W lipcu 2020 r. zapadł wyrok Trybunału Sprawiedliwości UE ws. Schrems II (C-311/18). Wyrok ten ma fundamentalne znaczenie dla wszystkich podmiotów eksportujących dane osobowe do USA. Dzieje się tak z dwóch przyczyn:

  • TSUE unieważnił tzw. Tarczę Prywatności, czyli decyzję Komisji Europejskiej uznającą USA za kraj zapewniający adekwatny poziom ochrony danych osobowych, która pozwalała na zgodne z RODO i w zasadzie bezproblemowe przekazywanie danych za ocean. W ocenie TSUE, prawo amerykańskie pozwala bowiem na zbyt daleko idące i niezgodne z demokratycznymi standardami ingerencje służb wywiadowczych w prawo do prywatności, a więc takiej odpowiedniej ochrony nie zapewnia.

  • TSUE wypowiedział się ponadto odnośnie jednego ze sztandarowych instrumentów pozwalających na transfery danych poza EOG, jakie mogą być używane w przypadkach, gdy Komisja Europejska nie wydała dla danego kraju decyzji adekwatnościowej (albo gdy taka decyzja została unieważniona, jak w przypadku USA), a mianowicie standardowych klauzul umownych (SKU). TSUE podtrzymał możliwość dalszego używania SKU z zastrzeżeniem, że muszą one zapewniać realną – a nie wyłącznie papierową – ochronę danych. To oznacza z kolei, że przed transferem danych należy dokonać analizy, jak wygląda sytuacja prawna i praktyka administracyjna w państwie docelowym, a w razie potrzeby – w zależności od wyników takiej analizy – może istnieć konieczność uzupełnienia SKU dodatkowymi środkami, w tym techniczno-organizacyjnymi (takimi jak np. szyfrowanie), aby zapewnić odpowiedni poziom bezpieczeństwa danych. Jeśli natomiast mimo zastosowania takich dodatkowych środków zapewnienie takiego poziomu bezpieczeństwa danych nie jest możliwe, należy zrezygnować z zagranicznego transferu danych.

Reasumując, chociaż w praktyce TSUE nie zabronił transferów danych do USA, bo te mogą być – przynajmniej teoretycznie – nadal dokonywane w oparciu o SKU, to jednak postawił dla tych transferów dość wysoką poprzeczkę.

Pomimo, że od wydania ww. wyroku upłynęło już półtora roku, w sprawie transferów danych do USA zapadła cisza. Mam tu na myśli ciszę po stronie regulatorów, bo liczni konsultanci w międzyczasie mocno głowili się nad tym, jak zadbać o to, aby te transfery miały jednak pewne uzasadnienie, minimalizujące ryzyka dla eksporterów danych. Oczywiście, w międzyczasie w wielu przypadkach dane nadal płynęły też za ocean bez prób poszukiwania dodatkowych zabezpieczeń tak jakby wyroku w sprawie Schrems II w ogóle nie było (jak wiadomo potrzeba biznesowa dla takich transferów jest w wielu przypadkach przemożna). Dlatego też warto odnotować, że po stronie regulatorów pojawiła się ostatnio pewna, aczkolwiek na razie jeszcze ograniczona aktywność:

  • Europejski Inspektor Ochrony Danych upomniał Parlament Europejski za wykorzystywanie narzędzi Google Analytics i Stripe w kontekście dokonywanego przez nie przekazywania danych do USA (instytucje unijne obowiązują spec-regulacje dotyczące ochrony danych, ale standardy są analogiczne jak w RODO).

  • Austriacki organ nadzorczy uznał stosowanie Google Analytics za naruszenie RODO w zakresie transferów danych do USA. Organ ten uznał, że SKU i dodatkowe środki wdrożone przez Google nie gwarantują odpowiedniego poziomu ochrony danych.

  • W sprawie Google Analytics zareagował również organ francuski (CNIL), który poinformował, iż nakazał administratorowi doprowadzenie przetwarzania danych w ramach strony internetowej do zgodności z RODO poprzez rezygnację z funkcjonalności analitycznych na stronie bądź zastosowanie alternatywnego narzędzia, które nie będzie przekazywać danych do USA.

  • Organ holenderski zapowiedział na swojej stronie internetowej, że również prowadzi postępowania co do narzędzia Google Analytics, sygnalizując, iż także w Holandii stosowanie tego narzędzia może być niebawem niedozwolone. Zareagowały też organy duński i norweski, wydając stosowne oświadczenia.

Póki co nie mamy stanowiska polskiego PUODO w ww. sprawie. Należy się jednak spodziewać, że się ono pojawi. Decyzje zagranicznych organów, o których mowa powyżej, zostały bowiem wydane w następstwie serii skarg złożonych przez organizację NYOB założoną przez aktywistę Maxa Schremsa, który doprowadził do wydania wspomnianego na wstępie wyroku TSUE. Skargi te zostały złożone do regulatorów w różnych krajach, w tym w Polsce.

Podsumowując, jeśli wykorzystujemy na naszych stronach internetowych narzędzie Google Analytics, warto rozważyć jego zmianę na inne rozwiązanie, bo istnieje ryzyko, że zgodność z RODO przetwarzania danych realizowanych z udziałem Google Analytics zostanie zakwestionowana. Ponadto, należy dokładnie przemyśleć inne sytuacje, kiedy dane osobowe, których jesteśmy administratorem bądź procesorem płyną do USA (np. w ramach świadczenia usług drogą elektroniczną czy też w związku z procesami biznesowymi realizowanymi w grupie kapitałowej, której jesteśmy członkiem). Wyrok Schrems II dotyczy bowiem wszystkich transferów (nie tylko Google Analytics), a działania podjęte ostatnio przez organy nadzorcze pokazują, że nie zamierzają one skutków tego wyroku ignorować.