Przypominamy, że w dniu 16 lipca 2020 roku „Tarcza prywatności”, która pozwalała na transfer danych do USA wyrokiem Trybunału Sprawiedliwości Unii Europejskiej(TSUE) stała się nieważna.
Trybunał Sprawiedliwości Unii Europejskiej uznał, że ingerencja NSA oraz FBI w przesyłane dane jest zbyt duża i nie gwarantuje podstawowych praw, o których mowa w karcie praw podstawowych UE. Link do wyroku: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=10518829.
W związku z powyższym wyrokiem przekazywanie danych do USA, które legalizowane było tarczą prywatności stało się nieważne.
W wyroku nazywanym „Schrems II”, od nazwiska Pana Maxa Schremsa z organizacji NOYB, który wniósł skargę wobec serwisu społecznościowego Facebook do irlandzkiego organu nadzorczego – Komisarza ds. Ochrony Danych, wnioskując aby ten zakazał spółce Facebook Ireland przekazywania jego danych osobowych do USA.
W praktyce wygląda to tak, że użytkownik Facebooka zakładając konto w portalu zawierał umowę ze spółką Facebook Ireland, która z kolei przekazywała dane swoich użytkowników do spółki dominującej – Facebook Inc..
Pan Schrems zauważył, że przekazywanie i przetwarzanie danych osobowych europejskich użytkowników tego serwisu na serwerach znajdujących się na terytorium USA jest nieuprawnione, wobec tego, że obowiązujące amerykańskie regulacje prawne nie zapewniają wystarczającej ochrony transferowanych danych przed działaniami władz publicznych, a tym samym nie zapewniają odpowiedniego poziomu bezpieczeństwa tych danych.
TSUE zgodził się z Panem Schremsem i uznając USA za Państwo, które nie spełnia Europejskich standardów w zakresie przetwarzania danych.
Wniosek z powyższego jest taki, że transfer danych osobowych z centrum danych w Europie do USA nie jest obecnie czynnością w pełni bezpieczną, jeżeli chodzi o zgodność z rozporządzeniem o ochronie danych osobowych (RODO).
A jakie były pierwsze reakcja w Europie ?
- Rada Europejska utworzyła grupę roboczą. Grupa ta przygotuje zalecenia w celu wsparcia administratorów i podmiotów przetwarzających w ich obowiązkach związanych z identyfikacją i wdrożeniem odpowiednich środków uzupełniających dla zapewnienia odpowiedniego stopnia ochrony przy przekazywaniu danych do państw trzecich.
- swoje stanowisko zajęły również niektóre organy Państwowe zajmujące się ochroną danych, np. Berliński Organ Ochrony Danych zakazał wysyłania danych do USA.
- Polski UODO, w chwili obecnej nie zajął oficjalnego stanowiska w sprawie, w swoich orzeczeniach czeka na wytyczne EROD, w którego posiedzeniach uczestniczy.
- z drugiej strony organizacja, z której wywodzi się Pan Schrems, NOYB, zaskarżyła 101 podmiotów (tzw. dalmatyńczyków), w związku z używaniem przez te podmioty Google Analytics. 5 podmiotów pochodzi z Polski. W Polsce są to onet.pl, PKO BP, Interia.pl, TVN oraz TVP.
- w związku z całą sprawą EROD utworzył grupę roboczą, która rozpatrzy skargi złożone w następstwie wyroku TSUE w sprawie Schrems II.
- prawodawcy UE i USA podjęli już działania dot. tzw. „osłony prywatności Plus”, czyli nowej wersji tarczy.
- swoje stanowisko zajął również Facebook https://about-fb-com.cdn.ampproject.org/c/s/about.fb.com/news/2020/09/securing-the-long-term-stability-of-cross-border-data-flows/amp/
W dalszej kolejności w swoich oświadczeniach Europejska Rada Ochrony Danych (EROD) stwierdziła również, ze jeżeli podmiot przekazuje dane na podstawie standardowych klauzul do podmiotu spoza EOG, a znajduje się w on kraju, który nie gwarantuje spełnienia równoważnych praw dla osób fizycznych (przypominamy również, że TSUE uznał, że USA takich gwarancji nie zapewnia), to może on rozważyć wprowadzenie dodatkowych środków w stosunku do SCC, środkami takimi może być np. szyfrowanie danych i inne powszechnie stosowane na rynku środki.
Podkreślono również konieczność informowania osób fizycznych o przekazywaniu ich danych poza EOG w obowiązkach informacyjnych.
Co robić ? Powołana w ramach EROD grupa chcąc wesprzeć podmioty przekazujące dane, wydała zalecenia zawierające otwarty katalog przykładowych środków uzupełniających i niektórych warunków, które musiałyby spełniać, aby były skuteczne.
Zalecenia dostępne są tutaj:
Nasz Urząd do sprawy odnosi się ogólnie.
My jako rodo.pl w związku z całą sytuacją w chwili obecnej rekomendujemy wykonanie następujących czynności - pozostawiając decyzję po stronie Administratora:
- wyłączanie na czas rozstrzygnięcia sprawy - GOOGLE ANALYTICS
- zidentyfikowanie, które wykorzystywane narzędzie przekazują dane poza EOG, np. Zoom, Google Analytics, Hotjar, Amplitude Serwery Backupowe, Narzędzia do mailingu,
dzięki czemu wspólnie z naszym podmiotami jesteśmy w stanie zbadać jakie stanowisko zajęła dana firma w przedmiotowej sprawie, podjąć decyzję dot. dalszego przetwarzania oraz w przypadku pozostawienia dostawcy zaktualizować obowiązki informacyjne informując o przetwarzaniu poza EOG, co podkreślił TSUE.
Wiele firm transferujących dane do USA, przeszło w tej chwili na przetwarzanie danych poza EOG na podstawie nowych standardowych klauzul umownych, uzupełnionych o dodatkowe zapisy, które wskazał EROD - proszę pamiętać więc o akceptacji odpowiednich zapisów w panelach zarządzania.
Takie dodatkowe „techniczne środki uzupełniające”, które mają pomóc przeciwdziałać inwigilacji w odniesieniu do ustawy FISA. wdrożyło również Google. Podczas transferu danych z Europy do USA używane są między innymi:
Protokół HTTPS + ALTS jako rozwinięcie SSL-TLS opracowany przez Google do wymiany informacji pomiędzy centrami danych Google.
Szyfrowanie danych osobowych algorytmem AES-256 bitów.
Ta sama organizacja NOYB, zgłosiła jednocześnie zgłoszenie do Austriackiego Urzędu Ochrony Danych Osobowych, że nadal pomimo wyroku - Google ignoruje decyzję TSUE i przesyła dane do USA, które przetwarzane są przez tamtejsze służby.
Google broni się, argumentując, ze stosuje „techniczne środki uzupełniające”, które mają pomóc przeciwdziałać inwigilacji w odniesieniu do ustawy FISA, między innymi te wskazane powyżej.
Sam Max Schrems wypowiedział się w następujący sposób:
Google musi przekazać wszystkie dane zgodnie z amerykańskim prawem. Groteskowe jest to, że argumentują to posiadaniem płotów i znaków przy centrum danych – amerykańskie przepisy dotyczące inwigilacji obowiązują również za płotami. Standardowe szyfrowanie też nie pomaga, bo Google ma obowiązek przekazania kluczy szyfrujących. Tylko w 2019 roku ponad 201 tys. razy przekazali rządowi USA dane o obcokrajowcach.
W związku z powyższym oskarżeniem firmie Google grozi kara nawet do 4% ich obrotów rocznych, czyli około 6 miliardów euro.
Jaki będzie finał sprawy, będziemy informować.
Wciąż jednak rekomendujemy wyłączenie Google Analytics na swoich stronach, a w ustawieniach Google Workspace - wybrać centra danych znajdujące się na terenie EOG.
Pozdrawiamy,
Zespół rodo.pl
Źródła:
https://uodo.gov.pl/pl/138/1768