliwości Unii Europejskiej (TSUE) unieważnił umowę pomiędzy USA a UE tzw. Tarczę Prywatności. Umowa ta umożliwiała transfer danych z UE do USA z założeniem zachowania tego samego poziomu bezpieczeństwa przetwarzania danych jaki gwarantuje prawo Unii Europejskiej. Od 16 lipca wszelki transfer danych na podstawie Tarczy Prywatności jest nielegalny.
Dodatkowo, TSUE uznał, że legalność przesyłania danych na podstawie Standardowych Klauzul Umownych (SSC) zależy od poziomu ochrony danych gwarantowanej przez prawo państwa docelowego. Każdy transfer danych musi zostać poprzedzony analizą ryzyka. Ta nowa rzeczywistość prawna dotyczy przesyłania danych do wszystkich krajów spoza strefy Europejskiego Obszaru Gospodarczego (EOG) czyli do tzw. państw trzecich.
Kiedy transfer będzie bezpieczny?
Wiele firm korzysta z usług polegających na przetwarzaniu danych w chmurze. Popularne usługi chmurowe w tym Trello, Dysk Google, Microsoft OneDrive, Apple Icloud, komunikatory internetowe oraz usługi wideo—konferencje najprawdopodobniej przesyłają do krajów trzecich jakieś dane (np. dane telemetryczne). Dzieje się to nawet wtedy gdy przechowywanie danych jest ograniczone do serwerów zlokalizowanych na terenie UE. W naszej ocenie Schrems 2.0 nie oznacza, że od tej pory korzystanie z tego typu usług jest nielegalne. Uważamy, że obrona pewnych „typów transferów danych: do krajów trzecich jest wciąż możliwa.
Przede wszystkim nawiązujemy tu do usług, w których transfer nie dotyczy tzw. kontentu (user generated content). Możliwe jest wciąż przesyłanie danych telemetrycznych, a nawet podstawowych danych użytkowników. Bezpieczne są również transfery które zapewnione mają szyfrowanie end-to-end.
Innym rodzajem usług niewymagającej dodatkowych zabezpieczeń są tzw. dane bezstanowe, to znaczy takie, w których nie dochodzi do przechowywania danych.
W przypadku innego typu danych, w szczególności tzw. kontentu, należy wykazać, że w kraju docelowym zapewniony jest odpowiedni stopień ochrony. Każdy przypadek należy przeanalizować osobno pod względem potencjalnego ryzyka.
Jeżeli nie zadbamy o legalność transferu danych do USA, bądź nie jesteśmy świadomi, że takie dane przesyłamy, możemy być narażeni na wysokie kary ze strony organu nadzorczego oraz może to mieć konsekwencje dla ciągłości naszego biznesu.
Co należy zrobić i jak my możemy Państwu pomóc:
- Zweryfikuj warunki korzystania z narzędzi IT i ustal czy rozwiązania te są globalne lub czy jest możliwe, że w ramach współpracy z Twoim dostawcą / kontrahentem dochodzi do transferów danych do krajów trzecich
- Zweryfikuj legalność korzystania z tych usług.
- W przypadku umów dotyczących transferu do USA objętych Tarczą Prywatności – szukamy innej podstawy prawnej.
- Jeśli dane wysyłane są na podstawie SSC niezbędna jest dodatkowa weryfikacja poziomu ochrony danych w kraju docelowym.
- Po wykonaniu tych czynności, zaktualizuj dokumentację RODO.
