TSUE unieważnił transfery danych do USA – czy firmy mają się czego bać?

TSUE unieważnił 16 lipca 2020 r. (sprawa C‑311/18) Tarczę Prywatności podnosząc w zasadzie te same argumenty co w tzw. wyroku Schrems I z 6 października 2015 r. (sprawa C-362/14), którym TSUE unieważnił tzw. Bezpieczną Przystań – poprzedniczkę Tarczy Prywatności. TSUE ponownie wskazał na brak proceduralnych gwarancji dla osób spoza USA poddawanych masowej inwigilacji elektronicznej na podstawie amerykańskiego prawodawstwa. Trzy główne amerykańskie akty prawne poddane krytyce to ustawa o kontroli wywiadu zagranicznego (FISA), rozporządzenie wykonawcze 12333 i dyrektywa polityczna Prezydenta nr 28. Sąd, eufemistycznie to określając, wyraził dezaprobatę dla efektów negocjacji Komisji Europejskiej z USA co do zastąpienia unieważnionej wcześniej Bezpiecznej Przystani Tarczą Prywatności.

CZYTAJ TEŻ: Trzeba informować członków zarządu o przetwarzaniu ich danych

W ocenie TSUE uprawnienia amerykańskich agend rządowych wynikające z prawodawstwa amerykańskiego względem „danych zagranicznych” są tak duże i tak niekontrolowane, że nie sposób uznać, że Tarcza Prywatności rzeczywiście dawała rezydentom Unii Europejskiej ochronę odpowiednią do ochrony danych w EU. Sąd wskazał, że prawo amerykańskie inaczej (dużo bardziej) chroni obywateli amerykańskich, nie dając porównywalnych, a w zasadzie żadnych gwarancji ochrony prawnej przed inwigilacją osobom spoza USA.

Klauzule tak, transfer danych nie

Równocześnie sąd wskazał, że wprawdzie tzw. standardowe klauzule umowne (SCC) pozostają w mocy same w sobie (a konkretnie decyzja Komisji Europejskiej przyjmująca SCC). Natomiast niekoniecznie legalny jest transfer danych na podstawie SCC. Standardowe klauzule umowne to wzorce konkretnych zobowiązań umownych pomiędzy podmiotem transferującym dane poza UE a odbiorcą tych danych poza UE. Sąd wskazał, że legalność transferu danych w oparciu o SCC należy badać na tle prawodawstwa państwa docelowego. Jeżeli prawodawstwo to nie zapewnia odpowiednich proceduralnych gwarancji dla podmiotów danych (rezydentów UE) i dopuszcza dowolny dostęp do tych danych agendom rządowym państwa docelowego, to nie można uznać, że ochrona danych zapewniana przez SCC, będzie miała stopień odpowiedni do europejskiego. A w konsekwencji taki transfer pozostanie nielegalny lub może za taki zostać uznany przez organ nadzorczy i zakazany.

CZYTAJ TEŻ: Apel o ułatwienie stosowania RODO małym firmom

W powiązaniu z ustaleniami dotyczącymi uprawnień do inwigilacji cudzoziemców, które USA sobie przyznało, i braku narzędzi proceduralnych dla inwigilowanych cudzoziemców, oznacza to, że SCC same w sobie przestają być dobrą podstawą do przesyłania danych osobowych z UE do USA, a co najmniej, że każdy przypadek przesyłania danych osobowych do USA staje się „podejrzany” i należy zweryfikować realną adekwatność ochrony danych przy takim transferze.

Transfery do chmury nielegalne?

Pojawiają się więc głosy, w tym ważny głos fundacji NOYB – European Center for Digital Rights założonej przez aktywistę Maxa Schremsa, który doprowadził zarówno do wydania poprzedniego wyroku unieważniającego Bezpieczną Przystań, jak i obecnego wyroku TSUE, że wszystkie „duże” transfery danych do USA, w oparciu o które oferowane są globalne usługi chmurowe, powinny zostać uznane za nielegalne.

CZYTAJ TEŻ: Polacy boją się chmury

Z pewnością trudno będzie teraz obronić transfer danych pomiędzy Facebook Ireland and Facebook Inc, na tle którego wydano ten przełomowy wyrok. To co Data Protection Commissioner Helen Dixon, czyli szefowa irlandzkiego organu ochrony danych, może jeszcze dla Facebooka zrobić, to odwlec wydanie decyzji w tej sprawie.

Co z dużą chmurą?

Jednak z pozostałymi „dużymi” usługami chmurowymi jeszcze chyba nie jest tak źle. Urząd Ochrony Danych Osobowych pisze w komunikacie z 20 lipca 2020 r. (https://uodo.gov.pl/pl/138/1603), że wyrok Schrems II: „Oznacza konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych. Gdy w świetle dokonanej oceny poziom ochrony danych osobowych nie będzie merytorycznie równoważny z poziomem gwarantowanym w UE, przekazywanie danych może być uzależnione od zapewnienia równoważnego poziomu ich ochrony za pomocą innych środków.”

CZYTAJ TEŻ: Firmy muszą uważać na RODO

W tym świetle wydaje się, że nie ma przeszkód, aby kontynuować korzystanie z dużej części usług chmurowych świadczonych przez firmy amerykańskie, jeśli występują te „inne niż SCC środki ochrony danych”. Jeżeli tak zwany kontent, czyli treści wprowadzane przez użytkowników (user generated content) są przechowywane przez daną usługę na terenie Europejskiego Obszaru Ekonomicznego, transfer tzw. danych telemetrycznych lub nawet danych podstawowych o użytkownikach (login, imię, nazwisko, przynależność do organizacji, adres email, telefon) raczej nie stanowi zagrożenia dla prywatności tych użytkowników Oczywiście należy w tym zakresie przeprowadzić w tym zakresie stosowną analizę ryzyka i ją udokumentować.

CZYTAJ TEŻ: Firmy nie są gotowe na nagłą automatyzację

Usługi, w których zapewnione jest tak zwane szyfrowanie end-to-end również nie wydają się zagrożone. Wydaje się, że można byłoby też uznać za zgodne usługi tzw. bezstanowe, to znaczy takie, w których nie dochodzi do przechowywania danych. Należałoby jednak zapoznać się bliżej z architekturą danej usługi. Dodatkowo, zważywszy na dostęp National Security Agency do danych przesyłanych do USA kablami transatlantyckimi, oczywiście dane w przesyle powinny być chronione odpowiednim szyfrowaniem (TSL w wersji 1.2). Szyfrowanie danych w tranzycie jest jednak oczekiwane już od dawna.

W każdym przypadku będzie należało zweryfikować faktyczną możliwość inwigilacji użytkowników w danej usłudze przez amerykańskie władze i ocenić na tym tle adekwatność ochrony.

Co w praktyce mają robić przedsiębiorcy?

Skala problemu zależy od skali naszej firmy i tego, czym się zajmujemy. Kto będzie miał problem? Problem na pewno będą miały firmy międzynarodowe, których biznes polega na przetwarzaniu cudzych danych osobowych i które wysyłają do USA dane w celu ich przetwarzania. Sektor finansowy w UE nie powinien więc wysyłać do USA danych klienckich. W Polsce jednak ten problem raczej nie występuje. Firmy międzynarodowe zajmujące się produkcją, których międzynarodowe „transfery” dotyczą głównie korespondencji służbowej pracowników (np. globalnej sieci serwerów email) chyba wyjdą obronną ręką, bo korespondencja służbowa z zasady może być monitorowana.

CZYTAJ TEŻ: Koronawirus a biznes, pytania i odpowiedzi: miejsce urlopu

Przedsiębiorcy polscy o mniejszej skali działania przede wszystkim powinni przepatrzyć usługi chmurowe, z których korzystają. Jeśli w ogóle nie zastanawialiśmy się nad legalnością z korzystania z usług chmurowych, to może teraz warto to zrobić. Oprócz sprawdzenia elementów formalnych (umowa powierzenia, standardowe klauzule umowne, obowiązek informacyjny, środki bezpieczeństwa), należy przeprowadzić analizę ryzyka pod kątem tego, czy i jakie dane osobowe wysyłamy do USA i czy ewentualny dostęp do nich przez władze amerykańskie mógłby grozić ryzykiem naruszenia praw lub wolności osób, których te dane dotyczą.

Na początek przegląd aplikacji w telefonie

Problem niezgodności dotknie przede wszystkim usług chmurowych, które wysyłają do USA dane wprowadzane przez użytkowników, czyli treści, inaczej „kontent” (ang. user generated content). Wskazane jest więc korzystanie z usług, które przechowują dane w UE (na terenie EEA) lub takich usług, które zapewniają szyfrowanie end-to-end (czyli takie, gdzie tylko my mamy klucze deszyfrujące) dla przesyłanych lub przechowywanych treści. Można rozważyć stosowanie dodatkowych narzędzi szyfrujących typu end-to-end, choć nie jest tak łatwo je wdrożyć. Korzystając z usług emailowych, które nie zapewniają przechowywania danych w Europie, należałoby zapewne podnieść standard zabezpieczeń do S/MIME – czyli w sumie do poczty szyfrowanej, o ile można zapewnić przechowywanie kluczy deszyfrujących pod własną kontrolą. Musimy jednak popytać kolegów od IT i cyberbezpieczeństwa, jakie to rodzi praktyczne wyzwania. Zacząć by trzeba było w ogóle od przeglądu tego, jakich usług chmurowych używamy. Będąc mikro lub małym przedsiębiorcą można wręcz zacząć od przeglądu apek w swoim telefonie.

Co z usługami wideokonferencyjnymi?

Na zlecenie Krajowej Rady Radców Prawnych nasza kancelaria przeprowadziła niedawno analizę zgodności kilku usług wideokonferencyjnych. Analiza ta stała się częścią Księgi Bezpieczeństwa Komunikacji Elektronicznej w Pracy Radcy Prawnego i jest dostępna pod takim linkiem kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Można skorzystać z naszej opinii i jej struktury dla zweryfikowania innych usług, z których korzysta dany przedsiębiorca czy inny „administrator danych osobowych”. W najbliższych tygodniach postaramy się przekazać Krajowej Radzie analizę kilku konkretnych usług poczty email, w której już będziemy uwzględniać konsekwencje wyroku Schrems II. Choćby dlatego warto obecnie zacząć śledzić informacje z Krajowej Rady Radców Prawnych, nawet jeśli nie jest się radcą prawnym.

Autor jest radcą prawnym z Kancelarii Gawroński & Partners. Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Podatki

Pozostało 93% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Prawo i Podatki

Certyfikat ma ułatwić firmom udział w przetargach publicznych

Certyfikat wykonawcy zamówień publicznych zastąpi szereg dokumentów. Ministerstwo Rozwoju i Technologii rozpoczęło konsultacje projektu.

Materiał Promocyjny

Elektryczne BMW iX już od 1500 PLN netto/mies. w ofercie BMW Comfort Lease.

Prawo i Podatki

Samochody osobowe do testów mają być zwolnione z akcyzy

W ramach deregulacji z konieczności uiszczania akcyzy mają zostać zwolnione samochody osobowe wykorzystywane do celów badawczych w ramach prowadzonej działalności badawczo-rozwojowej.

Prawo i Podatki

Deregulacja ma ułatwić życie firmom. Resort rozwoju ogłosił swoje pomysły

Pierwszy pakiet deregulacyjny to blisko 50 rozwiązań w 35 zmienianych ustawach, w tym m.in. w Kodeksie postępowania administracyjnego czy kodeksie cywilnym. 5 kwietnia trafił on do konsultacji.

Prawo i Podatki

Rząd szykuje ułatwienia dla przedsiębiorców. Wiemy, co znajdzie się w ustawie

Ministerstwo Rozwoju opublikowało projekt tzw. ustawy deregulacyjnej. Ma ona ma zredukować biurokrację i ułatwić podejmowanie oraz prowadzenie działalności gospodarczej.

Materiał Promocyjny

Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka

Przez aplikację mobilną, serwis internetowy, telefon i w placówce – w Biurze Maklerskim Pekao klienci sami mogą wybrać najdogodniejszy sposób zakupu detalicznych obligacji skarbowych.

Prawo i Podatki

Nowy pomysł rządu: zatrudnisz seniora, dostaniesz dofinansowanie

Rząd planuje przyjąć przepisy, które zachęcą przedsiębiorców do zatrudniania osób w wieku powyżej 60 lat.

Materiał Promocyjny

Samochód w leasing na firmę? Sprawdź czy to się opłaca!

Podatki

Darowizna wpłacona na konto sprzedawcy mieszkania nie pozbawi obdarowanego ulgi. Ważny wyrok NSA

Darowizna wpłacona na konto osoby trzeciej, od której obdarowany kupuje mieszkanie, nie pozbawia go pełnego zwolnienia z podatku od spadków i darowizn przewidzianego dla najbliższej rodziny.

PIT & CIT & VAT

Wynajęty pokój w kosztach firmy? Skarbówka odpowiedziała

Wydatki na wynajęcie lokalu w mieście, w którym przedsiębiorca wykonuje usługi dla klienta można rozliczyć w podatkowych kosztach.

Podatki

NIK: Nieład w Polskim Ładzie uderzył w miliony podatników

Zamiast zapowiadanego sprawiedliwego systemu podatkowego stworzono chaos i złamano podstawowe reguły legislacji – tak Najwyższa Izba Kontroli oceniła reformę podatków rządu PiS.

Podatki

Wykładnia przepisów fiskusa powoduje niepewność w rodzinnym biznesie

Regulacje podatkowe dotyczące fundacji rodzinnych, które początkowo wydawały się bardzo korzystne, w wyniku negatywnej wykładni fiskusa powodują coraz większą niepewność.

Podatki

Wynajęty pokój można rozliczyć w kosztach firmy. Jest interpretacja

Przedsiębiorca zaliczy do kosztów uzyskania przychodów wydatki na wynajęcie lokalu w mieście, w którym wykonuje usługi dla klienta. Interpretacje fiskusa są pozytywne.

PIT & CIT & VAT

Ulga na darowizny kościelne dla liniowców? Ekspert: Zaryzykować i skorzystać

Skarbówka wyklucza odliczenie darowizn na działalność charytatywno-opiekuńczą Kościoła Katolickiego przez przedsiębiorców na liniowym PIT. Jej stanowiska nie podzielają eksperci. W sprawie ulgi zapadł też korzystny dla liniowców wyrok sądu.

Administracja

Stypendia dla zdolnych uczniów są zwolnione z PIT

Uczeń, który otrzymał pomoc materialną o charakterze motywacyjnym od wójta (burmistrza), nie zapłaci podatku dochodowego od kwoty z tego tytułu nieprzekraczającej 3800 zł rocznie.

Podatki

Fiskus ogranicza ulgę na darowizny kościelne

Ustawa kościelna pozwala odliczać darowizny na działalność charytatywno-opiekuńczą Kościoła Katolickiego. Ale skarbówka wyklucza z ulgi przedsiębiorców na liniowym PIT.

Świat

Wojna Rosji z Ukrainą. Dzień 785

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Premier Holandii oferuje zakup zestawów Patriot, od krajów, które je posiadają i przekazanie ich Ukrainie.

Przedstawiciele Belgii i Czech przekonują inne kraje UE, by zwróciły uwagę na problem rosyjskiej dez

Polityka

Przywódcy Belgii i Czech ostrzegają UE przed rosyjską dezinformacją

Przywódcy Belgii i Czech ostrzegają swoich partnerów z Unii Europejskiej, aby podjęli pilne działania w celu zapobieżenia rosyjskim ingerencjom podczas czerwcowych wyborów do Parlamentu Europejskiego.

Akty prawne

Dziennik Ustaw z 18 kwietnia 2024 r. (poz. 587 - 598)

Akty prawne

Monitor Polski z 18 kwietnia 2024 r. (poz. 307 - 318)

Tenis

Wiadomo kiedy i z kim zagra Iga Świątek? To wielka gwiazda, która wraca do formy

Emma Raducanu, wciąż niespełniona gwiazda tenisa, będzie rywalką Igi Świątek w ćwierćfinale turnieju Porsche Tennis Open w Stuttgarcie. Ostatnio Brytyjka gra zaskakująco dobrze.

Polityka

Ban dla TikToka razem z pomocą Ukrainie i Izraelowi. Kongres USA uchwala przepisy

Projekt przepisów, które mają wymusić zakaz używania aplikacji TikTok w USA, został przywrócony w ramach pakietu pomocy zagranicznej Izby Reprezentantów.

Następca Atlasa jest jeszcze bardziej sprawny od poprzednika, który potrafił skakać i tańczyć

Technologie

Powstał nowy humanoidalny robot. Jest „przerażająco sprawny” i bardziej ludzki

Zaledwie dzień po tym jak firma Boston Dynamics poinformowała, że wycofuje się z prac nad robotem Atlas, przedstawiła jego następcę. Nowy humanoid ma być jeszcze lepszy i jeszcze sprawniejszy.

Projekt Greenpark w Berlinie został kupiony przez fundusz PRS, bo był w fazie zaawansowanej realizac

Nieruchomości

Spowolnienie w PRS nad Łabą

Inwestorzy chcą kupować mieszkania, właściciele nie chcą sprzedawać, a deweloperzy mają problem z budowaniem.

Rynek jest zalany ofertami, których ceny są znacznie oderwane od faktycznych cen transakcyjnych

Nieruchomości

Ile naprawdę kosztują mieszkania

Wielu sprzedających wystawia oferty zbyt drogo, co psuje rynek. Ma to zmienić portal z cenami transakcyjnymi.

Nieruchomości

REIT-y to stabilizacja i rozwój rynku

Polski rynek nieruchomości komercyjnych wyróżnia się tym, że nie ma tu lokalnego kapitału, przez co jest on podatniejszy na globalne turbulencje – mówi Piotr Staniszewski, partner w zespole nieruchomości w kancelarii Dentons.

Jeśli właściciel kwestionuje wyniki modernizacji ewidencji gruntów, to obowiązkiem organów jest dokł

Nieruchomości

Właściciel może podważyć fałszywą zmianę funkcji budynku

Jedną z podstawowych zasad prowadzenia ewidencji gruntów i budynków jest utrzymywanie operatu w zgodności z aktualnymi, dostępnymi dokumentami i materiałami źródłowymi. A usuwanie w niej błędów lub omyłek w ramach aktualizacji co do zasady nie zostało wyłączone.

Nieruchomości

Myślimy już o trzecim funduszu inwestującym w magazyny

Celujemy w zebranie 300 mln euro – mówi Szymon Ostrowski, dyrektor zarządzający Newport Logistics Fund.

Nieruchomości

Potrzebne szerokie i rzetelne konsultacje

Kwestie podatkowe i finansowe będą bez wątpienia wymagały szczególnej uwagi w dyskusji o REIT-ach – ocenia partner w zespole nieruchomości MDDP.

Tereny z dobrymi adresami są na wagę złota. Szukają ich budujący mieszkania, lokale na wynajem, akad

Nieruchomości

Rynek gruntów będzie świadkiem rekordowych transakcji

Ceny terenów inwestycyjnych nie zaczną w tym roku spadać. Głód ziemi jest duży. Usłyszymy o kilku rekordowych i zaskakujących transakcjach na tym rynku.

Materiał partnera

Rośnie rola narzędzi informatycznych w audycie

Sztuczna inteligencja jest przez nas wykorzystywana coraz częściej. Właściwa ocena ryzyka przekłada się bezpośrednio na jakość audytu – mówi dr Anna Bernaziuk, biegła rewidentka, prezes BDO.

Zdjęcie aresztowanych powstańców z getta warszawskiego wykonane prawdopodobnie przez austriackiego S

Historia

Pomogliśmy im odejść z honorem. Powstanie w getcie warszawskim

19 kwietnia 1943 r. o 6 rano żydowscy bojownicy pod dowództwem 24-letniego Mordechaja Anielewicza, dowódcy Żydowskiej Organizacji Bojowej, otworzyli ogień – u zbiegu Nalewek i Gęsiej oraz przy placu Muranowskim w Warszawie – do niemieckich oddziałów policyjnych wspartych przez Łotyszy wkraczających do getta w celu przeprowadzenia ostatecznej akcji likwidacyjnej.

Jan Karski, właściwie Jan Romuald Kozielewski, pseudonim Witold (1914–2000)

Historia

Jan Karski: nietypowy polski bohater

W 2014 r. ówczesny prezydent USA Barack Obama, będąc z oficjalną wizytą w Polsce, w czasie swojego przemówienia na placu Zamkowym przywołał nazwisko Jana Karskiego jako jednego z trzech najsłynniejszych Polaków – obok Jana Pawła II i Lecha Wałęsy. To Karski już w 1943 r. dostarczył prezydentowi Rooseveltowi raport ZWZ-AK o niemieckich planach całkowitej eksterminacji europejskich Żydów.

Ewa Jakubczyk-Cały, partner zarządzająca PKF Consult, biegły rewident

Materiał partnera

Rynek audytorski obecnie charakteryzuje się znaczącym wzrostem

Z jednej strony jest to następstwem rosnącego popytu na usługi audytorskie, wynikającego z coraz bardziej restrykcyjnych obowiązków regulacyjnych w spółkach, które wymagają dodatkowego poświadczania różnorodnych informacji. Z drugiej strony to efekt wzrostu wynagrodzeń za usługi audytorskie.

Historia

Yasukuni: świątynia sprawców i ofiar

Dla wielu Yasukuni to świątynia przeklęta, ale mimo to pielgrzymują do niej o każdej porze roku tysiące ludzi.

Dominik Biel, partner zarządzający w Grupie UHY ECA.

Materiał partnera

Ceny za audyt będą rosły

Na rynku od kilku lat obserwujemy znaczące zwyżki cen za usługi audytorskie i w mojej ocenie ten trend będzie się utrzymywać.

Historia

„Paszporty życia”. Dyplomatyczna szansa na przetrwanie Holokaustu

„Jeden z członków grupy Ładosia, żydowski adwokat, działacz syjonistyczny i poseł na sejm II RP Abraham Silberschein twierdził, że paszporty państw Ameryki Południowej i Środkowej dostarczono co najmniej 10 tysiącom Żydów. Instytut Pileckiego oszacował, że spośród nich Holokaust przeżyło blisko 3 tysiące” – mówi profesor Roger Moorhouse, brytyjski historyk i autor książki „Paszporty życia”.

Materiał partnera

Transparentny rynek kapitałowy

Zależy nam na aktywnym kształtowaniu bezpiecznego i transparentnego rynku kapitałowego w Polsce. Liczymy więc, że dobre sygnały, jakie dochodzą z Polskiej Agencji Nadzoru Audytowego i Ministerstwa Finansów, spowodują przyspieszenie tego procesu.

Materiał partnera

Czy to jest koniec audytu w obecnej postaci?

Branża audytorska to istotne ogniwo procesów gospodarczych. Biegli rewidenci zapewniają rzetelność, przejrzystość i wiarygodność danych finansowych różnego rodzaju organizacji. Sprawozdanie z badania jest istotne dla inwestora, wierzyciela i innych grup interesariuszy, którzy podejmują decyzje w oparciu o dane finansowe.

Dolina Królów – część nekropolii tebańskiej, dolina położona na terenie Teb Zachodnich będąca miejsc

Historia

Naruszony spokój faraonów. Jak plądrowano grobowce w Egipcie

Ledwo martwy faraon trafił na wieki do piramidy, a ci sami, którzy go tam odprowadzali, wracali po cenny łup. Wizja niebotycznych skarbów w grobowcach faraonów od zawsze kusiła rabusiów, także w czasach nowożytnych.