Trybunał Sprawiedliwości Unii Europejskiej stwierdził w lipcu „nieważność decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA”, co znaczy mniej więcej tyle, że powinieneś przeczytać ten artykuł.
Czym jest Tarcza Prywatności UE-USA i dlaczego może cię dotyczyć?
Jeśli posiadasz sklep internetowy, zbierasz i przetwarzasz dane osobowe. Możesz też je udostępniać innym podmiotom – na przykład usługodawcom dostarczającym ci odpowiednie narzędzia do obsługi, reklam i sprzedaży. Jeśli wśród nich są firmy ze Stanów Zjednoczonych, po 16 lipca 2020 roku musisz się lepiej przyjrzeć umowom między wami i regulaminom świadczonych usług.
Do tej pory wymiana danych między Unią Europejską a Stanami Zjednoczonymi była możliwa przede wszystkim na podstawie tzw. Tarczy Prywatności UE-USA, która zezwalała na przekazywanie danych osobowych z terenu Unii Europejskiej firmom z USA należącym do Tarczy – pod warunkiem, że przetwarzały one te dane z zachowaniem ściśle określonych przepisów i gwarancji ochrony danych.
Wszystko zmieniło się 16 lipca 2020, kiedy – jak informuje na swoich stronach polski Urząd Ochrony Danych Osobowych – „TSUE stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. W konsekwencji, od dnia ogłoszenia wyroku, tj. 16 lipca 2020 r., przekazywanie danych do importerów w Stanach Zjednoczonych Ameryki nie może się już odbywać na tej podstawie”.
Wyrok jest konsekwencją skargi Austriaka Maximilliana Schremsa, któremu nie spodobało się, że korzystając w Europie z Facebooka, jego dane zbierane pierwotnie przez firmę Facebook Ireland trafiają później na serwery w USA. Jak podają media, podniósł on, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.
Zdaniem Trybunału Sprawiedliwości Unii Europejskiej – jak informuje dalej UODO – „ograniczenia ochrony danych osobowych, które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych nie są uregulowane w sposób odpowiadający wymogom merytorycznie równoważnym tym, które ustanawia w prawie Unii zasada proporcjonalności, ponieważ programy nadzoru oparte na tych przepisach nie są ograniczone do tego, co ściśle konieczne”. I tu zaczynają się kłopoty.
Co oznacza unieważnienie Tarczy Prywatności UE-USA?
Unieważnienie Tarczy Prywatności UE-USA wprowadza pewne zamieszanie. Bo jeśli Tarcza nie działa, jak mogę zgodnie z prawem przekazać dane do Stanów Zjednoczonych? Przykładowo: korzystam w swoim sklepie internetowym z produktów firmy Microsoft. Czy mogę to dalej robić bezpiecznie?
„Po 16 lipca 2020 r. przekazywanie danych osobowych do USA na podstawie uczestnictwa amerykańskiego podmiotu w Tarczy Prywatności stało się niezgodne z prawem i może wiązać się z negatywnymi konsekwencjami, takimi jak kary administracyjne. Jeśli więc korzystasz z usług firm, które przetwarzają przekazane przez ciebie dane (np. klientów lub pracowników) w Stanach Zjednoczonych, musisz jak najszybciej znaleźć inną niż Tarcza Prywatności podstawę prawną na dalsze przekazywanie takich danych albo – zrezygnować z tych usług, które wiążą się z przekazaniem danych osobowych do Stanów Zjednoczonych” – mówią nam prawnicy kancelarii Legal Geek.
A to oznacza mniej więcej tyle, że musisz: a) przeanalizować, z usług jakich firm korzystasz i którym z nich przekazujesz dane osobowe, b) sprawdzić, czy firmy te przetwarzają dane osobowe w Stanach Zjednoczonych (np. poprzez zapoznanie się z regulaminami usług oraz polityką prywatności takich firm).
Wyżej napisaliśmy: „musisz jak najszybciej znaleźć inną niż Tarcza Prywatności podstawę prawną na dalsze przekazywanie takich danych do Stanów”. I to akurat – korzystając na przykład z usług wymienionego wyżej Microsoftu czy Google’a – jest do zrobienia.
Unieważnienie Tarczy Prywatności w praktyce
„Chcemy, aby było jasne: jeśli jesteś klientem komercyjnym możesz nadal korzystać z usług firmy Microsoft zgodnie z prawem europejskim. (…) Od lat zapewniamy klientom nakładające się zabezpieczenia w ramach standardowych klauzul umownych (SCC) w zakresie przesyłania danych. Chociaż dzisiejsze orzeczenie unieważniło dalsze stosowanie Tarczy Prywatności, standardowe klauzule umowne pozostają ważne” – informuje na swoich stronach po wyroku TSUE firma Microsoft.
Właśnie. Klauzule umowne. Po 16 lipca 2020 r. podstawą prawną na przekazanie danych osobowych do Stanów Zjednoczonych mogą być przede wszystkim przyjęte przez Komisję Europejską „standardowe klauzule ochrony danych”. W pierwszej kolejności sprawdź więc, czy w ramach rozwiązań, z których korzystasz, istnieje opcja zawarcia tego rodzaju klauzul – takie informacje można znaleźć np. w regulaminie danej usługi, z której korzystasz, lub w polityce prywatności danej firmy/serwisu.
Sprawdziliśmy to także w Google: jeśli korzystasz z usługi GSuite odpowiednie aneksy „o przetwarzaniu danych i wzorcowe klauzule umowne jako metody spełnienia wymagań zgodności i bezpieczeństwa Ogólnego rozporządzenia o ochronie danych (RODO) obowiązującego w Unii Europejskiej” możesz znaleźć tutaj. Google poinformowało też już swoich klientów, że w związku z unieważnieniem Tarczy Prywatności, aktualizuje warunki przetwarzania danych w usłudze Google Ads i Google Analytics, by były zgodne z wytycznymi Komisji Europejskiej.
Co zaś z Facebookiem, od którego wszystko się zaczęło? Bezpośredniego odniesienia do wyroku TSUE na firmowych stronach amerykańskiej marki póki co nie ma, ale w polityce prywatności serwisu można dzisiaj przeczytać, że: „Wykorzystujemy typowe klauzule umowne zatwierdzone przez Komisję Europejską i opieramy się na decyzjach Komisji Europejskiej stwierdzających odpowiedni stopień ochrony danych w odniesieniu do określonych krajów, w stosownych przypadkach, w zakresie przekazywania danych z EOG do Stanów Zjednoczonych i pozostałych krajów”.
Co ważne, 31 sierpnia 2020 roku wejdzie w życie nowa wersja warunków dotyczących narzędzi biznesowych, z których możesz korzystać jako właściciel e-sklepu. Można w nich przeczytać, że:
„Strony przyjmują do wiadomości i zgadzają się, że jesteś administratorem w zakresie przetwarzania danych osobowych w danych narzędzi biznesowych w celu świadczenia usług dopasowywania, pomiaru i analizy (…) oraz że zlecasz firmie Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Ireland („Facebook Ireland”) przetwarzanie takich danych osobowych do tych celów w twoim imieniu”.
W tym punkcie nie ma mowy o przesyłaniu danych na teren Stanów Zjednoczonych. Pojawia się ona jednak w następnym, kiedy poruszona jest kwestia danych niepodlegających przepisom RODO:
„Jeśli dane narzędzi biznesowych zawierają dane osobowe, które nie podlegają przepisom RODO (…) potwierdzasz i zgadzasz się, że jesteś administratorem w odniesieniu do przetwarzania takich danych osobowych oraz zlecasz firmie Facebook, Inc., 1 Hacker Way, Menlo Park CA 94025, USA przetwarzanie takich danych”.
W przypadku Facebooka czekamy więc na oficjalne i jasne stanowisko – podobne do tych, którymi podzieliły się już firmy Microsoft i Google. Zachęcamy też do czytania regulaminów innych serwisów i usług, by sprawdzać, czy są w nich zawarte informacje o standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską oraz kto, gdzie i kiedy przetwarza nasze dane. I czy robi to zgodnie z RODO. W razie wątpliwości najlepiej skontaktować się bezpośrednio z dostawcą problematycznej usługi.
Aktualizacja Shoper Regulaminów
W związku ze zmianami w prawie, narzuconymi przez TSUE, także i my wprowadzamy odpowiednią aktualizację w naszych wszystkich aplikacjach RODO i Regulaminy.
Aktualizacja polega przede wszystkim na zmianie podstawy prawnej transferu danych w dokumencie Polityka Prywatności. Do tej pory, jeśli wskazany został transfer danych do USA, pojawiała się tam Tarcza Prywatności UE-USA. Po jej unieważnieniu podstawą takiego transferu mogą być przede wszystkim przyjęte przez Komisję Europejską standardowe klauzule umowne, dlatego aplikacje zostały dostosowane do takiej możliwości.
Jeśli więc przekazujesz dane osobowe swoich klientów podmiotom ze Stanów Zjednoczonych zapoznaj się z koniecznie poniższymi wytycznymi, dotyczącymi aktualizacji aplikacji.
