Wyrok TSUE: Tarcza Prywatności UE-USA nie zapewnia odpowiedniej ochrony danych osobowych

• Rafał Stępniewski
• /
• 20 lipca 2020

TSUE stwierdził tym samym nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Oznacza to, że dane osobowe internautów unijnych korzystających np. z Facebooka nie są odpowiednio zabezpieczone. 

Od dnia ogłoszenia wyroku TSUE, czyli od 16 lipca br., przekazywanie danych do importerów w USA nie może już odbywać się na podstawie Tarczy Prywatności UE-USA. Umowa w sprawie Tarczy Prywatności weszła w życie w sierpniu 2016 r. Określała funkcjonowanie zasad mających na celu ochronę danych osobowych przekazywanych w celach handlowych z Unii Europejskiej do Stanów Zjednoczonych. 

Wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems

Wyrok dotyczy skargi wniesionej przez obywatela Austrii, Maximilliana Schremsa, do irlandzkiego urzędu ochrony danych z żądaniem zawieszenia lub zakazu przekazywania w przyszłości jego danych osobowych przez spółkę Facebook Ireland na serwery do USA (gdzie przetwarzane są dane użytkowników koncernu). Zdaniem Schremsa, USA nie zapewniają odpowiedniego bezpieczeństwa danych osobowych, dlatego w konsekwencji jego dane mogą trafić w niewłaściwe ręce, mogą mieć do nich dostęp również amerykańskie władze. A zgodnie z przepisami unijnego rozporządzenia o ochronie danych osobowych (RODO), do państwa trzeciego można przekazywać dane wyłącznie wtedy, gdy zapewnia ono odpowiedni stopień ich ochrony. Przekazywanie danych może zostać zakazane, jeśli państwo trzecie nie jest w stanie zapewnić wystarczającej ochrony danych.  

Tarcza Prywatności zapewnia pierwszeństwo bezpieczeństwa narodowego oraz ustawodawstwa USA nad ochroną danych osobowych użytkowników z UE. A to oznacza, że jeśli bezpieczeństwo narodowe USA byłoby zagrożone, amerykańskie służby mogą złamać prywatność europejskich użytkowników, których dane są przekazywane do USA. Trybunał Sprawiedliwości UE uznał, że jest to sprzeczne z unijnym prawem. Dlatego orzekł, że wbrew temu, co przyjęła Komisja Europejska, Tarcza Prywatności nie zapewnia adekwatnej ochrony danych obywateli UE i stwierdził nieważność decyzji (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

Co wyrok TSUE oznacza dla administratorów?

Administratorzy danych osobowych powinni teraz dokonać indywidualnej oceny stopnia ochrony danych, zapewnianej w ramach transgranicznego przekazywania danych. Ochrona musi uwzględniać nie tylko postanowienia umowne uzgodnione między eksporterami i importerami danych, ale również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych osobowych.

Należy mieć na uwadze, że to bardzo świeży wyrok i potrzeba czasu, aby organy krajowe, jak również EROD (Europejska Rada Ochrony Danych), dokonały bardziej szczegółowej oceny wyroku oraz przekazały dalsze wytyczne dotyczące wykorzystania instrumentów przekazywania danych osobowych do państw trzecich. Europejska Rada Ochrony Danych na 34. posiedzeniu plenarnym, które odbyło się 17 lipca br.,  omówiła najważniejsze kwestie związane z konsekwencjami wyroku TSUE i zapowiedziała opublikowanie dalszych wyjaśnień.

Jak zadbać o ochronę danych osobowych podczas wakacji? Dorota Kraskowska

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.