W wyroku z 16 lipca 2020 r. w sprawie Schrems II TSUE stwierdził, że przesyłanie danych osobowych do państw trzecich niezapewniających adekwatnej ochrony tych danych jest niezgodne z prawem Unii Europejskiej. Przedstawiamy Państwu najważniejsze skutki wyroku Trybunału w ww. zakresie oraz wskazówki dla administratorów danych w celu dostosowania dotychczasowych rozwiązań do nowej sytuacji prawnej.
I. Schrems II – Tarcza Prywatności i standardowe klauzule umowne
Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) 16 lipca 2020 roku wydał wyrok w sprawie Schrems II (C-311/18). W wyroku tym stwierdził nieważność decyzji Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA na podstawie Tarczy Prywatności (Privacy Shield) UE–USA.
Tym samym Trybunał stwierdził niezgodność Tarczy Prywatności z prawem UE ze względu na to, że decyzja przyznaje pierwszeństwo wymagań dotyczących bezpieczeństwa narodowego i interesu publicznego Stanów Zjednoczonych.
Trybunał orzekł, że mechanizm mediacyjny określony w Privacy Shield nie jest wystarczającą gwarancją kontroli sądowej i nie zapewnia podmiotom danych odpowiedniego środka odwoławczego.
TSUE utrzymał natomiast w mocy decyzje KE 2010/87/UE w sprawie standardowych klauzul umownych (SSC) dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania tych klauzul w praktyce. Mogą więc one wciąż stanowić ważną podstawę dokonywania transferu do państw trzecich, w tym do USA, jednakże po przeanalizowaniu i weryfikacji standardów ochrony danych osobowych obowiązujących w państwie, do którego dane osobowe są przekazywane. TSUE orzekł jednak, że warunkiem skuteczności SCC jest zapewnienie ochrony danych w stopniu równoważnym z ochroną unijną.
Orzeczenie TSUE jest efektem wniosku Maximilliana Schremsa, którego dane – w związku z korzystaniem z portalu Facebook od 2008 r., są w całości lub w części przekazywane przez działającą w Irlandii spółkę Facebook Ireland na serwery w USA.
TSUE podkreślił, że zgodnie z RODO osoby, których dane osobowe są przekazywane do kraju trzeciego poza UE , muszą korzystać z takiego samego stopnia ochrony, jaki gwarantowany jest w UE. TSUE ocenił również decyzję KE co do zgodności ochrony zapewnianej przez Tarczę Prywatności z przepisami RODO i stwierdził, że Tarcza nie spełnia wymogów unijnych w zakresie ochrony danych osobowych, przedkładając interes narodowy Stanów Zjednoczonych ponad prawa podmiotów danych. Trybunał orzekł zatem, że wbrew temu, co przyjęła Komisja Europejska, Tarcza Prywatności nie zapewnia adekwatnej ochrony danych Europejczyków i stwierdził nieważność tej decyzji.
Europejska Rada Ochrony Danych (EROD) w swoim komunikacie prasowym poparła wyrok TSUE. Zapowiedziała, że dokona bardziej szczegółowej oceny orzeczenia i przedstawi dalsze wyjaśnienia zainteresowanym stronom oraz wytyczne dotyczące stosowania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z orzeczeniem.
II. Kroki, które należy podjąć po wyroku Schrems II
Co można zrobić, aby zapewnić legalne przekazywanie danych osobowych do państw trzecich, w tym do USA?
• Dokonać rewizji dotychczas zawartych umów transferowych opartych na SCC dotyczących wysyłania danych osobowych poza Europejski Obszar Gospodarczy (EOG);
• Sprawdzić czy wymagany prawem UE stopień ochrony danych jest zapewniony w państwie trzecim, do którego dane mają być wysyłane;
• Przeanalizować czy wnoszone były skargi dotyczące ochrony danych osobowych przez partnerów w państwach trzecich;
• Sprawdzić czy istnieją przesłanki uznania, iż organy wywiadowcze w państwach trzecich realizowały uprawnienia dostępu do przekazanych danych osobowych;
• Wprowadzić dodatkowe zabezpieczenia danych;
• Obserwować rekomendacje w kontekście wyroku Schrems II, w tym EROD oraz Prezesa Urzędu Ochrony Danych Osobowych (UODO);
• Rozważyć możliwość wykorzystania centrów przetwarzania danych znajdujących się na terenie EOG.
III. Dane finansowe
Dnia 23 stycznia 2020 roku Komisja Nadzoru Finansowego (KNF) wydała komunikat precyzyjnie uj-mujący stosowanie rozwiązań chmurowych w instytucjach nadzorowanych. Komunikat ten stanowi podejście krajowe dla podmiotów z sektora finansowego. Komunikat kierowany jest zatem do banków, ubezpieczycieli, instytucji płatniczych, czy firm inwestycyjnych. Wskazane w nim wymogi znajdą zastosowanie, jeżeli:
1) przetwarzane są informacje prawnie chronione, czyli stanowiące informacje tajemnicę za-wodową sektora finansowego lub przetwarzanie informacji ma charakter outsourcingu szczególnego chmury obliczeniowej1 oraz jeśli
2) przetwarzanie informacji jest realizowane w chmurze obliczeniowej publicznej lub hybrydowej2.
KNF dostrzega brak standaryzacji w podejściu do korzystania z usług przetwarzania w chmurze obli-czeniowej w odniesieniu do tych samych kategorii informacji przez podmioty nadzorowane sektora finansowego, co może prowadzić do istotnych różnic w ocenie ryzyka technologicznego, a tym sa-mym powodować zwiększenie ryzyka sektorowego”3.
KNF dopuszcza natomiast istnienie łańcucha outsourcingowego, pozwalając na korzystanie z usług podwykonawców pod określonymi warunkami. Wskazuje również wymogi, jakie powinna spełniać umowa z dostawcą usług chmury obliczeniowej, także w zakresie poddostawców.
KNF rekomenduje jednocześnie, aby centrum przetwarzania danych było zlokalizowane na terytorium państwa członkowskiego EOG. Komunikat został wydany przed orzeczeniem TSUE w sprawie Schrems
II, zatem nie mógł uwzględniać rekomendacji wynikających z tego orzeczenia. Jednakże w związku z wyrokiem w sprawie Schrems II należy przeanalizować legalność przetwarzania danych w państwie trzecim, poza EOG zgodnie z krokami wskazanymi w pkt. II oraz zastosować dodatkowe zabezpieczenia oraz procesy w sytuacji, gdy istnieje ryzyko braku adekwatności przetwarzania danych w stosunku do zasad stosowanych w UE.
W związku z powyższym, należy stwierdzić, że dane finansowe mogą być przetwarzane na serwerach chmurowych, ale przy odpowiednim zmitygowaniu ryzyk związanych z tą formą przetwarzania danych. Przy wyborze operatora chmury należy wziąć pod uwagę, gdzie zlokalizowane są serwery, na których dane są przetwarzane. Jeżeli są to państwa trzecie, analizie należy poddać regulacje obowiązujące w tych państwach – pod kątem poszanowania ochrony danych osobowych.
Należy nadto pamiętać, że przetwarzanie danych finansowych przez sektor bankowy w ramach outsourcingu wiąże się również z problemem zachowania tajemnicy bankowej (art. 105 Prawa bankowego4). KNF zwraca uwagę, że „powszechne korzystanie z usług chmury obliczeniowej przez podmioty nadzorowane może powodować ryzyko koncentracji przetwarzania informacji prawnie chronionych znacznej części sektora finansowego fizycznie w tych samych obiektach (centrach przetwarzania danych) lub w ramach współpracy podmiotów nadzorowanych z ograniczoną liczbą dostawców usług chmury obliczeniowej.” Nadrzędnym zadaniem podmiotu nadzorowanego pod-czas przetwarzania informacji w chmurze obliczeniowej jest więc zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem 5.
IV. Podsumowanie
Wyrok TSUE w sprawie Schrems II istotnie zmienia zasady przetwarzania i przekazywania danych osobowych do krajów trzecich, a tym samym wpływa na konieczność zmiany operacyjnej stosowanych procesów biznesowych. Obecnie większość administratorów danych korzystających z rozwiązań chmurowych korzysta z usług podmiotów przechowujących przekazane dane na serwerach amerykańskich. Wyrok z 16 lipca 2020 r. wymusza przeanalizowanie tych procesów i zastosowanie dodatkowych środków zabezpieczeń oraz weryfikacji i zapewnienia adekwatności przetwarzania, co także musi zostać udokumentowane. Takie rozwiązanie ma zapewnić poszanowanie ochrony danych osobowych na poziomie wymaganym przez przepisy unijne. Również dane finansowe przetwarzane m.in. przez podmioty sektora finansowego mogą być przechowywane na serwerach chmurowych pod warunkiem odpowiedniego zmitygowanie ryzyk związanych z tą formą przetwarzania danych.
Marlena Wach – Radca prawny, doktor nauk prawnych
Małgorzata Puto – Prawnik
1 Zgodnie z komunikatem KNF z dnia 23 stycznia 2020 r., outsourcing szczególny chmury obliczeniowej oznacza „outsourcing chmury obliczeniowej, w ramach którego podmiot nadzorowany powierza dostawcy usług chmury obliczeniowej wykonanie za pomocą usługi chmury obliczeniowej czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego: a) wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania lub, b) zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej”.
2 Zgodnie z komunikatem KNF z dnia 23 stycznia 2020 r., jest to „chmura obliczeniowa składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej), która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą”.
3 Zob. Komunika Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf.
3 Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe.
4 Zob. Komunikat Komisji Nadzoru Finansowego…, op. cit.