LEGALNY TRANSFER DANYCH DO USA
Wielu przedsiębiorców transferuje dane osobowe swoich klientów do USA. Po ostatnim wyroku w sprawie powszechnie zwanej „Schrems II”, pojawiło się zasadne pytanie: jak dokonywać legalnego transferu danych do USA?
Prowadząc biznes online, np. w branży e-commerce, możemy nie mieć świadomości że dane osobowe, którymi dysponujemy, przenoszone są poza granice Europejskiego Obszaru Gospodarczego. Transfer danych do USA możę odbywać się np. przy korzystaniu z Google Analytics, poczty Gmail czy Yahoo. Przepisy RODO regulują to zjawisko jako transfer danych do Państw trzecich. RODO wymaga, aby te dane były chronione wysokim stopniu i skutecznie. Aby spełnić to wymaganie, transferu należy dokonywać legalnie – czyli mieć do tego podstawę prawną.
Przy transferze danych do USA dotychczas podstawę tę stanowiła tzw. Tarcza Prywatności, którym to mianem określano decyzję Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Trybunał Sprawiedliwości Unii Europejskiej w wyroku we wspomnianej sprawie Schrems II w lipcu 2020 r. stwierdził jednak, że Tarcza jest nieważna. Tym samym transfer danych do USA na jej podstawie jest nielegalny.
Wielu przedsiębiorców jako podstawę prawną transferu danych do USA stosuje także standardowe klauzule umowne lub wiążące reguły korporacyjne. Stosowanie ich Trybunał także jednak postawił w wątpliwość.
Powyższe wnioski Trybunał uzasadnił przede wszystkim wysokim stopniem inwigilacji stosowanym przez władze USA.
Transfer danych osobowych to jakiekolwiek przekazanie ich do państwa trzeciego (tj. państwa, które nie należy do Europejskiego Obszaru Gospodarczego). Nie ma znaczenia czy przekazanie jest cykliczne czy jednorazowe, ani też czy ktokolwiek w państwie trzecim zapozna się z danymi. Wystarczy, że taka możliwość powstanie w wyniku przekazania.
Należy więc ustalić dokładnie, jakie dane osobowe gromadzimy jako administrator, a następnie przyjrzeć się stosowanym narzędziom. Jeżeli ustalimy, że dane osobowe, którymi dysponujemy trafiają do USA (pomijamy tu inne Państwa), pozostaje zastanowić się, jak duże ryzyko naruszenia RODO ponosimy i jak się przed nim zabezpieczyć. Istnieje kilka rozwiązań.
Najbardziej oczywistym jest zmiana wykorzystywanych narzędzi amerykańskich firm technologicznych na europejskie. To jednak może wymagać znacznego wysiłku i być kosztowne. Zastosowanie znaleźć mogą różne środki techniczne, jak szyfrowanie czy uniemożliwianie zapoznanie się z danymi.
Jeżeli chodzi o rozwiązania prawne, przydatnym może być również dokonanie analizy ryzyka naruszenia ochrony danych osobowych. Analiza umożliwia ustalenie danych, które przetwarzamy i transferujemy i ewentualnie daje możliwość ich zminimalizowania czy też zastosowania technicznych zabezpieczeń. Pozwoli to na zastosowanie się do jednej z podstawowych zasad RODO – zasady rozliczalności.
Istnieje możliwość umownego nałożenia na biznesowego partnera z USA obowiązków i ograniczeń w przetwarzaniu danych. Z pomocą przyszła Komisja Europejska, która przedstawiła nowy zestaw klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z RODO. Nowe standardowe klauzule umowne zastąpią te dotyczące przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich.