ETS unieważnia Privacy Shield - co orzeczenie oznacza dla operatorów stron internetowych

Mario Steinberg Ostatnia aktualizacja 21.10.2020
.
. 6 Min.
Tarcza Prywatności ETS
Ostatnia aktualizacja 21.10.2020

W dniu 16.07.2020 r. Europejski Trybunał Sprawiedliwości (ETS) uznał Tarczę Prywatności za nieważną. Orzeczenie to dotyczy m.in. wszystkich operatorów stron internetowych, którzy korzystają z usług firm amerykańskich. W tym artykule wyjaśniam, co ten wyrok oznacza dla Ciebie jako operatora strony internetowej lub agencji i co musisz teraz zrobić.

Początkowa sytuacja prawna

Każde przetwarzanie danych wymaga podstawy prawnej

Każde przetwarzanie danych osobowych wymaga podstawy prawnej (art. 6 ust. 1 RODO). Najważniejszymi podstawami prawnymi w związku z witrynami internetowymi są:

  • Zgoda osoby, której dane dotyczą (np. na instalację plików cookie);
  • wypełnienia zobowiązań umownych (np. w przypadku sklepów internetowych);
  • uzasadniony interes osoby odpowiedzialnej lub operatora strony internetowej (np. w celu udzielenia odpowiedzi na zapytania e-mailowe).

Zgoda jest uzyskiwana na stronach internetowych klasycznie za pomocą pola wyboru. Najlepszym tego przykładem są banery cookie, za pomocą których osoba odwiedzająca stronę internetową wyraża zgodę na zapisywanie określonych plików cookie (np. marketingowych lub śledzących). Jeśli chcesz dowiedzieć się więcej na ten temat, więcej informacji znajdziesz w moim artykule"Banery cookies - ale poprawnie! Oto 7 rzeczy, które powinieneś rozważyć".

Wymienione powyżej podstawy prawne dotyczą jednak wyłącznie samego procesu przetwarzania danych.

Dodatkowa podstawa prawna wymagana w przypadku przekazywania danych poza Europę 

Jeżeli przetwarzanie danych ma się odbywać nie w UE, lecz w państwie pozaeuropejskim - czyli w tzw. państwie trzecim - wymagana jest dodatkowa podstawa prawna.

Te podstawy prawne przekazywania danych osobowych do państw trzecich można znaleźć w art. 44 i następnych RODO.

Szczególne znaczenie dla operatorów stron internetowych mają tzw. decyzje Komisji Europejskiej stwierdzające odpowiedni poziom ochrony (art. 45 RODO).

Wydając taką decyzję, Komisja stwierdza, że państwo trzecie zapewnia odpowiedni poziom ochrony danych i że dane osobowe mogą być przekazywane do tego państwa trzeciego.

Decyzje dotyczące adekwatności podejmowano w przeszłości z dużą liczbą krajów, takich jak Szwajcaria, Australia i Nowa Zelandia. 

Tarcza Prywatności

Tarcza Prywatności była decyzją Komisji Europejskiej o adekwatności w zakresie przekazywania danych do USA. Została ona przyjęta w lipcu 2016 r. i zaledwie kilka miesięcy po tym, jak porozumienie Safe Harbor (poprzednik Tarczy Prywatności) zostało unieważnione przez ETS.  

W ramach Tarczy Prywatności przedsiębiorstwa amerykańskie mogłyby dobrowolnie zobowiązać się do przestrzegania określonego poziomu ochrony danych podczas przetwarzania danych osobowych z UE. Po uzyskaniu tej certyfikacji dane osobowe z UE mogą być przekazywane do Państwa.

Orzeczenie ETS w sprawie Tarczy Prywatności

Orzeczenie ETS zostało wydane w wyniku wniosku o wydanie orzeczenia w trybie prejudycjalnym złożonego przez irlandzki High Court do ETS, który został oparty na sprawie wniesionej przez austriackiego działacza na rzecz ochrony danych Maximiliana Schremsa przeciwko Facebook Ireland Ltd.

Swoim orzeczeniem z dnia 16 lipca 2020 r. ETS uznał Tarczę Prywatności za nieważną. W związku z tym wszelkie przekazywanie danych osobowych z UE do USA w oparciu o Tarczę Prywatności jako podstawę prawną jest obecnie niedopuszczalne.

Brzmi to dramatycznie - i takie jest.

Konsekwencje wyroku dla operatorów stron internetowych

Prawie każda strona internetowa może odczuć skutki tego orzeczenia. Z reguły na prawie każdej stronie internetowej zintegrowana jest przynajmniej jedna usługa amerykańskiego przedsiębiorstwa, która jest świadczona nie tylko przez europejskie spółki zależne (takie jak Facebook Ireland Ltd. i Google Ireland Ltd.), ale także przez odpowiednią amerykańską spółkę macierzystą (np. Facebook Inc. i Google LLC).

W przypadku wielu z tych usług dane osobowe są przekazywane do USA (ewentualnie w zależności od ustawień domyślnych). Przykładami takich usług są:

  • Usługi Google, takie jak Google Analytics, Google Maps lub Google Fonts (o ile nie są one zintegrowane lokalnie);
  • Usługi newslettera (np. Mailchimp);
  • Media społecznościowe Plugins (Facebook, Instagram, YouTube, Twitter, itp.)
  • Usługi tworzenia kopii zapasowych w chmurze;
  • Rozwiązania dla sklepów internetowych.

Jeżeli operator strony internetowej prawidłowo sporządził swoje oświadczenie o ochronie danych, to w przypadku każdej usługi, w ramach której dane mogą być przekazywane do USA, należy umieścić następującą uwagę:

"Amerykańska firma XYZ również przetwarza Państwa dane osobowe w USA i poddała się Tarczy Prywatności UE/USA. Więcej informacji na temat Tarczy Prywatności można znaleźć na stronie: https://www.privacyshield.gov/EU-US-Framework."

Możliwe alternatywne podstawy prawne przekazywania danych

Przekazywanie danych do USA, które do tej pory odbywało się na podstawie Tarczy Prywatności, jest dopuszczalne ze skutkiem natychmiastowym lub do czasu wydania przez Komisję nowej decyzji stwierdzającej odpowiedni poziom ochrony, jeżeli może ono opierać się na innej podstawie prawnej.

W związku z tym można rozważyć, co następuje:

Zgoda osoby, której dotyczą dane

Podstawą prawną dla operatorów stron internetowych jest przede wszystkim wyraźna zgoda osoby, której dane dotyczą (art. 49 ust. 1 lit. a RODO). Warunkiem wstępnym jest jednak, by osoba, której dane dotyczą, została poinformowana o ryzyku związanym z przekazywaniem danych przed wyrażeniem zgody.

Przekazywanie danych w celu wykonania umowy

Możliwe jest również, że przekazanie danych osobowych do USA jest konieczne do wykonania umowy między podmiotem danych (odwiedzającym stronę internetową) a podmiotem odpowiedzialnym (operatorem strony internetowej).

Nie wystarczy jednak, że operator strony internetowej chce skorzystać z usług amerykańskiego przedsiębiorstwa (np. amerykańskiego sklepu internetowegoPlugin) w celu wykonania umowy. Konieczne jest raczej, aby sama umowa miała odniesienie do USA, tzn. aby zamówienia były składane np. w amerykańskim sklepie internetowym.

Standardowe klauzule ochrony danych Komisji Europejskiej

Jest mało prawdopodobne, by przekazywanie danych osobowych do USA mogło opierać się na standardowych klauzulach ochrony danych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c) RODO).

Standardowe klauzule ochrony danych są wzorami umów, które mogą być zawierane między przekazującym dane mającym siedzibę w UE a odbierającym dane mającym siedzibę w państwie trzecim. Dzięki nim podmiot odbierający dane spoza Europy gwarantuje podmiotowi przekazującemu dane, że przekazywane dane osobowe będą w jego siedzibie chronione w stopniu porównywalnym z tym, który obowiązuje na stronie RODO .

W swoim orzeczeniu w sprawie Tarczy Prywatności ETS uznał, że treść standardowych klauzul ochrony danych nie budzi zastrzeżeń. Musi jednak istnieć możliwość skutecznego egzekwowania przestrzegania przepisów w państwie trzecim.

To, czy jest to rzeczywiście możliwe w przypadku przekazywania danych do USA, wydaje się bardzo wątpliwe. Dzieje się tak dlatego, że ETS uznał Tarczę Prywatności za nieważną, między innymi dlatego, że obywatele UE nie mieliby odpowiedniej ochrony prawnej przed programami monitorowania danych przez władze USA. Sytuacja ta będzie prawdopodobnie praktycznie identyczna w przypadku standardowych klauzul ochrony danych.

Z tego powodu ETS orzekł również w swoim wyroku, że organy nadzorujące ochronę danych są zobowiązane do zawieszenia lub zakazania przekazywania danych osobowych do państwa trzeciego w oparciu o standardowe klauzule ochrony danych, jeżeli uznają, że standardowe klauzule ochrony danych nie są lub nie mogą być przestrzegane w państwie trzecim. 

Dlatego należy się spodziewać, że przekazywanie danych do USA, które opierałoby się na standardowych klauzulach ochrony danych, zostanie zakwestionowane przez organy ochrony danych i uznane za niedopuszczalne.

Co powinieneś zrobić teraz jako właściciel strony internetowej

Od teraz, wszystkie oparte na Tarczy Prywatności transfery danych osobowych do USA są nielegalne, operatorzy stron internetowych powinni wdrożyć następujące środki:

#1 Wybierz serwer europejski

Niektóre firmy amerykańskie oferują świadczenie swoich usług za pośrednictwem serwerów europejskich. W takim przypadku operatorzy stron powinni wybrać serwer europejski.

#2 Uzyskanie zgody od osób, których dane dotyczą

Jeżeli wybór serwera europejskiego nie jest możliwy, należy uzyskać wyraźną zgodę osoby, której dane dotyczą, na przekazanie jej danych osobowych do USA. Zgoda ta może być udzielona za pomocą pola wyboru, tak jak w przypadku ustawiania plików cookie.

Ponieważ każda strona internetowa, która stosuje pliki cookie, powinna posiadać baner dotyczący plików cookie z odpowiednimi instrukcjami i polami wyboru dotyczącymi ustawiania poszczególnych plików cookie, można by go uzupełnić o dalsze informacje (dotyczące ryzyka) i pola wyboru dotyczące planowanego przekazywania danych do USA. Jak w przypadku każdego pola wyboru, należy oczywiście zadbać o to, aby odwiedzający stronę musiał sam kliknąć na pole wyboru (opt-in), ponieważ domyślnie aktywowane pola wyboru (opt-out) są niedopuszczalne zgodnie z orzecznictwem Federalnego Trybunału Sprawiedliwości.

Trzeba przyznać, że jedynym "minusem" tego rozwiązania jest to, że dana usługa może nie być aktywna na stronie, jeśli zgoda nie zostanie udzielona.

Co to oznacza, wyjaśniamy pokrótce na przykładzie Google Fonts:

Czasami czcionki Google Fonts nie są zintegrowane lokalnie na stronie internetowej, lecz są ładowane przez przeglądarkę internetową z serwerów Google przy wywołaniu strony. Jeśli odbywa się to na amerykańskim serwerze Google, dane przeglądarki internetowej, czyli dane osobowe osoby odwiedzającej stronę internetową, są przekazywane na ten serwer Google w USA.

Już teraz można się zastanawiać, czy przeładowywanie czcionek Google Fonts może w ogóle opierać się na uzasadnionym interesie operatora strony internetowej (osobiście mam co do tego duże wątpliwości), ponieważ czcionki Google Fonts mogą być również zintegrowane lokalnie. Ale nawet gdyby przyjąć ten uzasadniony interes, wymagałoby to dodatkowej podstawy prawnej dla przekazywania danych osobowych z przeglądarki internetowej na amerykańskie serwery Google. Tą dodatkową podstawą prawną była wcześniej Tarcza Prywatności. Ponieważ jest to obecnie nieskuteczne, ponowne załadowanie czcionek Google z amerykańskich serwerów Google wymagałoby teraz zgody osoby odwiedzającej stronę internetową. Jeżeli zgoda ta nie zostanie udzielona, czcionki Google nie mogą być ponownie załadowane.

Oznacza to, że czcionki Google Fonts powinny być zintegrowane lokalnie na stronie najpóźniej od teraz.

#3 Dostosuj politykę prywatności

Ważne jest, aby dostosować politykę prywatności do nowej sytuacji prawnej.

Ponieważ oświadczenie o ochronie prywatności musi w pełni i dokładnie odzwierciedlać przetwarzanie danych osobowych odbywające się na stronie internetowej, nie wystarczy po prostu usunąć wcześniejsze odniesienia do Tarczy Prywatności - przynajmniej jeśli nadal korzysta się z odpowiednich usług.

Jeśli przekazywanie danych odbywa się obecnie na podstawie zgody osoby odwiedzającej stronę internetową, należy to również odpowiednio zaznaczyć. Ponadto, w przypadku zgody, należy również wyjaśnić ryzyko związane z przekazywaniem danych do USA, a mianowicie, że dane osobowe przekazywane do USA będą analizowane przez organy amerykańskie w ramach amerykańskich programów monitorowania danych oraz że obywatele UE nie będą mieli żadnych odpowiednich możliwości ochrony prawnej w tym zakresie.

Outlook

Po tym, jak ETS uznał porozumienie Safe Harbor za nieważne, Komisja Europejska potrzebowała zaledwie kilku miesięcy, aby wynegocjować z USA Tarczę Prywatności.

Ze względu na znaczenie transatlantyckiej wymiany danych, którego nie należy lekceważyć, z pewnością nie minie wiele czasu, zanim pojawi się nowe rozporządzenie, a Komisja Europejska przyjmie nową decyzję o adekwatności w zakresie przekazywania danych osobowych do USA.

A jeśli uwzględni ona obawy ETS i zapewni lepszą ochronę danych obywateli UE w USA, będzie to dobra wiadomość również dla operatorów stron internetowych.

Mario Steinberg jest prawnikiem i specjalistą w zakresie prawa administracyjnego w kancelarii prawa handlowego LIEB.Rechtsanwälte. Jego praca koncentruje się na prawie ochrony danych osobowych, prawie bezpieczeństwa IT oraz prawie IT.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.