Po unieważnieniu Safe Harbour wiele polskich firm przesyła dane do USA nielegalnie. Prawnicy radzą, by jak najszybciej skorzystać ze standardowych wzorców umownych.
Dr Edyta Bielak-Jomaa generalny inspektor ochrony danych osobowych / Dziennik Gazeta Prawna
Wnioski o zgodę na transfer należą do rzadkości / Dziennik Gazeta Prawna
Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems kontra Facebook odbił się na świecie szerokim echem (sprawa nr C-362/14 ). Trudno się temu dziwić – stwierdzenie nieważności decyzji w sprawie Safe Harbour odebrało najważniejszą i jednocześnie najłatwiejszą podstawę prawną do transferu danych z UE do USA. I nie chodzi tu tylko o gigantów takich jak Facebook.
– Choć do programu Safe Harbour oficjalnie przystąpiło kilka tysięcy podmiotów z USA, to w rzeczywistości korzystało z niego wielokrotnie więcej. Dzięki temu, że wpisany był amerykański usługodawca, usługobiorcy z UE mogli przesyłać dane na jego serwery – tłumaczy Xawery Konarski, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy.
– Chodzi także o wiele firm z Polski, chociażby używających programów do zarządzania przedsiębiorstwem. Czy też firmy webmasterskie, czasem nawet niewielkie, dla których hosting bardziej opłacało się wykupić w USA – podaje przykłady.
Od 6 października, kiedy to zapadł wyrok TSUE, jest duże ryzyko, że przekazują dane osobowe bezprawnie. Z oczywistych względów nie przerwą jednak nagle swojej działalności. Tymczasem, choć może jeszcze nie w najbliższych dniach, już niebawem mogą spodziewać się kontroli generalnego inspektora ochrony danych osobowych (patrz ramka). Jak wynika ze stanowiska grupy roboczej art. 29 (gremium skupiającego rzeczników ochrony danych osobowych ze wszystkich państw UE) do końca stycznia 2016 r. przedsiębiorcy są w miarę bezpieczni.
– Uznano, że zachowanie wspólnego, skoordynowanego podejścia w całej Europie wymaga dokładniejszej oceny możliwości decyzyjnych wszystkich rzeczników. Pamiętajmy, że orzeczenie TSUE musi stać się w pierwszym rzędzie podstawą orzeczenia w Irlandii. Oczekujemy takiego orzeczenia w listopadzie. Nie byłoby chyba dobrze, by teraz rzecznicy zaczęli konkurować, kto wyprzedzi w działaniach rzecznika irlandzkiego – tłumaczył w opublikowanym we wtorek przez DGP wywiadzie dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych.
Jeśli jednak do GIODO wpłyną wcześniej skargi od obywateli, to będzie musiał je zweryfikować.
– Co istotne, GIODO ma wiedzę, kto może transferować dane z Polski do USA. Informacje te podawane są, a przynajmniej powinny być, podczas zgłoszenia zbioru danych do rejestracji – zaznacza dr Grzegorz Sibiga, adiunkt w Instytucie Nauk Prawnych PAN.
Legalizacja transferu
Co w tej sytuacji mają zrobić przedsiębiorcy transferujący dane do USA? Odpowiedzi na to pytanie szukano na warsztatach zorganizowanych przez kancelarię Traple Konarski Podrecki i Wspólnicy. I choć jego uczestnicy wskazali kilka możliwości legalizacji transferu danych do USA, to zgodzili się, że w praktyce zazwyczaj w grę wchodzić będzie tylko jedno rozwiązanie – standardowe klauzule umowne.
– To najlepsze, najszybsze i – co istotne – niewymagające zgody GIODO rozwiązanie – przekonywał dr Jan Byrski, adwokat z kancelarii organizującej warsztaty.
Standardowe klauzule umowne to po prostu gotowe zestawy postanowień zatwierdzone decyzjami Komisji Europejskiej (KE 2001/497/WE i zmieniająca ją KE 2004/915/WE oraz KE 2010/87/UE). Można je dodać do treści umowy biznesowej między partnerami z Polski i USA, a można też potraktować jako osobne umowy. To drugie rozwiązanie powinno być teraz preferowane jako najszybsze. Klauzule te zawierają wytyczne, do których powinny stosować się strony umowy.
Ich zastosowanie ma sprawić, że na podstawie umowy między stronami zapewniona będzie ochrona danych adekwatna do tej, jakiej podlegają one w UE. I tu pojawia się problem. Wyrok TSUE jednoznacznie bowiem stwierdzał, że masowy dostęp amerykańskich służb do danych i brak kontroli nad nim są sprzeczne z prawem unijnym. Skoro więc USA zostały uznane za kraj łamiący prawa podstawowe Europejczyków, to czy standardowe klauzule umowne mogą to zmienić?
– Rzeczywiście, jest to problematyczne i badanie konkretnych transferów mogłoby doprowadzić do nakazania zaprzestania ich – przyznaje dr Jan Byrski.
– Do czasu jednak, gdy GIODO nie przeprowadzi postępowania i nie wyda stosownej decyzji, standardowe klauzule umowne stanowią podstawę prawną do przekazywania danych. Dlatego właśnie rekomendujemy je jako najszybszy i najbezpieczniejszy sposób legalizacji transferu do USA – podkreśla adwokat.
Kiedy Safe Harbour 2.0
Odrębną podstawę prawną mogą stanowić tzw. wiążące reguły korporacyjne.
– Można je zastosować jednak wyłącznie w ramach jednej grupy kapitałowej. Nawet i tu zastanawiałbym się, czy nie lepiej – przynajmniej tymczasowo – posłużyć się standardowymi klauzulami umownymi – uważa Xawery Konarski.
Dlaczego? Przede wszystkim dlatego, że wiążące reguły korporacyjne wymagają zatwierdzenia przez GIODO. A na to trzeba poczekać co najmniej kilka miesięcy. Przez cały ten czas transfer odbywałby się bez podstawy prawnej, co mogłoby zostać uznane nawet za przestępstwo.
Wiążące reguły korporacyjne to rodzaj wewnętrznych kodeksów postępowania z danymi osobowymi w ramach danej korporacji (nie mogą wychodzić poza nią). W UE zatwierdzono kilkadziesiąt takich reguł. W Polsce trwają pierwsze postępowania. Jedno z nich dotyczy KGHM w związku z głośną inwestycją w Chile.
Można też wreszcie uzyskać zgodę GIODO na transfer danych. Jednak występowanie o nią teraz wiązałoby się z dużym ryzykiem. – Wnioskodawca niejako sam przyznawałby bowiem, że przekazuje dane bez podstawy prawnej. Tymczasem transfer ten byłby możliwy dopiero po uzyskaniu takiej zgody – tłumaczy dr Grzegorz Sibiga.
Inne rozwiązania są jeszcze trudniejsze do wykorzystania. Uzyskanie zgody samego zainteresowanego w Polsce wiąże się z potwierdzeniem jej na piśmie. Z kolei podstawy wynikające z umów międzynarodowych dotyczą konkretnych sytuacji (np. FATCA dla sektora bankowego). Ostatecznie więc jedynym sensownym na tę chwilę sposobem legalizacji transferu są standardowe klauzule umowne.
Wszyscy mają nadzieję, że będzie to jedynie rozwiązanie tymczasowe. Od dwóch lat trwają pracę nad nowym porozumieniem z USA, określanym jako Safe Harbour 2.0. Wyrok TSUE powinien zmotywować obydwie strony do jak najszybszego ich zakończenia. Tym bardziej że wzmógł się nacisk na władze amerykańskie ze strony tamtejszych firm. Przykładem na to może być wtorkowy wpis na blogu Brada Smitha, szefa prawników Microsoftu, w którym przedstawił cztery rekomendacje dotyczące stworzenia nowych norm prawnych dotyczących transferu danych.
„Musimy zapewnić wszystkie osoby po obu stronach Atlantyku, że prawa ludzi są przenoszone wraz z ich danymi. Dla przykładu, rząd amerykański powinien potwierdzić, że będzie żądał dostępu do danych osobowych, które są przechowywane w Stanach Zjednoczonych i należą do obywateli Unii Europejskiej, w sposób zgodny z prawem UE” – napisał m.in. prawnik.
Brak podstawy prawnej dla transferu danych to ryzyko odpowiedzialności karnej
Trybunał nie wprowadził żadnego okresu przejściowego. W konsekwencji przekazywanie danych osobowych do USA nie może dalej odbywać się na podstawie dotychczasowej decyzji Komisji Europejskiej. Ma to określone konsekwencje praktyczne dla administratorów danych przekazujących lub zamierzających przekazywać je do importerów na terytorium USA. Teraz muszą rozważyć zastosowanie innych instrumentów prawnych, przede wszystkim standardowych klauzul umownych, których wykorzystanie od 1 stycznia 2015 r. nie wymaga już uzyskania zgody GIODO, czy też wiążących reguł korporacyjnych, dla których polski ustawodawca stworzył nowy tryb zatwierdzania.
Ewentualne plany kontroli czy też innych działań skoncentrowanych na kwestiach przekazywania danych do USA powinny być skoordynowane przez wszystkie organy ochrony danych osobowych z państw członkowskich UE, co zresztą już zapowiedziała grupa robocza art. 29. W ramach takich działań należy przewidywać przeprowadzanie u polskich przedsiębiorców kontroli, podczas których będzie weryfikowane m.in. istnienie podstawy prawnej uprawniającej do przesyłania danych osobowych do USA.
Nie zmienia to faktu, że w indywidualnych postępowaniach wszczętych na podstawie skarg lub z urzędu, w których może pojawić się kwestia przekazywania danych osobowych do USA, GIODO będzie badał i oceniał istnienie odpowiedniej podstawy prawnej takich transferów danych.
W przypadku stwierdzenia naruszeń GIODO wyda decyzję administracyjną w celu przywrócenia stanu zgodnego z prawem, a jeżeli naruszenia będą podlegały odpowiedzialności karnej złoży, jak we wszystkich takich sytuacjach, zawiadomienie o popełnieniu przestępstwa.