Unieważnienie Tarczy Prywatności 2020: co musisz wiedzieć i czy SCC może przynieść wytchnienie?
Opublikowany: 2020-07-17
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) wydał przełomowy wyrok w sprawie Schrems II (sprawa C-311/18). W swoim wyroku TSUE stwierdził, że standardowe klauzule umowne („ SKU ”) wydane przez Komisję Europejską dotyczące przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę poza UE są nadal aktualne , podkreślając potrzebę indywidualnej kontroli . Nieoczekiwanie Sąd unieważnił ramy Tarczy Prywatności UE-USA (jest to sprzeczne z wymogiem art. 45 ust. 2 lit. a RODO).
| Data | Wydarzenie |
| czerwiec 2013 | Ujawnienia Snowdena dotyczące programu PRISM |
| czerwiec 2013 | Skarga Schrems do irlandzkiego DPC w sprawie Safe Harbor w związku z ujawnieniami Snowdena |
| czerwiec 2014 | Irlandzki Sąd Najwyższy kieruje sprawę Schrems do TSUE |
| Październik 2015 | TSUE unieważnia Safe Harbor |
| październik–grudzień 2015 | Skarga Schrems do irlandzkiego DPC dotycząca standardowych klauzul umownych UE (SCC) |
| Lipiec 2016 | Przyjęcie Tarczy Prywatności UE-USA |
| Październik 2017 | Irlandzki Sąd Najwyższy kieruje skargę Schremsa do TSUE |
| maj 2018 | Wejście w życie RODO |
| Lipiec 2019 | Rozprawa Schrems II w TSUE |
| Grudzień 2019 | Opinia TSUE AG w sprawie Schrems II |
| 16 lipca 2020 | Wyrok TSUE Schrems II |
Jak pokazuje oś czasu, Schrems II był tworzony od lat i jest fascynującym przypadkiem. W wyniku tej sprawy firmy amerykańskie prowadzące działalność w Europie lub obsługujące dane od klientów europejskich będą musiały albo wynegocjować nowe indywidualne ustalenia dotyczące przetwarzania danych, zwane standardowymi klauzulami umownymi (SCC), z UE, albo przestać przenosić dane z operacji europejskich do USA.
Orzeczenie ma wpływ na
(a) ponad 5000 firm w Stanach Zjednoczonych, które dokonały samocertyfikacji w ramach mechanizmu Tarczy Prywatności oraz
(b) nieokreślona liczba firm spoza Stanów Zjednoczonych, które polegały na samocertyfikacji odbiorców w ramach Tarczy Prywatności w celu przestrzegania surowych przepisów UE dotyczących ochrony danych.
Reakcja organów nadzorczych
W następstwie decyzji EJC Schrems II niektóre organy nadzorcze wyraziły swoją opinię na temat dalszych działań, w szczególności w odniesieniu do dalszego stosowania standardowych klauzul umownych (SCC). Poniżej podsumowaliśmy najważniejsze przesłania i wnioski:
Hamburg
Organ ochrony danych w Hamburgu stwierdza :
Jeżeli nieważność Tarczy Prywatności wynika przede wszystkim z eskalacji działań wywiadowczych w USA, to samo musi dotyczyć również standardowych klauzul umownych. Umowy umowne między eksporterem a importerem danych są równie nieodpowiednie do ochrony osób, których dane dotyczą, przed dostępem państwa.
Jednak oni też to widzą
oprócz Wiążących Reguł Korporacyjnych i indywidualnych umów, to przede wszystkim SCC może służyć jako podstawa dla przelewów do krajów trzecich. Jednocześnie jednak tym razem wzrosła niepewność: ETS przekazuje piłkę europejskim organom nadzoru.
Johannes Casper, Komisarz Hamburskiego Urzędu Ochrony Danych stwierdza:
Po dzisiejszej decyzji ETS piłka ponownie trafiła do sądu organów nadzorczych, które teraz staną przed decyzją o krytycznym zakwestionowaniu całościowego przekazywania danych za pomocą standardowych klauzul umownych.
Komisarz Federalny
Jednocześnie Federalny Komisarz ds. Ochrony Danych i Wolności Informacji (BfDI) prof. Ulrich Kelber łączy dzisiejsze orzeczenie Europejskiego Trybunału Sprawiedliwości (ETS) w sprawie międzynarodowego przekazywania danych ze wzmocnieniem praw osób, których to dotyczy:
ETS wyjaśnia, że międzynarodowy przepływ danych jest nadal możliwy. Należy jednak przestrzegać podstawowych praw obywateli europejskich. Należy teraz podjąć specjalne środki ochronne w celu wymiany danych z USA. Firmy i organy nie mogą już przekazywać danych na podstawie Tarczy Prywatności, którą ETS uznał za nieskuteczną. Oczywiście będziemy udzielać intensywnych porad dotyczących przejścia na euro
Nadrenia-Palatynat
Organ ochrony danych Nadrenii-Palatynatu przyjął już bardzo aktywne podejście. Zaledwie kilka godzin po decyzji ETS opublikowano dokument FAQ dotyczący decyzji ETS . Jeśli chodzi o to, co eksporterzy danych muszą teraz zrobić w związku z SCC, stwierdzają:
Administratorzy danych muszą sprawdzić, jakie przepisy prawa mają zastosowanie do odbierającego dane w państwie trzecim, do którego zamierzają przekazać dane oraz, w stosownych przypadkach, do innych jego partnerów umownych w tej relacji biznesowej oraz czy przepisy te mają wpływ na gwarancje przewidziane w standardowych klauzulach umownych . W razie potrzeby należy przeanalizować poszczególne przepływy danych, aby określić, które przepisy państwa trzeciego mają zastosowanie w każdym przypadku. Obowiązki te dotyczą przekazywania danych do wszystkich krajów trzecich, nie tylko do USA.
Uznaje się ważność decyzji SCC
Ponieważ Trybunał podtrzymał ważność decyzji SCC z 2010 r., przepływ danych z UE do reszty świata na podstawie SCC może być kontynuowany bez zakłóceń. Jednak nawet w przypadku firm, które polegają na SCC przy eksporcie danych z EOG, rozsądne byłoby uważne monitorowanie tej przestrzeni. Komisarz UE ds. Sprawiedliwości Didier Reynders wydał wczesne oświadczenie w tym samym dniu co decyzja, odnotowując plany aktualizacji SCC w świetle ich teraz rosnącego znaczenia.
Unieważnienie Tarczy Prywatności bez okresu przejściowego
Ponieważ Trybunał postanowił również ocenić Tarczę Prywatności i uznał ją za nieważną, wszelkie przepływy danych oparte na tych ramach staną się niezgodne z prawem.
Tarczę Prywatności czeka teraz ten sam niefortunny los, co program Safe Harbor w 2015 r. Podobnie jak w przypadku zamieszania, które miało miejsce po unieważnieniu programu Safe Harbor, możemy zobaczyć, jak rządy USA i UE spotykają się, aby naprawić wady wskazane w orzeczeniu TSUE. Jednak dopóki te usterki nie zostaną usunięte, każda firma, która polega na Tarczy Prywatności w celu prawidłowego przesyłania danych, powinna przejść na inne środki, które zostały wyraźnie uznane za odpowiednie zabezpieczenia, takie jak SCC, zgoda użytkownika i wiążące reguły korporacyjne (BCR).
Ponieważ władze przyznają, że SCC nadal działają jako podstawa, oczekujemy, że władze przyznają organizacjom okres karencji na dostosowanie się w odniesieniu do transferów po wydaniu wyroku. Po upadku Safe Harbor w 2015 r. zezwolono na sześciomiesięczny okres karencji. Biorąc pod uwagę szerszy wpływ, rozsądne byłoby powtórzenie tego teraz i potencjalnie przedłużenie tego okresu.
Kolejne kroki dla organizacji
Firmy powinny już teraz przygotować się na erę po Tarczy Prywatności i uzyskać wiążące reguły korporacyjne (BCR) i standardowe klauzule umowne (SCC) w celu zapewnienia własnej ochrony danych.
- Chociaż SCC pozostają ważne, organizacje, które obecnie się na nich opierają, będą musiały rozważyć, czy mając na uwadze charakter danych osobowych, cele i kontekst przetwarzania oraz kraj przeznaczenia, istnieje „odpowiedni poziom ochrony” dla danych osobowych zgodnie z wymogami prawa UE. Jeżeli tak nie jest, organizacje powinny rozważyć, jakie dodatkowe zabezpieczenia można wdrożyć, aby zapewnić, że faktycznie istnieje „odpowiedni poziom ochrony”.
- Organizacje, które obecnie opierają się na ramach Tarczy Prywatności UE-USA będą musiały pilnie zidentyfikować alternatywny mechanizm przekazywania danych, aby kontynuować przekazywanie danych osobowych do USA. Organizacje mogą mieć możliwość korzystania z odstępstw przewidzianych w RODO w przypadku niektórych transferów (np. przeniesienie jest niezbędne do wykonania umowy), a SCC lub Wiążące Reguły Korporacyjne należy również traktować jako alternatywne mechanizmy.
Krótko mówiąc, firmy podlegające RODO powinny rozważyć:
(i) ich dane przepływają do USA,
(ii) odpowiedni mechanizm prawny dla takich transferów do USA oraz
(iii) jeżeli Tarcza Prywatności UE-USA jest obecnym mechanizmem przekazywania, należy wprowadzić uzasadniony mechanizm przekazywania takich działań.
Co zrobi konwersja?
- Uważaj na wskazówki organów nadzorczych, Europejskiej Rady Ochrony Danych i Komisji Europejskiej.
- Oceń, jakie dane są przekazywane poza UE i na jakiej podstawie, przeprowadzając mapowanie danych. W tym ćwiczeniu zwracamy uwagę na:
- Przekazywanie danych do organizacji uczestniczących w Tarczy Prywatności,
- Przekazywanie danych, które opiera się na standardowych klauzulach umownych – należy zwrócić uwagę na wszelkie przekazywanie danych do importerów z USA polegających w szczególności na SCC,
- Transfery danych, które opierają się na Wiążących Regułach Korporacyjnych i które wiążą się z transferem danych do USA.
- Informuj aktywnych i próbnych użytkowników za pomocą wiadomości w aplikacji o następnych działaniach. Krótko mówiąc, dla naszych klientów, których transfery danych do UE były już objęte SCC, nie trzeba nic robić. W przypadku podmiotów, które wcześniej były objęte Tarczą Prywatności, niezbędną drogą naprzód jest przyjęcie standardowych klauzul umownych UE (SCC). Jeśli jesteś klientem Convert, który chce wprowadzić SCC, Twój Bohater Sukcesu Klienta Convert skontaktuje się z Tobą, aby rozpocząć proces włączania Standardowych Klauzul Umownych do naszej obecnej umowy (umów) z Tobą.
- Podpisz zaktualizowane umowy o przetwarzanie danych (DPA) i/lub standardowe klauzule umowne (SCC) ze wszystkimi podwykonawcami przetwarzania.
- Skontaktuj się z Tarczą Prywatności, aby otrzymać aktualne informacje na temat decyzji Schrems II.
- Zaktualizuj naszą Politykę prywatności, aby dołączyć link do wstępnie podpisanych SCC.
- Zaktualizuj stronę DPA, aby odzwierciedlić obecny stan.
- Miej oko na inne mechanizmy przesyłania danych.
