#PrivacyShield - Europejski sąd unieważnia umowę o udostępnianiu danych między UE a USA

Max Schrems przed biurem irlandzkiego komisarza ds. ochrony danych

Po raz drugi w ciągu mniej niż pięciu lat Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że umowa o udostępnianiu danych między UE a USA nie spełnia unijnych standardów ochrony danych. Porozumienie „bezpiecznej przystani” zostało zerwane w 2015 r. i szybko zostało zastąpione „tarczą ochronną”, która również leży teraz w strzępach. 

Sąd orzekł, że aby umowa między UE a Stanami Zjednoczonymi była ważna, musiałaby zapewniać ochronę równoważną z tą gwarantowaną na mocy unijnego ogólnego rozporządzenia o ochronie danych oraz chronić prawo do prywatności i ochrony danych, które są zapisane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej Prawa.

#ECJ: decyzja w sprawie adekwatności ochrony zapewnianej przez Tarczę Ochrony Danych UE-USA zostaje unieważniona, ale EU_Commission Decyzja w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w państwach trzecich jest ważna #Facebook #Shrems pic.twitter.com/BgxGAvuq3T

— Trybunał Sprawiedliwości UE (@EUCourtPress) 16 lipca 2020

Z bardziej pozytywnego punktu widzenia sąd stwierdził, że decyzja Komisji w sprawie standardowych klauzul umownych (SCC) w celu przekazywania danych osobowych podmiotom przetwarzającym dane z siedzibą w państwach trzecich (poza UE) jest ważna – o ile istnieje uprzednia zgoda, że ​​właściwy poziom zapewniona jest ochrona. 

reklama

Cały problem wynika z prawa krajowego w Stanach Zjednoczonych. Schrems, tytułowy uczestnik procesu, który stoi za wyrokiem znanym jako Schrems II, powiedział: „Trybunał po raz drugi wyjaśnił, że istnieje kolizja między unijnym prawem dotyczącym prywatności a amerykańskim prawem dotyczącym nadzoru. Ponieważ UE nie zmieni swoich praw podstawowych, aby zadowolić NSA, jedynym sposobem na przezwyciężenie tego starcia jest wprowadzenie przez Stany Zjednoczone solidnych praw do prywatności dla wszystkich ludzi – w tym obcokrajowców. Reforma nadzoru staje się tym samym kluczowa dla interesów biznesowych Doliny Krzemowej”.

UWAGA: Trybunał Sprawiedliwości UE właśnie unieważnił system wymiany danych „Privacy Shield” między UE a Stanami Zjednoczonymi z powodu nadmiernego nadzoru ze strony USA. Wszystkie szczegóły dostępne tutaj: https://t.co/xN4HKhZaBT #PRYZMAT #FISA702 #Prywatność #PrivacyShield #SCC #GDPR #TSUE

— Maks Schrems ???? (@maxschrems) 16 lipca 2020 r.

UE została już ostrzeżona, że ​​TSUE prawdopodobnie zniesie tarczę prywatności, a decyzja została uprzedzona przez wczesne dyskusje z amerykańskimi odpowiednikami UE. Wiceprzewodnicząca Komisji ds. Wartości Věra Jourová powiedziany: „Zarówno Didier, jak i ja byliśmy w kontakcie z sekretarzem handlu USA Wilburem Rossem w ostatnich dniach”.

Komisarz ds. sprawiedliwości Didier Reynders dodał, że rozmawiał z prokuratorem generalnym Williamem Barrem w grudniu i nie może się doczekać jutrzejszej (17 lipca) konstruktywnej dyskusji z Wilburem Rossem na temat dalszych działań.

Sekretarz stanu USA Wilbur Ross powiedział: „Mamy nadzieję, że uda nam się ograniczyć negatywne konsekwencje do transatlantyckich stosunków gospodarczych o wartości 7.1 biliona dolarów, które są tak ważne dla naszych obywateli, firm i rządów. Przepływy danych są niezbędne nie tylko dla firm technologicznych, ale także dla firm każdej wielkości w każdym sektorze. W miarę jak nasze gospodarki kontynuują odbudowę po COVID-19, niezwykle ważne jest, aby firmy — w tym ponad 5,300 obecnych uczestników Tarczy Prywatności — mogły przesyłać dane bez przerw, zgodnie z silnymi zabezpieczeniami oferowanymi przez Tarczę Prywatności”. 

W oświadczenie, Departament Handlu twierdzi, że będzie nadal administrować programem Tarczy Prywatności, w tym przetwarzać wnioski o samocertyfikację i ponowną certyfikację w ramach Tarczy Prywatności oraz utrzymywać Listę Tarczy Prywatności. Jednak Reynders powiedział: „W międzyczasie transatlantycki przepływ danych między firmami może być kontynuowany przy użyciu innych mechanizmów międzynarodowego przekazywania danych osobowych dostępnych w ramach RODO”.

Bridget Treacy, partner ds. ochrony danych w Hunton Andrews Kurth LLP z siedzibą w Londynie, komentując wyrok, powiedziała: „SCC, powszechnie wykorzystywane do transferów na całym świecie, będą podlegać znacznie dokładniejszej kontroli ze strony eksporterów danych i organów regulacyjnych UE. Przekazywanie danych osobowych z UE do Stanów Zjednoczonych będzie wymagało szczególnej ostrożności, biorąc pod uwagę uwagi Trybunału dotyczące nadzoru prowadzonego przez USA. Jednak wszystkie transfery danych osobowych z UE, czy to do Stanów Zjednoczonych, czy gdzie indziej (w tym do Wielkiej Brytanii po 1 stycznia 2021 r.) będą teraz wymagały znacznie dokładniejszej kontroli”.

David Dumont, partner ds. ochrony danych w Hunton Andrews Kurth LLP z siedzibą w Brukseli, powiedział: „Firmy, które polegają na SCC, będą musiały ocenić każdego odbiorcę transferu danych, aby ustalić, czy odbiorca zapewnia odpowiedni poziom ochrony. Będzie to oznaczać ocenę, jakiego rodzaju dane osobowe są przekazywane, w jaki sposób będą przetwarzane, czy agencje rządowe mogą mieć do nich dostęp w celach inwigilacyjnych, a jeśli tak, jakie zabezpieczenia są dostępne. Jeśli odbiorca nie jest w stanie zapewnić odpowiedniego poziomu ochrony, przedsiębiorstwa z UE są zobowiązane do zawieszenia przekazywania danych, w przeciwnym razie może to zrobić organ regulacyjny. Konieczne będą pilne wytyczne ze strony organów regulacyjnych ds. ochrony danych, co do tego, jakiego praktycznego poziomu kontroli oczekują od firm polegających na SCC”.

Brexit

Ponieważ Wielka Brytania opuszcza UE pod koniec roku, będzie musiała wystąpić o umowę o adekwatności danych. Masowa inwigilacja w Wielkiej Brytanii, prowadzona przez ich agencję wywiadowczą (GCHQ) i ujawniona przez Ekrasnolud Snowden pokazał, jak Wielka Brytania przeszukuje dane z milionów prywatnych komunikatów i dzieli się swoimi odkryciami z Agencją Bezpieczeństwa Narodowego USA, a także agencjami wywiadowczymi innych krajów. Europejski Trybunał Praw Człowieka orzekł, że ta inwigilacja jest niezgodna z prawem. Biorąc pod uwagę wyniki Wielkiej Brytanii, Parlament Europejski prawdopodobnie będzie wymagał silnych gwarancji dotyczących każdej umowy o ochronie danych. 

Treacy powiedział: „Orzeczenie w sprawie Tarczy Prywatności prawdopodobnie będzie miało wpływ na nadzieje Wielkiej Brytanii na orzeczenie Komisji Europejskiej w sprawie adekwatności ochrony danych po Brexicie. Wielka Brytania może oczekiwać, że jej przepisy dotyczące nadzoru będą podlegać podobnej kontroli jak przepisy obowiązujące w USA, aby ocenić, czy przestrzegają prawa obywateli UE do prywatności”.

Dumont powiedział: „Większość firm z UE planuje polegać na SCC przy przekazywaniu danych osobowych do Wielkiej Brytanii po zakończeniu okresu przejściowego Brexitu. Orzeczenie to sygnalizuje, że mechanizm SCC będzie podlegał znacznie dokładniejszej kontroli, a unijne organy ochrony danych będą bardziej proaktywne w egzekwowaniu tych wymogów, w razie potrzeby wstrzymując przekazywanie danych”.

Tło

Wywiad z Sophie Int'Veld z 2016 roku

Wywiad z Maxem Schremsem w 2018 roku

Udostępnij ten artykuł: