Transfery danych z UE do USA. Co po Safe Harbour? Cz. 2
Dodano: 11-12-2015 w kategorii: Prawa osób, których dane dotyczą, Zasady przetwarzania danych osobowych, Rejestracja zbiorów. Dodane przez: Katarzyna Witkowska.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Maxa Schremsa stwierdzający nieważność decyzji Komisji Europejskiej w sprawie Safe Harbour znacząco wpływa na zasady transferów danych osobowych z UE do Stanów Zjednoczonych. Pisaliśmy już o tym, na jakich podstawach administratorzy danych przekazujący dane właśnie do USA mogą teraz opierać swoje działania. Tym razem pokazujemy stanowiska Grupy Roboczej Art. 29, Komisji Europejskiej i GIODO w tej sprawie.

Kolejne stanowiska – Grupa Robocza Art. 29

Wyrok TSUE zapoczątkował dyskusję na temat unijnych zasad transferów danych do Stanów. Głos w tej dyskusji zabrała m.in. Grupa Robocza Art. 29 w swoim stanowisku z 16 października 2015 r. W komunikacie Grupa Robocza zaznaczyła, że nie będą uznawane za bezpieczne państwa, w których uprawienia władz państwowych w zakresie dostępu do informacji wykraczają poza standardy społeczeństwa demokratycznego. Grupa podkreśliła, że w tym względzie wyrok TSUE wymaga, by każda decyzja w sprawie adekwatności była poprzedzona obszerną analizą prawa krajowego państwa trzeciego i krajowych zobowiązań.

Co ważne dla administratorów danych, Grupa Robocza opowiedziała się za rozpoczęciem negocjacji z władzami USA w celu wypracowania nowego porozumienia międzyrządowego, które umożliwi transfery danych do Stanów z poszanowaniem praw podstawowych. W komunikacie czytamy, że obecne rozmowy dotyczące nowego porozumienia Safe Harbour mogą być częścią takiego nowego rozwiązania.

Odnosząc się do możliwych do wykorzystania podstaw transferu danych do Stanów, Grupa wskazała wiążące reguły korporacyjne i standardowe klauzule umowne. Zaznaczyła też, że będzie się jeszcze tym rozwiązaniom przyglądać właśnie przez pryzmat orzeczenia TSUE.

Komunikat Grupy Roboczej zawiera też datę graniczną – koniec stycznia 2016 roku. Jeżeli do tego momentu Grupa Robocza we współpracy z władzami USA nie znajdzie odpowiedniego rozwiązania, gwarantującego zgodne z prawem transfery danych, organy ochrony danych UE będą zobowiązane do podjęcia wszelkich koniecznych i właściwych działań, zmierzających do egzekwowania prawa ochrony danych w kontekście ich przekazywania do USA. Stanowisko to nie ma jednak mocy wiążącej.

Głos Komisji Europejskiej

Stanowisko przedstawiła również Komisja Europejska. 6 listopada 2015 r. poznaliśmy komunikat Komisji do Parlamentu i Rady.

Przede wszystkim, Komisja zaznaczyła potrzebę wypracowania nowego rozwiązania umożliwiającego transfer danych do USA i bardzo istotną rolę jaką po wyroku odgrywać będą organy krajowe.

W odniesieniu do standardowych klauzul umownych Komisja podkreśliła, że organy nadzorcze w świetle wyroku TSUE mają prawo badania standardowych klauzul przez pryzmat wymogów ustalonych w wyroku. W przypadku stosowania klauzul zarówno administrator przekazujący dane, jak i administrator otrzymujący dane podlegają nadzorowi organów krajowych. Przyjęcie standardowych klauzul umownych nie oznacza, że w niektórych przypadkach nie będzie konieczne zawieranie dodatkowych porozumień przez administratorów tak, by zagwarantować, że transfery danych odbywają się zgodnie z prawem.

Komisja odniosła się też do wiążących reguł korporacyjnych przypominając, że w większości państw członkowskich BCR mogą być stosowane po wcześniejszej akceptacji organów nadzorczych, co oznacza konieczność ich badania przez organ krajowy.

KE podkreśliła też, że tam gdzie transfery opierają się na BCR lub standardowych klauzulach i pomiot przyjmujący dane po zbadaniu przepisów krajowych obowiązujących w jego państwie ma podstawy, by sądzić, że przepisy te mogą ograniczyć wykonywanie przez niego jego obowiązków wynikających z BCR czy klauzul, powinien o tym niezwłocznie poinformować administratora z UE. W takim wypadku ADO z UE powinien wprowadzić odpowiednie środki dodatkowo zabezpieczające dane.

Komisja wyjaśniła też znaczenie wyroku dla pozostałych decyzji stwierdzających adekwatność ochrony. Podobnie jak decyzja w sprawie Safe Harbour, pozostałe decyzje zawierają bowiem ograniczenie kompetencji krajowych organów nadzorczych do badania legalności transferów danych do państw trzecich. W związku z wydaniem orzeczenia przez TSUE, Komisja będzie teraz korygować decyzje w tym zakresie.

Co na to GIODO?

Po tym jak stanowisko zajęła Komisja i Grupa Robocza, głos zabrał Generalny Inspektor Ochrony Danych Osobowych. GIODO w dużej mierze odniósł się do w/w komunikatów, dodając, że jeżeli państwa członkowskie nie wypracują innego niż standardowe klauzule umowne i wiążące reguły korporacyjne, wspólnego rozwiązania, od 1 lutego 2016 roku rozpocznie z własnej inicjatywy egzekwowanie przepisów w tym zakresie.

Komunikat GIODO nawiązywał także do wyznaczonej przez Grupę Roboczą cenzury czasowej wyjaśniając, że nie oznacza ona, że przedsiębiorcy nie są zobowiązani do niezwłocznego legitymowania się inną z podstaw prawnych transferów danych do USA. Termin ten ma być traktowany jako termin maksymalny, do którego organy nadzorcze co do zasady mają nie inicjować czynności zapewniających egzekwowanie wyroku TSUE. Jeżeli jednak do GIODO wpływać będą skargi dotyczące transferów danych do USA, GIODO będzie na nie reagować jeszcze przed 1 lutego.

Nie wiadomo czy uda się wypracować nowe ramy prawne przekazywania danych do USA z UE. Z pewnością jednak rozpoczęta dyskusja przełoży się na bardziej wnikliwe analizy tematu ze strony organów krajowych. Dla administratorów przekazujących dane wyrok powinien być sygnałem do przeglądu obowiązujących u nich zasad transferu danych.

Ci z administratorów, którzy dotychczas korzystali z Safe Harbour muszą pamiętać, że operacje przekazywania danych oparte na tej podstawie po wydaniu przez TSUE wyroku są niezgodne z prawem.

cloud computing , bezpieczeństwo danych