TSUE otrzymał jedenaście pytań przedstawionych przez irlandzki High Court of Ireland. TSUE mógł przeformułować pytania i odnieść się tylko do niektórych z nich. Niniejsze FAQ zawiera prosty przegląd wyroku i odpowiedzi na pytania. Dotyczy on najbardziej istotnych pytań, jakie mogą mieć osoby i firmy na temat wyroku TSUE
(I) Zakres sprawy
Na które transfery danych UE-USA sprawa ta nie ma wpływu?
Mówiąc wprost: "Niezbędne" transfery danych osobowych nie są objęte tym przypadkiem.
Sprawa ta dotyczy głównie dobrowolnego "outsourcingu" przetwarzania danych osobowych do Stanów Zjednoczonych
Sprawa ta nie dotyczy: (1) danych, które nie są "danymi osobowymi"; oraz (2) "niezbędnych" transferów danych do Stanów Zjednoczonych (np. e-maile do USA, rezerwacje w USA itp.) - w większości przypadków transfery te korzystają ze "zwolnienia" przewidzianego w art. 49 PKBR.
W związku z tym przypadek ten nie oznacza, że nie można wysyłać e-maili ani wiadomości z UE do USA. Każde twierdzenie, które by to sugerowało, jest po prostu błędne
Mimo to wiele przedsiębiorstw w UE będzie nadal musiało dokonać przeglądu swoich praktyk w zakresie outsourcingu, jeśli będą one miały dane osobowe przetwarzane przez dostawców z USA. Odbiorcy tych danych w USA również będą musieli przeprowadzić podobny przegląd, jeśli podlegają obowiązkom wynikającym z odpowiednich amerykańskich przepisów dotyczących nadzoru, takich jak FISA 702.
Jaka jest różnica między "outsourcingiem" przetwarzania danych a bezwzględnie "koniecznymi" transferami danych do USA, w tym wysyłaniem e-maili, rezerwacjami hoteli czy transakcjami biznesowymi?
"Niezbędne" przekazywanie danych: W większości przypadków, gdy dane muszą być przekazywane do USA (np. rezerwacja hotelu, wysłanie wiadomości e-mail do kogoś w USA, standardowe transakcje handlowe między UE a USA itp. Takie rodzaje przekazywania danych są dozwolone, niezależnie od ważności innych instrumentów prawnych wykorzystywanych do przekazywania danych, takich jak standardowe klauzule umowne (SCC), ochrona prywatności lub wiążące reguły korporacyjne (BCR).
Outsourcing: Outsourcing oznacza, że dane osobowe są przechowywane tylko w USA, ponieważ łatwiej, taniej lub praktyczniej jest je przechowywać u usługodawcy z USA niż w Europie, mimo że dane te mogą być technicznie przechowywane w UE/EOG. W tym przypadku zazwyczaj nie ma ogólnego zwolnienia ("odstępstwa") na mocy art. 49 PKBR w odniesieniu do przekazywania danych do USA. Zamiast tego należy zastosować instrument prawny, taki jak SCC, Privacy Shield lub BCR, ale instrumenty te mogą zostać uznane przez TSUE za nieważne lub niemożliwe do zastosowania w pewnych sytuacjach. W dniu dzisiejszym Osłona prywatności została uznana za nieważną. Co więcej, SCC nie mogą być używane przez Facebook i inne firmy amerykańskie, które podlegają nadzorowi Stanów Zjednoczonych.
Czy ten przypadek dotyczy przekazywania danych do krajów innych niż USA?
Sprawa nie dotyczy bezpośrednio takich przekazów
Sprawa ta ma jednak pośrednie konsekwencje. Przedsiębiorstwa będą musiały znacznie dokładniej niż dotychczas zweryfikować rzeczywisty poziom ochrony przyznawanej w krajach spoza UE. Na przykład, jeśli chodzi o SPK, konflikt z przepisami dotyczącymi nadzoru ma takie samo znaczenie w odniesieniu do przepisów w krajach takich jak Chiny czy Rosja.
(II) Konsekwencje dla konsumentów
Czy konsumenci z UE/EOG mogą nadal korzystać bezpośrednio z usług świadczonych w USA (lub innym kraju trzecim)?
W najbardziej praktycznym ujęciu użytkownicy mogą świadomie przesyłać swoje dane osobowe bezpośrednio do kraju trzeciego, na przykład korzystając z chińskiej strony internetowej
Nie jest jednak możliwe bezpośrednie udostępnienie danych innych osób (np. przyjaciół, współpracowników) dostawcy z USA, chyba że uzyskasz ich dobrowolną, konkretną, świadomą i jednoznaczną zgodę na to.
Czy konsumenci z UE/EOG mogą nadal korzystać z usług świadczonych w USA (lub innym kraju trzecim) pośrednio (za pośrednictwem spółki zależnej UE)?
W wielu przypadkach użytkownicy z UE/EOG mają umowę z filią amerykańskiego przedsiębiorstwa z UE. Przykładami są Google Ireland, Facebook Ireland, Microsoft Luxembourg lub Amazon Luxemburg
W tych przypadkach przedsiębiorstwa z UE są odpowiedzialne za zapewnienie, że "wewnątrzzakładowy" przepływ danych osobowych do USA jest zgodny z PKBR. Przedsiębiorstwa będą teraz musiały dokładnie przyjrzeć się wszystkim takim przepływom danych i sprawdzić, czy muszą one przechowywać dane w Europie lub w jakimkolwiek innym kraju, który zapewnia lepszą ochronę prywatności, zamiast przekazywać je do USA przedsiębiorstwu, które jest nadzorowane przez USA.
(III) Konsekwencje dla spółek
Czy przedsiębiorstwa z UE/EOG mogą nadal dokonywać "niezbędnego" przekazywania danych osobowych do USA?
W większości przypadków: Tak.
W art. 49 PKBR znajduje się lista "odstępstw" pozwalających na takie przekazywanie danych. Zwykle obejmują one składanie zamówień przez przedsiębiorstwa w USA, dokonywanie rezerwacji w hotelach w USA, wysyłanie e-maili do USA i ogólnie rzecz biorąc, wszelkie usługi, które logicznie rzecz biorąc wymagają przekazywania danych między UE a USA. Takie przekazywanie danych nie jest częścią sprawy i nie ma na nie wpływu wyrok.
Czy przedsiębiorstwa z UE/EOG mogą nadal "zlecać" USA przetwarzanie danych osobowych na zewnątrz?
W większości przypadków: Prawdopodobnie nie.
Najczęściej wykorzystywane amerykańskie procesory danych podlegają również amerykańskim przepisom nadzoru, takim jak FISA 702, które wymagają od nich ujawniania danych osobowych rządowi USA bez odpowiednich zabezpieczeń. Przekazywanie danych podmiotom przetwarzającym dane w ramach takich obowiązków narusza określony przez TSUE wymóg GDPR.
Czy przedsiębiorstwa z UE/EOG mogą nadal zlecać na zewnątrz przetwarzanie danych osobowych w krajach innych niż USA?
Tak, jeśli w danym kraju nie ma sprzecznych przepisów
Sprawa nie zmienia zasad GDPR dotyczących przekazywania danych. Tak jak poprzednio, każda firma z UE musi sprawdzić, czy w kraju trzecim istnieją przepisy, które mogą być nadrzędne w stosunku do prawa UE dotyczącego prywatności. W takich przypadkach dane osobowe nie mogą być zlecane na zewnątrz do tego kraju trzeciego
Na przykład, jeśli przetwarzanie danych osobowych jest zlecane na zewnątrz do kraju A, administrator danych UE musi zapewnić, że odbiorca posiada niezbędne ustalenia, ale także, że nie istnieje żadne sprzeczne prawo, które ma zastosowanie w kraju A i jest nadrzędne w stosunku do tych ustaleń.
Czy wszystkie transfery danych z UE/EOG do USA są obecnie zabronione?
Nie, wcale nie - z dwóch powodów
- Większość transferów danych nie zawiera "danych osobowych", lecz pewne inne formy danych. Takie transfery danych nie są nawet regulowane przez PKBR
- Większość "niezbędnych" transferów danych osobowych (np. przy wysyłaniu wiadomości e-mail, wiadomości lub rezerwacji hotelowej) nadal podlega odstępstwu na mocy art. 49. Przekazywanie to może być kontynuowane po wydaniu wyroku i nie ma na nie wpływu.
Czy sprawa ta dotyczy wszystkich amerykańskich odbiorców danych z UE?
Nie. ma to znaczenie tylko dla przedsiębiorstw, które podlegają przepisom nadzoru w USA, lub dla przedsiębiorstw, które korzystają z usług dostawców podlegających tym przepisom nadzoru w USA.
Na przykład FISA 702 ma zastosowanie tylko do "dostawców usług łączności elektronicznej". Branże takie jak banki, linie lotnicze, hotele, firmy spedycyjne, sprzedaż towarów itp. zwykle nie są objęte tymi przepisami. Istnieją jednak pewne niejasności dotyczące tych terminów i prawa amerykańskiego. Konieczne wydaje się wyjaśnienie przez rząd USA
W praktyce jednak bank (który nie jest objęty FISA) może sam korzystać z usług "dostawcy usług łączności elektronicznej" (który jest objęty FISA). Oznacza to, że dane banku mogą być dostępne za pośrednictwem "dostawcy usług łączności elektronicznej". Or, it may transfer data that is improper encrypted, which, for example, would allow the data to be "tapped" while being sent across underwater cables (as permitted under EO 12.333). W związku z tym należy ocenić cały przepływ danych.
W jaki sposób orzeczenie TSUE może być egzekwowane w praktyce?
Po wydaniu wyroku, przedsiębiorstwa muszą dokonać indywidualnego przeglądu, jeżeli muszą zmienić swoje praktyki. Są one zobowiązane do zaprzestania przekazywania danych, które są nielegalne. To nic nowego. Po wydaniu wyroku w sprawie "Safe Harbor" wiele przedsiębiorstw z UE zrezygnowało z usług dostawców z USA.
Przedsiębiorstwa, które obecnie nielegalnie przekazują dane amerykańskim odbiorcom, będą zobowiązane do jak najszybszego zaprzestania wszelkich takich transferów, aby uniknąć kary pieniężnej w wysokości do 20 milionów euro lub 4% globalnego obrotu w ramach PKBR. Krajowe organy ochrony danych (OOD) są odpowiedzialne za egzekwowanie tych kar.
Użytkownicy przedsiębiorstw z UE mogą zwrócić się do tych przedsiębiorstw o zaprzestanie przekazywania ich danych osobowych do USA. Jeżeli przedsiębiorstwa nie zastosują się do tych wniosków, użytkownicy mogą złożyć skargę do organu ochrony danych lub wnieść pozew do lokalnego sądu. Może to prowadzić do wydania wstępnych nakazów i/lub szkód emocjonalnych. W wielu krajach UE grupy konsumenckie, rady pracowników i inne organy mogą również składać pozwy zbiorowe lub grupowe, jeśli przedsiębiorstwo nadal przekazuje dane osobowe bez podstawy prawnej.
Co mogą zrobić przedsiębiorstwa z UE/EOG?
Firmy muszą ocenić, czy ich przetwarzanie danych osobowych musi być zlecane podmiotom przetwarzającym dane w USA. Jeśli tak, muszą one określić podstawę prawną dla transferu danych (np. odstępstwa w art. 49 GDPR, SCC, Privacy Shield lub BCR).
Większość amerykańskich dostawców usług w chmurze kwalifikuje się jako "dostawcy usług łączności elektronicznej" i w związku z tym podlega odpowiednim przepisom nadzoru w USA, takim jak FISA 702
Chociaż większość innych sektorów przemysłu nie jest objęta tymi przepisami, mogą one korzystać z usług "dostawców usług łączności elektronicznej", co w efekcie daje pośredni dostęp do danych. Należy również wziąć pod uwagę inne instrumenty nadzoru, takie jak EO 12.333. EO 12.333 zezwala na "nadzór w tranzycie", taki jak dostęp do danych, które nie są odpowiednio zaszyfrowane podczas przechodzenia przez kable transatlantyckie.
Jeżeli nie mogą one skorzystać z żadnego z instrumentów prawnych zezwalających na przekazanie danych zgodnie z art. 44-50 PKBR, przedsiębiorstwa będą musiały przekazać wszystkie istotne dane osobowe z powrotem do UE/EOG i znaleźć przetwórcę w UE/EOG lub w innym kraju, w którym zapewniona jest odpowiednia ochrona danych osobowych.
Co mogą zrobić amerykańskie firmy?
Firmy amerykańskie muszą sprawdzić, czy one same lub ich podwykonawcy podlegają odpowiednim przepisom nadzoru w USA i czy ich transfery danych są szyfrowane do poziomu zapewniającego, że "stukanie" podczas transferu nie jest możliwe. Po dokonaniu takiego przeglądu będą one musiały poinformować swoich klientów z UE/EOG, jeżeli wyrok dotyczy ich przetwarzania danych osobowych.
W dłuższej perspektywie czasowej wskazane może być przeniesienie niektórych operacji przetwarzania danych poza USA lub rozmowa z wybranymi przedstawicielami na temat skutków, jakie amerykańskie przepisy dotyczące nadzoru mają dla zdolności amerykańskich przedsiębiorstw do prowadzenia działalności gospodarczej z klientami zagranicznymi. Mamy również nadzieję, że amerykańskie przedsiębiorstwa będą rozmawiać z amerykańskim ustawodawcą o braku ochrony zapewnianej ich międzynarodowym klientom.
(IV) KONSEKWENCJE POLITYCZNE
Jak w dłuższej perspektywie można rozwiązać konflikt między amerykańskimi przepisami dotyczącymi nadzoru a przepisami UE dotyczącymi prywatności?
Jeżeli Stany Zjednoczone chcą utrzymać swoją pozycję głównego dostawcy usług informatycznych na świecie, trzeba będzie pilnie zreformować amerykańskie przepisy dotyczące nadzoru. USA będą musiały wprowadzić podstawowe środki ochrony prywatności, które będą co najmniej równoważne z tymi, które zostały już przyznane obywatelom amerykańskim. W przeciwnym razie jest bardzo mało prawdopodobne, aby klienci zagraniczni nadal korzystali z usług amerykańskich dostawców usług.
Gdy tylko amerykańskie przepisy dotyczące nadzoru zostaną w ten sposób zreformowane, przedsiębiorstwa unijne będą mogły wznowić przekazywanie danych między UE a USA, a Komisja Europejska będzie mogła wydać nowe stabilne instrumenty, które to umożliwią.
W jaki sposób można by w przyszłości kontynuować przekazywanie danych między UE a USA?
Zasadniczo mamy do czynienia z konfliktem między prywatnością w UE a amerykańskimi przepisami dotyczącymi nadzoru: Prawo UE wymaga ochrony danych osobowych, podczas gdy prawo amerykańskie wymaga nadzoru
Prawo do prywatności i ochrony danych to prawa podstawowe w Europie, zapisane w art. 7 i 8 Karty praw podstawowych UE. Wszystkie 27 państw członkowskich musiałoby jednomyślnie zgodzić się na każdą zmianę tych praw podstawowych. Komisja Europejska starała się przyjąć wyjątki, takie jak "Safe Harbor" i "Privacy Shield", ale bez koniecznej reformy amerykańskich przepisów dotyczących nadzoru, stale nie spełniają one podstawowych praw UE. Skutkiem tego są takie decyzje jak ta, które unieważniają te wyjątki.
Stany Zjednoczone wprowadziły w 2008 r. daleko idące przepisy dotyczące nadzoru w odniesieniu do osób spoza USA. Gdyby USA cofnęły te przepisy dotyczące nadzoru lub zagwarantowały taką samą ochronę osobom spoza USA, jak w przypadku osób z USA, byłoby bardzo prawdopodobne, że USA będą postrzegane jako kraj, który zapewnia "odpowiednią ochronę" danych osobowych na mocy prawa UE, jeżeli zapewnione zostaną odpowiednie środki odwoławcze.
Czy UE może po prostu wydać kolejną decyzję, jeżeli tarcza prywatności zostanie unieważniona?
Teoretycznie Komisja Europejska może (świadomie) wydać kolejną nieważną decyzję, jeśli TSUE unieważni "Osłonę prywatności". Biorąc pod uwagę, że problem leży w prawie amerykańskim, najprawdopodobniej doprowadziłoby to do zakwestionowania prawa, co spowodowałoby unieważnienie nowej decyzji również przez TSUE. Jest bardzo mało prawdopodobne, aby było to politycznie akceptowalne. Przedsiębiorstwa również potrzebują stabilnego prawnie rozwiązania.
Zarówno niniejszy wyrok, jak i poprzedni w odniesieniu do "bezpiecznej przystani" opierają się na Karcie praw podstawowych. Do zmiany traktatów UE konieczna byłaby jednomyślna zgoda wszystkich 27 państw członkowskich UE, aby umożliwić Komisji Europejskiej wydanie uzasadnionej prawnie decyzji w sprawie przekazywania danych w odniesieniu do przekazywania danych między UE a USA.
Rozwiązanie leży zatem w rękach ustawodawcy amerykańskiego, który musi dostosować lub wycofać obowiązujące amerykańskie przepisy dotyczące nadzoru.
Czy nie jest to tylko protekcjonizm ze strony UE?
Nie. Prawo UE dopuszcza wiele możliwości międzynarodowego przekazywania danych - o ile przestrzegane są podstawowe zasady ochrony prywatności.
W rzeczywistości polityczne ramię UE (Komisja Europejska i państwa członkowskie) popiera przekazywanie danych UE-USA, ale TSUE już wcześniej wyraził wątpliwości co do legalności tych umów z USA, biorąc pod uwagę potencjalne naruszenie podstawowych praw UE. Również Parlament Europejski również wyraził wątpliwości co do tych umów
Porównując "Ochronę prywatności" w odniesieniu do przedsiębiorstw amerykańskich z wewnętrznym PKB UE, oczywiste jest, że przedsiębiorstwa amerykańskie mogą uzyskać dostęp do dużego rynku UE, stosując się do znacznie słabszych przepisów niż te, których muszą przestrzegać przedsiębiorstwa unijne. Daje to firmom amerykańskim przewagę konkurencyjną.
