Przekazywanie danych osobowych do USA nie jest bezpieczne!
Zaktualizowano: 23 lip 2020
W dniu 16 lipca 2020r. Trybunał Sprawiedliwości wydał wyrok w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems, w którym stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia 16 lica 2020r. na tej podstawie nie można przekazywać już danych osobowych jak odbywało się to dotychczas.
Skarga na Facebooka
Sprawa znalazła taki finał na skutek skargi złożonej do irlandzkiego organu nadzoru przez obywatela Austrii na Facebooka Ireland. Osoba wnosząca skargę była użytkownikiem Facebooka, która nie zgadzała się na przekazywanie jego danych osobowych przez irlandzkiego Facebooka do USA, ponieważ tam znajdują się serwery należące do Facebook Inc. Wnosząc skargę powoływał się na to, że ani prawo Stanów Zjednoczonych, ani praktyka nie zapewniają ochrony tym danym przed dostęp władzy publicznej. Wnosząc skargę zażądał zawieszenia przekazywania jego danych a w przyszłości zakazania.
Jak wyglądało to dotychczas?
Dotychczas podstawą przekazywania danych do USA była tzw. Tarcza Prywatności uznawana na podstawie decyzji Komisji Europejskiej jako wystarczające zabezpieczenie przetwarzania danych na terenie USA. Dane osobowe bardzo często były i są przechowywane w serwerach, które znajdują się an terenie USA lub są tam przekazywane dotyczy to wielu firm hostingowych i nie tylko. Drugim dokumentem który stanowi podstawę do przekazywania danych państwom trzecim są standardowe klauzule ochrony zawarte w decyzji 2010/87, którą Trybunał uznał za ważną.
Co wyrok oznacza w praktyce?
W praktyce nieważność tzw. Traczy prywatności powoduje, że nie jest zakazane przekazywanie danych do USA, nadal jest to możliwe na podstawie art.49 Rodo niemniej jednak pod warunkiem który jest wymieniony w tym artykule. Katalog jest długi ale jednym z nich jest np poinformowanie osoby, której to dotyczy o ryzyku i otrzymanie zgody. Zgodnie z oświadczeniem prasowym EROD ,,Oznacza to konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych".
Jeżeli przekazujesz dane do USA zdecydowanie powinieneś uwzględnić powyższy wyrok i jego konsekwencje.