Site Search

Loading Results

Wstrzymany transfer danych do USA - komentarz PwC po wyroku TSUE

6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie, w którym uznał, że Decyzja Komisji Europejskiej z 26 lipca 2000 r. zgodnie, z którą program „Bezpiecznej Przystani” (ang. „Safe Harbour”) dla Stanów Zjednoczonych zapewnia adekwatną ochronę danych osobowych, jest nieważna

Transfer danych osobowych do państwa trzeciego tj. państwa znajdującego się poza Europejskim Obszarem Gospodarczym jest możliwy jeżeli państwo to zapewnia odpowiedni poziom ochrony danych osobowych. Komisja Europejska jest uprawniona do podjęcia decyzji co do tego, czy dane państwo taki poziom ochrony zapewnia. W 2000 r. Komisja Europejska zdecydowała, że przystąpienie do programu „Safe Harbour” gwarantuje odpowiedni poziom ochrony danych osobowych. Oznaczało to, że transfer danych osobowych do Stanów Zjednoczonych do podmiotu, który przystąpił do programu „Safe Harbour”, nie wymagał spełnienia dodatkowych warunków umożliwiających transfer do państwa spoza EOG takich jak np. zgoda podmiotu danych czy też zgoda Generalnego Inspektora Ochrony Danych Osobowych.

Wyrok Trybunału oznacza, że przystąpienie do programu „Safe Harbour” nie powoduje automatycznego uznania, że podmiot do którego dane są przekazywane zapewnia adekwatny poziom ochrony. W takiej sytuacji, transfer danych do Stanów Zjednoczonych, który dziś odbywa się na podstawie tego programu, przestaje być zgodny z prawem i powinien być wstrzymany.

Przedsiębiorcy z siedzibą w państwach UE, którzy korzystają z serwerów położonych w USA, z chmury obliczeniowej wykorzystującej takie serwery lub transferują dane do podmiotów z grupy kapitałowej mających siedzibę w USA, powinni dokonać natychmiastowego przeglądu podstawy prawnej dla takiego transferu. W przypadku, gdy dotychczasowy transfer odbywał się na podstawie programu „Safe Harbour”, przedsiębiorcy ci powinni niezwłocznie postarać się zapewnić inną podstawę prawną dla takiego transferu (np. zgodę podmiotu danych osobowych, zgodę Generalnego Inspektora Ochrony Danych Osobowych czy też Standardowe Klauzule Umowne) i zaprzestać transferu bez zapewnienia takiej podstawy prawnej.

„Orzeczenie to może skutkować poważnymi perturbacjami dla przedsiębiorców, którzy korzystają z serwerów zlokalizowanych na terytorium USA.  Pierwszy krok, jaki powinni podjąć, to sprawdzenie, czy transferują dane osobowe wyłącznie w oparciu o program "Safe Harbour". Jeśli tak, w następnej kolejności należy rozważyć, która z innych podstaw prawnych może być przez nich szybko zastosowana. W najgorszym scenariuszu być może na pewien czas niezbędne będzie zawieszenie transferu danych do USA, aby uniknąć naruszenia prawa, i podjęcie działań mających na celu zapewnienie legalności takiego przesyłania danych” – mówi Anna Kobylańska, adwokat w PwC Legal.

Powiązane zagadnienia

Skontaktuj się z nami

Jakub Kurasz

Jakub Kurasz

Dyrektor, Lider ds. Komunikacji, PwC Polska

Tel.: +48 601 289 381

Linkedin Follow Email
Piotr Kołomycki

Piotr Kołomycki

Ekspert ds. PR, PwC Polska

Tel.: +48 519 506 606

Linkedin Follow Email
Obserwuj nas