Kolejne kroki dla przedsiębiorstw UE i najczęściej zadawane pytania

lip 20, 2020

Jesteśmy w pełni świadomi, że wielu administratorów danych jest przytłoczonych niedawnym wyrokiem TSUE w sprawie przekazywania danych pomiędzy UE a USA oraz brakiem okresu karencji. Poniżej podsumowaliśmy najczęstsze pytania i odpowiedzi. Przedstawiamy również dwa wzorce zapytań, które firmy mogą przesłać do dowolnego partnera z USA lub dowolnego partnera z UE mającego powiązania z USA. Podjęcie szybkich działań może być istotne dla przedsiębiorstw, zwłaszcza jeżeli organ ochrony danych rozważy nałożenie grzywny za niezastosowanie się do orzeczenia TSUE. W najbliższych dniach zaktualizujemy te Często Zadawane Pytania (tzw. ‘FAQs’) i opublikujemy specjalne FAQs i teksty wzorcowe dla użytkowników ("osoby, których dane dotyczą"). W razie gdyby chcieli Państwo podzielić się informacjami zwrotnymi, które otrzymają Państwo w odpowiedzi na takie zapytania, mogą Państwo przesłać je do nas do analizy / porady.

Poradnik dla administratorów z UE:

Zgodnie z dokumentem opublikowanym przez EDPB w sprawie wyroku "Schrems II", nasze wstępne zalecenie jest takie, aby administratorzy danych osbowych podjęli następujące kroki:

  1. Przeanalizuj wszystkie zewnętrzne trasfery danych (w tym do podmiotów przetwarzającyh lub administratorów danych z UE, którzy z kolei mogą przekazywać dane do podmiotu spoza UE) w odniesieniu do przepływu danych do państw trzecich.
  2. Zidentyfikuj odpowiednią podstawę prawną (np. odpowiedni stopień ochrony, art. 49 RODO, Tarcza Prywatności, SKU itp.),
  3. W odniesieniu do 50 USC § 1881a (= FISA 702) i EO 12.333 zidentyfikuj w szczególności wszelkich amerykańskich "dostawców usług łączności elektronicznej" oraz wszelkie przepływy danych do USA, które nie są zabezpieczone przed nadzorem przez NSA (patrz wzorce zapytań poniżej).
  4. Zaprzestań przesyłania danych, jeżeli:
  • Ty lub jeden z Twoich partnerów nadal korzystacie z Tarczy Prywatności ("Privacy Shield");
  • Odpowiedni podmiot z USA jest "dostawcą usług łączności elektronicznej" lub jeśli
  • Nie ma możliwości zabezpieczenia przesłania danych przed nadzorem przez NSA.

      5. Powiadom właściwy organ nadzorczy, jeśli mimo negatywnej oceny nadal polegasz na SKU, wiążących regułach korporacyjnych (tzw. "BCR") lub innych instrumentach.

Wzorce zapytań do dostawców z USA lub dostawców mających powiązania z USA

Niniejsze wzorce zapytań moga być wykorzystane do najbardziej powszechnych sytuacji, które mają do czynienia z przekazywaniem danych z UE do USA i które mogą być dotknięte wyrokiem TSUE:

Wkrótce dodamy kolejne wzorce zapytań dotyczące innych sytuacji.

Najczęściej zadawane pytania (tzw. ‘FAQs’) dla przedsiębiorstw z UE

  • Jakie są konsekwencje niepodjęcia przeze mnie działań?

TSUE podkreślił, że administratorzy danych i organy ochrony danych (w przypadku, gdy administratorzy danych są nieaktywni), mają obowiązek podjęcia działań w celu zawieszenia lub zakazania przekazywania danych (pkt 134 wyroku TSUE w sprawie C-311/18), gdy nie posiadają oni ważnego instrumentu prawnego umożliwiającego przekazanie danych. Oznacza to, że w tym przypadku "okres karencji" nie istnieje.

Ogólne rozporządzenie o ochronie danych UE (RODO) przewiduje kary w wysokości 20 mln EUR lub 4% globalnego obrotu w przypadku dalszego przekazywania danych bez ważnego instrumentu prawnego (art. 83 ust. 5 lit. c) RODO). Organizacje pozarządowe, rady pracowników lub użytkownicy indywidualni mogą składać skargi lub wnosić pozwy, w tym o odszkodowanie za szkody emocjonalne.

Istnieje możliwość, że organy ochrony danych (OOD) nie nałoży kary grzywny na administratora danych, jeżeli może on wykazać, że wszystkie środki mające na celu zastosowanie się do orzeczenia TSUE zostały podjęte tak szybko, jak to możliwe. Niniejsza strona ma na celu umożliwienie administratorom danych wykazania takich kroków.

  • Zastanów się czy chcesz przenieść dane za granicę z perspektywy prowadzenia Twojego biznesu!

W wielu przypadkach przedsiębiorstwa podejmują decyzję o zleceniu przetwarzania danych osobowych do usługodawcy zewnętrznęgo spoza UE/EOG z niewielkim uwzględnieniem skutków takiej decyzji. Dlatego też w wielu przypadkach możliwe jest przejście na usługodawcę z UE/EOG (lub usługodawcę z innego "odpowiedniego" kraju, takiego jak np. Szwajcaria), a tym samym uniknięcie wszelkich problemów związanych z przekazywaniem danych

Nawet jeśli korzystanie z usług dostawcy z UE/EOG może początkowo wydawać się bardziej kosztowne, czas spędzony na legalizacji transferu spoza UE/EOG może kosztować Cię więcej niż to, co zaoszczędzisz na tańszej ofercie z zagranicy.

  • Jco muszę zrobić, jeśli nadal używam Standardowych Klauzul Umownych (SKU) do przekazywania danych do dowolnego dostawcy spoza UE/EOG?

Administrator danych i odpowiedni dostawca usług muszą przeprowadzić analizę poszczególnych przypadków (pkt 134 wyroku TSUE w sprawie C-311/18), aby sprawdzić, czy istnieją jakiekolwiek przepisy krajowe, którym ten dostawca usług podlega, oraz które naruszają jakiekolwiek postanowienia RODO i Karty praw podstawowych UE.

Ogólnie rzecz biorąc, przepisy, które umożliwiają wspólny dostęp organów ścigania do danych w indywidualnych przypadkach i pod warunkiem zatwierdzenia przez sędziego, będą zgodne z prawem UE. Formy mniej demokratycznego, daleko idącego dostępu ("masowe przetwarzanie danych") lub dostępu bez kontroli sądowej będą niezgodne z prawem UE.

  • Co muszę zrobić, jeśli korzystam z SKU do transferów danych osobowych do usługodawcy z USA?

Większość amerykańskich dostawców usług w chmurze (tzw. „cloud providers”) podlega amerykańskiemu prawu FISA 702, co oznacza, że nie będziesz mógł dalej korzystać z ich usług. Pojęcie “electronic communication service provider” (PL: „dostawcy usług łączności elektronicznej”) zawiera listę takich „dostawców” w 50 USC § 1881 lit. b) pkt 4. W związku z potrzebą zapewnienia jak najbardziej pracyzyjnego zdefiniowania tych dostawców, postanowiliśmy podać poniżej wersję oryginalną w j. angielskim. Nieoficjalna wersja w j. polskim jest podana w nawiasie:

  • Providers of remote computing services (dostawca usług łączności elektronicznej),
  • Provider of electronic communication services (nośniki telekomunikacyjne),
  • Telecommunications carriers (operatorzy telekomunikacyjni)
  • Any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored (każdy inny dostawca usług łączności, który ma dostęp do łączności przewodowej lub elektronicznej w związku z tym, że taka łączność jest przekazywana lub przechowywana), and
  • any officer, employee, or agent of any such entity (każdy członek kadry kierowniczej, pracownicy lub przedstawiciele takiej jednostki).

Jeśli nie jesteś pewny(-a), możesz zapytać swojego dostawcę, czy podlega FISA 702 i/lub czy posiada odpowiednie zabezpieczenia przed środkami nadzoru przez strony trzecie „w tranzycie” (zgodnie z FISA 702 i/lub EO 12.333). Ponieważ każda sytuacja jest inna, przygotowaliśmy wstępne przykładowe pytania, które można wykorzystać za darmo, aby dowiedzieć się więcej o tym, czy rozwiązanie dotyczące przetwarzania w USA jest zgodne z wyrokiem:

Pobierz: Przykładowe pytania do zastosowania SKU z usługodawcą z USA.

  • Co muszę zrobić, jeśli korzystam z usług dostawcy, który przetwarza dane w UE/EOG, ale jest powiązany z (lub korzysta) z firmy amerykańskiej?

FISA 702 i EO 12.333 nie mają żadnych ograniczeń terytorialnych. Mają one również zastosowanie do serwerów w UE, które są obsługiwane przez amerykańskiego “electronic communication service provider” („dostawcę usług łączności elektronicznej”) lub gdy niektóre operacje są zlecane dostawcy z USA. Lokalizacja hostingu jest zatem nieistotna.

W niektórych przypadkach dostawcy mogą wystarczająco ograniczyć faktyczny dostęp do danych („posiadanie, przechowywanie lub kontrola”) przez podmioty amerykańskie, w taki sposób, że serwer UE/EOG jest faktycznie poza zasięgiem rządu USA. Może to mieć miejsce na przykład wtedy, gdy podmiot z UE jest zobowiązany przez RODO do niedostarczania danych amerykańskiej „spółce-matce” i taka spółka z USA nie ma faktycznego dostępu do danych.

Ponieważ każda sytuacja jest inna, przygotowaliśmy wstępne przykładowe pytania, z których możesz bezpłatnie skorzystać, aby dowiedzieć się więcej o tym, czy rozwiązanie w zakresie przetwarzania danych w UE jest zgodne z wyrokiem TSUE:

Pobierz: Przykładowe pytania dotyczące hostingu w UE, z powiązaniem z USA

  • A co z nadzorem „in transit” (tzw „nadzór w tranzycie”)?

W pkt 183 wyroku w sprawie C-311/18 TSUE stwierdził również, że amerykański „nadzór w tranzycie” (taki jak „Upstream” lub pozyskiwanie informacji z podwodnych kabli) narusza prawa podstawowe UE.

Z perspektywy RODO przyjmujemy wstępne stanowisko, że takie zewnętrzne manipulowanie danymi osobowymi jest objęte przepisami z art. 32 RODO („bezpieczeństwo przetwarzania”). Dlatego też podmiot przekazujący i odbierający dane musi wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony przekazywanych danych przed pozyskaniem tych danych przez NSA/FBI.

Biorąc pod uwagę, że rząd USA ma ogromne możliwości w zakresie złamania szyfrowania, jest to głównie kwestia techniczna czy i w jaki sposób możliwe jest znalezienie rozwiązania technicznego w każdej poszczególnej sytuacji. Rząd USA twierdzi, że głównie używa „wybranych wskaźników” (EN: „Selectors”; takich jak adresy e-mail, adresy IP lub numery telefonów) dla takich programów jak „Upstream”. Każde podejście techniczne musi zatem zapewniać, że takie wybrane wskaźniki znajdują się poniżej warstwy szyfrowania typu „end-to-end”. W wielu formach komunikacji bezpośredniej (jak np. zaszyfrowana poczta elektroniczna PGP) wybrane wskaźniki (inaczej „selectors” nie są szyfrowane.

Powyższe przykładowe pytania mogą być wykorzystane do wysłania zapytania do dostawcy w sprawie środków zapobiegających nadzór w tranzycie (EN: „surveillance in transit”).

  • Czy istnieje lista amerykańskich dostawców, którzy podlegają tym przepisom dotyczącym nadzoru?

Pełna lista wszystkich amerykańskich dostawców, którzy podlegają FISA 702 (50 USC § 1881a) nie istnieje, ponieważ wszyscy dostawcy z kategorii „electronic communication service provider” podlegają temu prawu. Definicja „electronic communication service provider” (PL: „dostawcy usług łączności elektronicznej”) znajduje się w 50 USC § 1881(b)(4).

Jednocześnie szereg przedsiębiorstw opublikowało nawet tak zwane „transparency reports” („sprawozdania dotyczące przejrzystości”), w których wymieniono dostęp do danych w ramach FISA. Dzięki temu wiemy, że przedsiębiorstwa te są zdecydowanie objęte zarządzeniem FISA.

Kilka przykładów można znaleźć tutaj (wiele innych firm po prostu nie udostępnia takich informacji, mimo że są one objęte FISA 702):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (dawniej Oath i Yahoo)

Verizon

  • Kto jest odpowiedzialny za koszty wprowadzenia w życie rozwiązania okreslonego w decyzji TSUE w sprawie C-311/18?

Jeśli już wczesniej korzystałeś z SKU do przekazywania danych poza UE, prawo nie uległo zmianie. Każdy dostawca spoza UE/EOG miał obowiązek poinformować Cię o przepisach takich jak FISA 702 i EO 12.333. Jeśli tego nie zrobił, powinien ponieść wszelkie koszty wynikające z anulowania SKU i przekazania danych z powrotem do UE/EOG na mocy klauzuli załącznika II do decyzji 2004/915/WE lub klauzuli 5 lit. b) załącznika do decyzji 2010/87.

„Tarcza Prywatności” (EN: „Privacy Shield”) była nieprawidłową decyzją wykonawczą Komisji Europejskiej. Teoretycznie, art. 340 TFUE pozawala na wniesienie roszczenia o odszkodowanie przeciwko UE.

  • Czy mogę po prostu skorzystać z art. 49 RODO do wszystkich transferów do USA?

Europejska Rada Ochrony Danych (EROD) przyjęła stanowisko, że art. 49 RODO może być stosowany jedynie w przypadku „sporadycznych i nie powtarzających się transferów” (EN: “occasional and not repetitive transfers”), co ogranicza zastosowanie art. 49 do poszczególnych sytuacji, w których użytkownicy wyrazili wyraźną zgodę lub gdy przekazanie danych jest ściśle niezbędne do zawarcia umowy (np. rezerwacja hotelu za granicą).

W przeciwieństwie do niektórych postanowień w tej sprawie, zlecenie operacji przetwarzania danych nie jest ściśle „niezbędne” do realizacji umowy, jeśli teoretycznie możesz również skorzystać z usług dostawcy z UE/EOG lub przetwarzać dane we własnym zakresie. Administratorzy danych powinni mieć również na uwadze, że osoby, których dane dotyczą, mogą w każdej chwili wycofać swoją zgodę.

Podczas gdy art. 49 pozwala na utrzymanie „podstawowej” komunikacji z dowolnym krajem na świecie (od Szwajcarii do Korei Północnej) mowa w nim jest tylko o wyjątkach dla niezbędnych transferów.

Link: Guidelines 2/2018 on derogations of Article 49

  • W jaki sposób mogę ocenić czy prawo państwa trzeciego jest zgodne z prawami podstawowymi UE?

W 2016 roku po wyroku w sprawie „Schrems I”, Grupa Robocza Art. 29 (obecnie EROD) przedstawiła jasne wytyczne dotyczące tego, co może, a co nie może być uznane za uzasadnioną ingerencję w prawa podstawowe w społeczeństwie demokratycznym w zakresie ochrony danych (art. 7 i 8 Karty praw podstawowych UE). W tym dokumencie roboczym organy ochrony danych określiły wówczas cztery „europejskie podstawowe gwarancje” (EN: „European Essential Guarantees”), których należy przestrzegać w krajach, do których przesyłane są dane UE:

  1. Przetwarzanie danych powinno być oparte na jasnych, precyzyjnych i dostępnych zasadach;
  2. Należy wykazać konieczność i proporcjonalność w odniesieniu do wskazanych uzasadnionych celów;
  3. Powinien istnieć niezależny mechanizm nadzoru;
  4. Zapewnienienie dostępu do środków naprawczych dla osób indywidualnych.

Należy zauważyć, że TSUE wykorzystał co najmniej dwa punkty z niniejszych wytycznych do unieważnienia Tarczy Prywatności. Dlatego też proponujemy wpierw zapoznać się ze wspomnianym dokumentem roboczym.

Link: Working Paper 237 of the Article 29 Working Party