W czasach, gdy sprzedaż internetowa ma charakter globalny, prowadząc sklep online wysyłający towary poza Unię Europejską, należy zwrócić szczególną uwagę zapewnieniu ochrony danym osobowym naszych klientów. Jak to zrobić? Kwestie te, w komentarzu dla RETAIL JOURNAL, wyjaśnia Michał Fatek, radca prawny w Kancelarii Jacek Kosiński Adwokaci i Radcowie Prawni w Warszawie.
Współczesny obrót handlowy zwraca coraz mniejszą uwagę na istnienie granic państwowych. W dobie Internetu przepływ towarów i usług przyjmuje wymiar globalny. Umowy zawierane są na odległość, za pomocą zaledwie kilku kliknięć w komputerze, czy smartfonie. Powszechne jest również korzystanie z usług podwykonawców z innych krajów. Wszystko to powoduje wiele problemów natury prawnej.
Jednym z takich problemów jest kwestia ochrony danych osobowych w sytuacji, gdy dane te przekraczają obszar Unii Europejskiej. Przykładowo, operator sklepu internetowego mającego siedzibę w UE realizuje zamówienia swoich klientów przez korzystanie z podwykonawców spoza Unii, którym przekazuje przy tym przetwarzane przez siebie dane osobowe. Jako inny przykład można wskazać sytuację korzystania z usług IT (np. dostawy rozwiązań chmurowych) świadczonych za pomocą serwerów znajdujących się poza Unią Europejską. Niniejsze opracowanie ma na celu przybliżyć, jak na wspomniane sytuacje reaguje RODO i jakie stawia wymagania przed administratorami i podmiotami przetwarzającymi dane osobowe.
Stanowisko RODO
Prawo do prywatności i związana z nim kwestia ochrony danych osobowych stanowi w krajach Unii Europejskiej istotną wartość. Na terenie całej Unii Europejskiej obowiązuje w tym względzie RODO. Ustanawia ono wspólne reguły ochrony danych osobowych dla wszystkich państw członkowskich. Jedną z materii regulowanych tym aktem prawnym jest przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych.
Państwem trzecim jest każdy kraj niebędący członkiem Unii Europejskiej. Organizacją międzynarodową jest zaś każda organizacja inna, niż Unia Europejska. Przekazywanie do nich danych wymaga spełnienia szeregu warunków. Inaczej transfer taki jest nielegalny a administrator lub podmiot przetwarzający naraża się na dotkliwe sankcje – z karą pieniężną do 20 milionów Euro lub 4 % rocznego światowego obrotu osiągniętego w ostatnim roku włącznie.
W przypadku przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych RODO wymaga przyjęcia co najmniej jednego środka zabezpieczającego spośród katalogu wymienionego w rozdziale V tego aktu prawnego. Dla obrotu gospodarczego najważniejsze z tych środków to: (i) decyzje Komisji Europejskiej stwierdzające zapewnianie przez państwo trzecie lub organizację międzynarodową odpowiednich środków ochrony, (ii) standardowe klauzule umowne oraz (iii) wiążące reguły korporacyjne.
Decyzje Komisji Europejskiej
Najbardziej pożądanych środkiem bezpieczeństwa z punktu widzenia uczestników obrotu gospodarczego jest wydanie przez Komisję Europejską decyzji stwierdzającej zapewnianie przez dane państwo trzecie lub organizację międzynarodową standardu ochrony danych osobowych równoważnego standardowi RODO. Istnienie takiej decyzji umożliwia administratorom i podmiotom przetwarzającym przekazywanie danych osobowych bez konieczności stosowania innych środków zabezpieczających a tylko w oparciu o istnienie takiej decyzji Komisji Europejskiej.
Decyzja taka jest wydawana po przeprowadzeniu przez Komisję Europejską stosownego postępowania, w trakcie którego oceniane są spełnianie przez państwo trzecie lub organizację międzynarodową wymogów praworządności, istnienia i skutecznego działania co najmniej jednego niezależnego organu nadzorczego z zakresu ochrony danych osobowych oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.
Obecnie obowiązuje wiele omawianych decyzji Komisji Europejskiej. Akty takie zostały wydane m.in. w odniesieniu do Szwajcarii (decyzja nr 2000/518/WE), Kanady (decyzja nr 2002/2/WE), czy Izraela (decyzja nr 2011/61/UE). Do niedawna decyzja taka funkcjonowała również w stosunku do Stanów Zjednoczonych Ameryki Północnej. Jednak począwszy od wydania wyroku w sprawie Schrems II przez Trybunał Sprawiedliwości Unii Europejskiej, decyzja ta straciła moc obowiązującą (zob. niżej).
Standardowe klauzule umowne
Kolejnym środkiem bezpieczeństwa stosowanym przy transferze danych osobowych poza UE są standardowe klauzule umowne. Klauzule takie są przyjmowane przez Komisję Europejską w drodze decyzji. Obecnie obowiązują trzy tego rodzaju decyzje:
- nr 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich;
- nr 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich;
- nr 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich.
Decyzje te zostały wydane w oparciu o nieobowiązującą już dyrektywę w sprawie ochrony danych osobowych, niemniej RODO utrzymuje ich moc wiążącą.
Dwie pierwsze decyzje dotyczą przekazywania danych osobowych innemu administratorowi. Znajdą więc zastosowanie np. do sytuacji, w których administrator danych osobowych z UE udostępnia te dane podmiotowi spoza UE w celach marketingowych.
Trzecia z kolei decyzja reguluje kwestie przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę poza Unią Europejską. W szczególności dotyczy to sytuacji korzystania z usług firm informatycznych, których serwery znajdują się w państwach trzecich (np. serwery rozwiązań chmurowych).
Standardowe klauzule umowne powinny zostać każdorazowo wprowadzone przez strony do wiążących je umów, które regulują transfer danych (np. umów o udostępnienia danych, czy umów powierzenia przetwarzania danych). Nie wystarczy samo odwołanie się do w/w decyzji Komisji Europejskiej w sprawie przyjęcia standardowych klauzul umownych.
Wiążące reguły korporacyjne
Wiążące reguły korporacyjne są dokumentem mającym zastosowanie do grupy przedsiębiorstw (np. w ramach grup kapitałowych) lub przedsiębiorstw prowadzących faktycznie wspólnie działalność gospodarczą (np. w ramach powiązań kooperacyjnych). Ich skuteczność wymaga zatwierdzenia przez organ nadzoru oraz uzyskania pozytywnej opinii Europejskiej Rady Ochrony Danych. Po zatwierdzeniu reguły wiążą wszystkich członków takiej grupy przedsiębiorstw, którzy są zobowiązani do ich przestrzegania.
Aby wiążące reguły korporacyjne mogły posłużyć jako podstawa do przekazywania danych osobowych poza Unię Europejską, powinny one zawierać postanowienia dotyczące bezpieczeństwa takiego transferu danych oraz mechanizmy kontroli tego bezpieczeństwa i egzekwowania wymagań przewidzianych w tym zakresie przez wiążące reguły korporacyjne.
Problem Brexitu i transferu danych do USA
Po wyjściu z Unii Europejskiej Wielka Brytania stała się państwem trzecim w rozumieniu RODO. Jest to równoznaczne z koniecznością stosowania wymaganych środków bezpieczeństwa dla transferu danych osobowych na terytorium Zjednoczonego Królestwa. Z uwagi na bliskie relacje gospodarcze wiążące ten kraj z państwami członkowskimi Unii Europejskiej, które budowane były przez wiele lat członkostwa Wielkiej Brytanii we Wspólnocie, wiele przedsiębiorstw m.in. z Polski przekazuje dane osobowe do tego kraju. Do końca przedłużonego okresu przejściowego, tj. do 30 czerwca 2021 r., działanie takie będzie w pełni legalne i nie będzie wymagało podjęcia dodatkowych środków zabezpieczających przez administratora danych lub podmiot przetwarzający, transferujących dane do Zjednoczonego Królestwa. Po tym terminie jednak zobowiązani oni będą do przyjęcia stosownych środków bezpieczeństwa, opisanych wyżej (jak np. standardowych klauzul umownych, czy wiążących reguł korporacyjnych).
Wydaje się jednak, że w przypadku Wielkiej Brytanii – z uwagi na zbliżone ustawodawstwo tego państwa w zakresie ochrony danych osobowych do tego, czego wymagają standardy RODO – Komisja Europejska zdecyduje się na wydanie decyzji stwierdzającej zapewnianie przez Zjednoczone Królestwo odpowiednich środków ochrony. Do czasu jednak przyjęcia takiej decyzji i począwszy od lipca 2021 r. obowiązkowe będzie stosowanie innych środków bezpieczeństwa, np. standardowych klauzul ochronnych.
Podobna sytuacja ma miejsce w odniesieniu do transferu danych osobowych do USA. Do niedawna obowiązywała w tym względzie decyzja Komisji Europejskiej (tzw. Privacy Shield) stwierdzająca bezpieczeństwo takiego transferu. Jednak sytuacja zmieniła się począwszy od wydania przez Trybunał Sprawiedliwości Unii Europejskiej w lipcu 2020 r. wyroku w sprawie Schrems II. Trybunał stwierdził tam nieważność decyzji Komisji Europejskiej w sprawie przyjęcia Privacy Shield. Dodatkowo, Trybunał ograniczył możliwość posługiwania się w kontaktach z USA tzw. standardowymi klauzulami umownymi. Zdaniem TSUE oparcie się przy transferze danych wyłącznie na takich klauzulach może okazać się w konkretnym przypadku niewystarczające. Zawierane umowy dotyczące transferu danych z terytorium UE na terytorium USA powinny również zawierać odpowiednie dodatkowe mechanizmy kontrolne, zapewniające przestrzeganie odpowiednich wymogów związanych z ochroną przekazywanych danych osobowych.
