Ważne zmiany w zakresie zasad transferu danych osobowych za granicę

2020-08-03

TSUE wyrokiem z dnia 16 lipca 2020 roku orzekł w sprawie Schrems II (C-311/18), wskazując na znaczne ryzyka prawne dotyczące transferu danych osobowych do USA i pozostałych państw trzecich (państw spoza EOG).

TSUE stwierdził że:

  • Przekazywanie danych osobowych do państw trzecich na podstawie standardowych klauzul umownych (SCC) powinno być poprzedzone analizą, czy odpowiedni stopień ochrony danych jest przestrzegany w danym państwie,
  • Decyzja Komisji Europejskiej w sprawie Tarczy Prywatności (Privacy Shield) zostaje unieważniona z uwagi na ryzyko znacznej ingerencji służb amerykańskich w prawa podstawowe podmiotów danych. 

Co to oznacza?

Wyrok TSUE oznacza w praktyce, że transfery danych osobowych dokonywane z Unii Europejskiej do USA w ramach Tarczy Prywatności stały się z dnia na dzień nielegalne. TSUE nie przewidział żadnego okresu przejściowego. Legalną podstawą transferu danych do USA oraz pozostałych państw trzecich mogą być min. standardowe klauzule umowne, przy czym administrator powinien w każdym przypadku ocenić, czy odpowiedni stopień ochrony danych jest przestrzegany w Państwie trzecim.

W konsekwencji, w przypadku przekazywania danych osobowych do państwa trzeciego na podstawie standardowych klauzul umownych (również w ramach jednej grupy kapitałowej), podmiot przekazujący dane powinien dokonać indywidualnej oceny stopnia ochrony danych z uwzględnieniem nie tylko postanowień umownych, ale również przepisów prawa kraju, do którego dane są wysyłane.

Jak możemy Państwa wesprzeć?

W związku ze zwiększonym ryzykiem związanym z przesyłaniem danych do USA oraz innych krajów trzecich, możemy:

  • Przeanalizować dokumentację i praktyki dotyczące ochrony danych w Państwa firmie
  • Przeprowadzić weryfikację legalności podstawy przekazywania danych osobowych do państw trzecich
  • Przedstawić ryzyka związane ze stosowaniem dotychczasowych metod przekazywania danych do państw trzecich
  • Przedstawić propozycje alternatywnych środków zabezpieczających transfer danych osobowych za granicę