Poradnik Przedsiębiorcy

Przesyłanie danych do USA. Czy nadal można korzystać z narzędzi Microsoft, Google i Facebook?

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 roku unieważniający Tarczę Prywatności UE-USA mocno zaniepokoił przedsiębiorców. Pojawiły się głosy sugerujące nawet natychmiastowe zaprzestanie korzystania z pakietów biurowych Microsoft, Google Analytics czy korzystania z Facebooka. Czy rzeczywiście trzeba posunąć się do tak radykalnych kroków?

Na czym polega problem?

Do 16 lipca 2020 r. przesyłanie danych osobowych między krajami Unii Europejskiej a Stanami Zjednoczonymi było możliwe przede wszystkim w ramach tak zwanej Tarczy Prywatności UE-USA. Na jej podstawie przedsiębiorstwa ze Stanów Zjednoczonych (znajdujące się na liście Tarczy Prywatności) mogły przetwarzać dane osobowe obywateli krajów UE. Trybunał Sprawiedliwości UE wyrokiem z 16 lipca 2020 r. uznał, że przesyłanie danych osobowych do Stanów Zjednoczonych, które odbywa się na podstawie Tarczy Prywatności, nie jest dłużej zgodne z prawem.

Co oznacza to w praktyce dla przedsiębiorcy?

Znaczna część firm wykorzystuje rozwiązania informatyczne opierające się na przetwarzaniu danych w tzw. chmurze. Korzystając np. z pakietu Microsoft 365 (dawniej Office 365), pakietu G Suite (dostarczanego przez Google), Google Analytics / Ads czy choćby posiadając na swojej stronie wtyczki społecznościowe Facebooka, firmy pozwalają, aby dane osobowe przekazywane były za ocean. Wyrok TSUE powoduje konieczność zweryfikowania, na jakich zasadach następuje to przekazanie. Na szczęście oprócz nieważnej już Tarczy Prywatności, dostępne są inne podstawy dla przesyłu danych, z których największe znaczenie zyskały obecnie standardowe klauzule umowne.

Czym są standardowe klauzule umowne?

Standardowe klauzule ochrony danych to przyjęte przez Komisję Europejską postanowienia umowne, które mają na celu zapewnić odpowiednio wysoki poziom ochrony danych osobowych. Niektórzy amerykańscy producenci oprogramowania i dostawcy usług IT umieszczają je w umowach zawieranych ze swoimi klientami. Praktykę taką stosuje Microsoft w odniesieniu do usługi Microsoft 365 (dawniej Office 365) czy Google w stosunku do części swojego oprogramowania (np. GSuite - choć w tym przypadku użytkownik musi wskazać, że chce posługiwać się klauzulami). Google deklaruje, że trwają prace mające na celu umożliwienie zawarcia standardowych klauzul umownych w odniesieniu do usług Google Analytics oraz Google Ads. Jak informuje polityka prywatności Facebooka, dane użytkowników z Unii Europejskiej przekazywane są do irlandzkiego podmiotu, a stamtąd m.in. do amerykańskiej firmy Facebooka - trudno powiedzieć, na ile jest to bezpieczna praktyka, ale Facebook deklaruje, że stosuje standardowe klauzule umowne. Dodatkowo należy ocenić, czy prawo państwa, do którego dane są przesyłane, gwarantuje stosowną ochronę osobom, których dane dotyczą. Tu sytuacja się komplikuje, gdyż szereg
aktów prawnych w Stanach Zjednoczonych zapewnia m.in. służbom wywiadowczym nieskrępowany dostęp do napływających danych, w tym danych osobowych. Na tę chwilę nie ma jednoznacznego rozwiązania tego problemu.

Co należy teraz zrobić?

Przede wszystkim należy sprawdzić, które z używanych w przedsiębiorstwie rozwiązań wiąże się z wysyłaniem danych do Stanów Zjednoczonych. Jeżeli nie ma takiej sytuacji, nie musimy podejmować dodatkowych kroków. W przeciwnym wypadku należy sprawdzić, czy dostawca usługi informuje, że bezpieczeństwo przetwarzania gwarantują standardowe klauzule umowne. Obie informacje - o przesyłaniu danych do Stanów oraz o wykorzystywaniu klauzul - można najprawdopodobniej znaleźć np. w polityce prywatności lub regulaminie danej usługi. Jeżeli usługodawca opiera się jedynie na Tarczy Prywatności UE - USA, należałoby zaprzestać korzystania z tej usługi. Na końcu należy zaktualizować naszą dokumentację RODO oraz klauzule informacyjne, wskazując na standardowe klauzule umowne jako podstawę przesyłania danych do Stanów Zjednoczonych lub - jeśli zrezygnowaliśmy z używania którejś z aplikacji- usuwając informację o takim przekazywaniu danych.

Co grozi za zignorowanie nowego obowiązku?

Przede wszystkim administracyjne kary pieniężne z tytułu naruszenia ochrony danych osobowych. Oprócz tego istnieje ryzyko dochodzenia roszczeń przez osobę, której dane dotyczą, z tytułu naruszenia jej praw.

Czy tak już zostanie?

Sytuacja jest dynamiczna, zwłaszcza że w chwili obecnej trwają uzgodnienia organów nadzoru nad ochroną danych z krajów UE w ramach Europejskiej Rady Ochrony Danych Osobowych. Osobne działania podejmują też dostawcy oprogramowania, którzy aktualizują warunki korzystania ze swoich systemów i aplikacji. Warto też śledzić oficjalne strony organów państwowych i europejskich oraz organizacji zajmujących ochroną danych
osobowych w oczekiwaniu na oficjalne wyjaśnienia i interpretacje.

 

Tekst zewnętrzny, artykuł partnera