ETS orzekł, że Osłona prywatności jest nieskuteczna - co orzeczenie oznacza dla operatorów stron internetowych

6 Min.
Osłona prywatności ECJ
Ostatnia aktualizacja w dniu 05/08/2020 r.

W dniu 16.07.2020 r. Europejski Trybunał Sprawiedliwości (ETS) orzekł, że Osłona prywatności uznana za nieskuteczną. Wyrok ten dotyczy m.in. wszystkich operatorów stron internetowych, którzy korzystają z usług firm amerykańskich. W tym artykule wyjaśnię, co orzeczenie oznacza dla Ciebie jako operatora strony internetowej lub agencji i co musisz teraz zrobić.

Legalna pozycja wyjściowa

Wszelkie przetwarzanie danych wymaga podstawy prawnej

Każde przetwarzanie danych osobowych wymaga podstawy prawnej (art. 6 ust. 1RODO). Najważniejsze podstawy prawne w odniesieniu do stron internetowych to

  • Zgoda osoby zainteresowanej (np. na ustawianie cookies);
  • wypełnienie zobowiązania umownego (np. w przypadku sklepów internetowych);
  • uzasadniony interes osoby odpowiedzialnej lub operatora strony internetowej (np. w zakresie udzielania odpowiedzi na zapytania e-mail).

Zgodę tradycyjnie uzyskuje się w przypadku stron internetowych za pomocą pola wyboru. Najlepszym tego przykładem są banery cookies, za pomocą których odwiedzający stronę wyraża zgodę na ustawienie niektórych cookies (np. marketingowych lub śledzących). Jeśli chcesz wiedzieć więcej na ten temat, znajdziesz więcej informacji w moim artykule "Baner Cookie. Ależ tak! Powinieneś rozważyć te 7 rzeczy"...znalazłem to.

Wyżej wymienione podstawy prawne dotyczą jednak wyłącznie samego przetwarzania danych.

ETS orzekł, że Osłona prywatności jest nieskuteczna - co orzeczenie oznacza dla operatorów stron internetowych

Dodatkowa podstawa prawna wymagana w przypadku przekazywania danych do krajów pozaeuropejskich 

Jeżeli przetwarzanie danych nie ma mieć miejsca w UE, lecz w państwie pozaeuropejskim - czyli w tzw. państwie trzecim - wymagana jest dodatkowa podstawa prawna.

Te podstawy prawne dla przekazywania danych osobowych do państw trzecich znajdują się w art. 44 i następnych.RODO

Szczególne znaczenie dla operatorów stron internetowych mają tzw. decyzje Komisji Europejskiej o adekwatności (art. 45RODO).

Na mocy takiej decyzji Komisja decyduje, że państwo trzecie zapewnia odpowiedni poziom ochrony danych i że dane osobowe mogą być przekazywane do państwa trzeciego.

W przeszłości podejmowano decyzje dotyczące adekwatności w wielu krajach, takich jak Szwajcaria, Australia i Nowa Zelandia. 

Osłona prywatności

osłona prywatności była decyzja Komisji Europejskiej w sprawie adekwatności transferu danych do USA. Została ona przyjęta w lipcu 2016 r. i zaledwie kilka miesięcy po Uchylenie umowy o bezpiecznej przystani (poprzednika rozporządzenia w sprawie ochrony prywatności) przez ETS.  

W ramach Tarcza prywatności firmy amerykańskie mogłyby dobrowolnie zobowiązać się do przestrzegania pewnego poziomu ochrony danych podczas przetwarzania danych osobowych z UE. Po uzyskaniu tej certyfikacji zezwolono im na przekazywanie danych osobowych z UE.

Wyrok ETS w sprawie ochrony prywatności

Orzeczenie ETS zostało wydane w związku z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym złożonym do ETS przez irlandzki High Court, który opierał się na sprawie wniesionej przez austriackiego działacza na rzecz ochrony danych Maximiliana Schremsa przeciwko Facebook Ireland Ltd. ("Facebook Ireland Ltd").

W swoim wyroku z dnia 16 lipca 2020 r. ETS oświadcza, że Osłona prywatności jest nieskuteczna. Oznacza to, że ze skutkiem natychmiastowym wszelkie transfery danych osobowych z UE do USA, które wcześniej opierały się na Tarczach prywatności jako podstawie prawnej, są obecnie niedopuszczalne.

To brzmi dramatycznie - i to jest to.

Skutki wyroku dla operatorów stron internetowych

Prawdopodobnie konsekwencje wyroku będą dotyczyć prawie każdej strony internetowej. Wynika to z faktu, że z reguły na prawie każdej stronie internetowej zintegrowano co najmniej jedną usługę amerykańskiej firmy, która jest świadczona nie tylko przez europejskie spółki zależne (takie jak Facebook Ireland Ltd. i Google Ireland Ltd.), ale także przez odpowiednią amerykańską spółkę dominującą (taką jak Facebook Inc. i Google LLC).

W przypadku wielu z tych usług dane osobowe są przekazywane do USA (ewentualnie w zależności od ustawień domyślnych). Przykładami takich usług są:

  • Usługi Google, takie jak Google Analytics, Google Maps lub Google Fonts (o ile nie są one zintegrowane lokalnie);
  • Usługi biuletynowe (np. Mailchimp);
  • Media Plugins społecznościowe (Facebook, Instagram, YouTube, Twitter itp.)
  • Usługi tworzenia kopii zapasowych w chmurze;
  • Rozwiązania dla sklepów internetowych.

Jeżeli operator strony internetowej prawidłowo sporządził swoje oświadczenie o ochronie danych osobowych, to dla każdej usługi, do której dane mogłyby zostać przekazane do USA, należy znaleźć następujące informacje:

"Amerykańska spółka XYZ przetwarza również Państwa dane osobowe w USA i przekazała je do EU/US Privacy Shield. Więcej informacji na temat Osłony Prywatności można znaleźć na stronie: https://www.privacyshield.gov/EU-US-Framework."

WooCommerce hosting x pomarańcza

Ewentualne alternatywne podstawy prawne dla przekazywania danych

Przekazywanie danych do Stanów Zjednoczonych, które do tej pory opierało się na zasadzie "ochrony prywatności", jest dopuszczalne ze skutkiem natychmiastowym lub do czasu wydania przez Komisję nowej decyzji o odpowiedniej ochronie danych, wyłącznie jeżeli może być oparte na innej podstawie prawnej.

Jako takie, mogą być brane pod uwagę:

Zgoda osoby, której dane dotyczą

Podstawą prawną dla operatorów stron internetowych jest przede wszystkim wyraźna zgoda osoby, której dane dotyczą (art. 49 ust. 1 lit. aRODO)). Jest to jednak uzależnione od tego, czy osoba, której dane dotyczą, została poinformowana o ryzyku związanym z przekazywaniem danych przed udzieleniem zgody.

Przesyłanie w celu realizacji zamówienia

Jest również możliwe, że przekazanie danych osobowych do USA jest niezbędne do realizacji umowy pomiędzy zainteresowaną osobą (odwiedzającym stronę) a osobą odpowiedzialną (operatorem strony).

Nie wystarczy jednak, że operator strony internetowej chce skorzystać z usług firmy amerykańskiej (np. amerykańskiego sklepu internetowegoPlugin) w celu realizacji umowy. Konieczne jest raczej, aby sama umowa zawierała odniesienie do USA, np. aby była zamawiana w amerykańskim sklepie internetowym.

Standardowe klauzule ochrony danych Komisji Europejskiej

Jest mało prawdopodobne, aby przekazywanie danych osobowych do USA mogło opierać się na standardowych klauzulach ochrony danych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. cRODO)).

Standardowe klauzule ochrony danych są wzorami umów, które mogą być zawierane między przekazującym dane mającym siedzibę w UE a odbierającym dane mającym siedzibę w państwie trzecim. Na mocy niniejszych klauzul importer danych spoza Europy gwarantuje przekazującemu dane, że przekazywane dane osobowe będą chronione w stopniu RODO porównywalnym z tym, z którego korzysta przekazujący dane.

W orzeczeniu w sprawie ochrony prywatności ETS orzekł, że standardowe klauzule dotyczące ochrony danych nie są same w sobie budzące zastrzeżenia pod względem treści. Musi być jednak również możliwe ich skuteczne egzekwowanie w kraju trzecim.

ebook: Zmierz wydajność swojej strony internetowej jak profesjonalista

To, czy jest to rzeczywiście możliwe w przypadku transferu danych do USA, wydaje się bardzo wątpliwe. Europejski Trybunał Sprawiedliwości uznał tarczę prywatności za nieskuteczną, między innymi dlatego, że obywatele UE nie mieliby odpowiedniej ochrony prawnej przed programami monitorowania danych władz amerykańskich. A sytuacja ta będzie prawdopodobnie praktycznie identyczna w przypadku standardowych klauzul o ochronie danych.

Z tego powodu ETS orzekł również w swoim wyroku, że organy nadzorujące ochronę danych są zobowiązane do zawieszenia lub zakazania przekazywania danych osobowych do państwa trzeciego na podstawie standardowych klauzul ochrony danych, jeżeli uznają, że standardowe klauzule ochrony danych nie są lub nie mogą być przestrzegane w państwie trzecim. 

Jest zatem prawdopodobne, że przekazywanie danych do USA w oparciu o standardowe klauzule ochrony danych zostanie zakwestionowane i uznane przez organy ochrony danych za niedopuszczalne.

Co musisz teraz zrobić jako operator strony internetowej

Ponieważ wszystkie transfery danych osobowych do USA w oparciu o Osłonę prywatności są obecnie nielegalne, operatorzy stron internetowych powinni wdrożyć następujące środki:

#1 Wybierz europejskie serwery

Niektóre firmy amerykańskie oferują swoje usługi za pośrednictwem europejskich serwerów. W takim przypadku operatorzy stron internetowych powinni wybrać europejski serwer.

#2 Uzyskać zgodę osoby zainteresowanej

Jeżeli wybór europejskiego serwera nie jest możliwy, należy uzyskać wyraźną zgodę osoby, której dane dotyczą, na przekazanie jej danych osobowych do USA. Zgoda ta może być wyrażona za pomocą pola wyboru, podobnie jak w przypadku ustawiania plików cookie.

Ponieważ każda strona internetowa, która ustawia pliki cookie, powinna posiadać baner cookie z odpowiednimi notatkami i polami wyboru dla ustawienia poszczególnych plików cookie, może to być uzupełnione o dalsze (ryzykowne) notatki i pola wyboru dotyczące planowanych transferów danych do USA. Jak w przypadku każdego pola wyboru, należy oczywiście zauważyć, że użytkownik strony internetowej musi kliknąć na to pole sam (opt-in), ponieważ Trybunał Federalny orzekł, że domyślnie aktywowane pola wyboru (opt-out) są niedopuszczalne.

Jedyną "wadą" tego rozwiązania polegającą na wyrażeniu zgody jest to, że odpowiednia usługa na stronie internetowej może nie być aktywna, jeśli nie zostanie wyrażona zgoda.

Co to oznacza, pokrótce wyjaśniono tutaj na przykładzie Google Fonts:

Czasami czcionki Google nie są osadzone lokalnie na stronie internetowej, ale są ładowane z serwerów Google tylko wtedy, gdy strona jest dostępna przez przeglądarkę internetową. Jeśli dzieje się to z amerykańskim serwerem Google, dane przeglądarki internetowej, tzn. dane osobowe osoby odwiedzającej stronę, są przekazywane na ten serwer Google w USA.

FREE DEV Program RAIDBOXES

Jest już wątpliwe, czy ponowne ładowanie czcionek Google może być oparte na uzasadnionym interesie operatora strony internetowej (osobiście mam duże wątpliwości), ponieważ czcionki Google mogą być również zintegrowane lokalnie. Jednak nawet gdyby przyjąć ten uzasadniony interes, wymagałby on dodatkowej podstawy prawnej do przekazywania danych osobowych z przeglądarki internetowej na amerykańskie serwery Google. Tą dodatkową podstawą prawną była wcześniej Osłona Prywatności. Ponieważ jest to obecnie nieskuteczne, przeładowanie czcionek Google z amerykańskich serwerów Google wymagałoby teraz zgody osoby odwiedzającej stronę. Jeśli ta zgoda nie zostałaby udzielona, czcionki Google nie mogłyby być ponownie załadowane.

Oznacza to, że najpóźniej od tej pory czcionki Google powinny być zintegrowane lokalnie na stronie internetowej.

#3 Dostosuj politykę prywatności

Ważne jest, aby dostosować politykę prywatności do nowej sytuacji prawnej.

Ponieważ polityka prywatności musi w pełni i dokładnie odzwierciedlać przetwarzanie danych osobowych mające miejsce na stronie internetowej, nie wystarczy po prostu usunąć poprzednie odniesienia do osłony prywatności - przynajmniej jeśli odpowiednie usługi są nadal wykorzystywane.

W rzeczywistości, jeżeli przekazywanie danych odbywa się obecnie na podstawie zgody osoby odwiedzającej stronę internetową, należy o tym odpowiednio wspomnieć. Ponadto w przypadku wyrażenia zgody należałoby również wyjaśnić zagrożenia związane z przekazywaniem danych do USA, a mianowicie, że dane osobowe przekazywane do USA będą oceniane przez władze USA w ramach amerykańskich programów monitorowania danych i że w związku z tym obywatele UE nie będą mieli dostępu do odpowiednich opcji ochrony prawnej.

Widok na

Po uznaniu przez ETS porozumienia w sprawie "bezpiecznej przystani" za nieważne, Komisji Europejskiej zajęło zaledwie kilka miesięcy, aby wynegocjować z USA "tarczę prywatności".

Biorąc pod uwagę znaczenie transatlantyckiej wymiany danych, którego nie należy lekceważyć, z pewnością nie minie dużo czasu, zanim zostanie znalezione nowe rozporządzenie i Komisja Europejska przyjmie nową decyzję w sprawie adekwatności przekazywania danych osobowych do USA.

A jeśli weźmie się pod uwagę obawy ETS i stworzy więcej ochrony danych dla obywateli UE w USA, to jest to również dobre dla operatorów stron internetowych.

Mario Steinberg jest prawnikiem i specjalistą w zakresie prawa administracyjnego w kancelarii prawa handlowego LIEB.attorneys at law. Głównym przedmiotem jego pracy jest prawo ochrony danych osobowych, prawo bezpieczeństwa informatycznego oraz prawo informatyczne.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.