Tarcza prywatności przebita! Sprawdź czy możesz korzystać z usług dostawców usług cloudowych z USA.

Zgodnie z art. 44 RODO, przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego, czyli państwa spoza strefy Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej, następuje tylko, gdy administrator i podmiot przetwarzający spełnią jeden z poniższych warunków:

1) przekazywanie danych osobowych do państwa trzeciego następuje na podstawie decyzji Komisji Europejskiej, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony;
2) w razie braku decyzji, o której mowa w pkt 1, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Zgodnie z RODO odpowiednie zabezpieczenia, o których mowa w pkt 2 można zapewnić za pomocą:
a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
b) wiążących reguł korporacyjnych zgodnie z art. 47;
c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Do niedawna podstawą do przesyłania danych do USA, czyli państwa trzeciego, była decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA. Z uwagi na powyższe, podstawą do wysyłania wszelkich danych osobowych przez podmioty przetwarzające i administratorów w UE była decyzja, o której mowa w pkt 1 powyżej.

Jednakże, w wyroku o sygnaturze C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems (tzw. sprawa Schrems II) TSUE stwierdził, że ww. decyzja Komisji jest nieważna. Z uwagi na powyższe, powstała pewna luka prawna w przekazywaniu danych osobowych do państw trzecich przed podmioty komercyjne świadczące szeroko rozumiane usługi elektroniczne.

W niektórych przypadkach, luka ta może zostać wypełniona przez art. 49 ust. 1 pkt a, b lub c RODO, który stanowi, że w razie braku decyzji stwierdzającej odpowiedni stopień ochrony (tj. decyzji z pkt 1 powyżej) lub braku odpowiednich zabezpieczeń w tym wiążących reguł korporacyjnych (o których mowa w pkt 2 powyżej), jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:
a)  osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną.

Należy wskazać, że przesłanki z art. 49 ust. 1 RODO są stosowane wyjątkowo i jedynie wtedy gdy nie ma decyzji KE, o której mowa w pkt 1 lub odpowiednich zabezpieczeń, o których mowa w pkt 2.

Z uwagi na to, że nie w każdym przypadku można stosować wyłączenia z art. 49 ust. 1 pkt a, b lub c RODO, oraz z uwagi na to, że przed wyrokiem w sprawie Schrems II, podmioty komercyjne, które przekazywały dane do USA opierały się na zatwierdzonej Tarczy Prywatności UE-USA, to musiały one dostosować swoją politykę do nowej rzeczywistości.

I tak, np:

1) Google, wprowadził możliwość zawarcia aneksu o przetwarzaniu danych osobowych i wzorcowych klauzul umownych jako metody spełnienia wymagań zgodności i bezpieczeństwa wynikających z RODO. Z uwagi na powyższe, Google od tego momentu będzie opierało się nie na decyzji, o której mowa w pkt 1 powyżej, lecz na zapewnieniu odpowiednich zabezpieczeń, o których mowa w pkt 2 powyżej (szczegóły na: https://support.google.com/a/answer/2888485?hl=pl). Wobec powyższego, podstawą do przekazania danych osobowych do USA będzie art. 46 ust. 1 RODO w zw. z art. 46 ust. 2 lit. c RODO.

2) Microsoft, co prawda nie zmienił swoich zasad postępowania, jednak wskazuje, że od dawna używa standardowych klauzul umownych jako podstawy dla transferu danych w swoich usługach online, które zostały opracowane przez Komisję Europejską, a które można stosować, aby przesyłać dane poza Europejski Obszar Gospodarczy w sposób zgodny z przepisami. Microsoft informuje, że standardowe klauzule umowne są włączone do wszystkich umów licencjonowania zbiorowego. Wobec powyższego Microsoft stosuje uznawane przez RODDO zabezpieczenia, o których mowa w art. 46 ust. 2 lit. c RODO.

3) ZOOM – podobnie jak Microsft i Google, ZOOM – popularna platforma służąca do przeprowadzania wideokonferencji, w swojej polityce prywatności wskazało, że przesyła dane pozyskane z Europejskiego Obszaru Gospodarczego do USA na podstawie zapewnienia odpowiednich zabezpieczeń oraz poprzez stosowanie standardowych klauzul umownych, czyli zabezpieczeń, o których mowa w art. 46 ust. 2 lit. c RODO. Co ciekawe, powyższe informacje można znaleźć jedynie w polityce prywatności, która umieszczona jest na amerykańskiej wersji ich strony internetowej – https://zoom.us/privacy#_Toc44414846 . Polityka prywatności w wersji polskiej jest dość lakoniczna, zawiera jedynie podstawowe informacje na temat przetwarzania danych osobowych, bez odniesienia się do transferu danych do państw trzecich (https://zoom-video.pl/polityka-prywatnosci/). Dodatkowo należy wskazać, że wraz z zyskaniem popularności aplikacji ZOOM, wzrosła ilość wątpliwości co do bezpieczeństwa korzystania z niej. W tym zakresie ostrzeżenie wydało np. FBI – https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic , a także polskie Ministerstwo Cyfryzacji – https://odo.uw.edu.pl/wp-content/uploads/sites/10/2020/05/MC-poradnik-dla-nauczycieli.pdf.

O nieodpowiednim stopniu bezpieczeństwa informowały także media, organy rządów Wielkiej Brytanii, Niemiec a takie przedsiębiorstwa jak Google czy SpaceX zakazały korzystania z ZOOMa podczas pracy:

1) https://www.rp.pl/Opinie/304079921-Monika-Bogdal-Problemy-z-aplikacja-ZOOM—czyli-jak-bezpieczenstwo-przegralo-z-wygoda-UX.html
2) https://www.independent.co.uk/life-style/gadgets-and-tech/news/zoom-video-chat-app-security-coronavirus-boris-johnson-ministry-of-defence-a9426221.html
3) https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
4) https://in.reuters.com/article/spacex-zoom-video-commn/elon-musks-spacex-bans-zoom-over-privacy-concerns-memo-idINKBN21K0VS
5) https://www.reuters.com/article/us-health-coronavirus-germany-zoom/german-foreign-ministry-restricts-use-of-zoom-over-security-concerns-idUSKBN21Q1SC
6) https://thenextweb.com/security/2020/04/09/google-bans-employees-from-using-zoom-on-their-devices/