Nie musiały więc uzyskiwać zgody na przetwarzanie danych osobowych od krajowych organów ochrony danych osobowych. Certyfikat gwarantował bowiem, w założeniu, zgodność danej firmy z wymaganiami dyrektywy 95/46/WE Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych. Właśnie nastąpił kres tego programu.
(Program „Safe Harbour” został zatwierdzony przez Unię Europejską decyzją Komisji 2000/520/WE z dnia 26 lipca 2000 r. (O.J. L 215, 25.08.2000 s. 0007 – 0047). Więcej informacji o “Safe Harbour” możesz znaleźć na stronie: http://www.export.gov/safeharbor.)
Dlaczego “Safe Harbour” nie obowiązuje?
Program certyfikujący od dawna budził kontrowersje. W celu badania i rozpatrywania skarg na naruszenie zasad ochrony danych osobowych przewidzianych programem „Safe Harbour” powołany został nawet specjalny Panel składający się z przedstawicieli różnych organów ochrony danych osobowych działających w Unii Europejskiej. Każdy obywatel kraju członkowskiego mógł także złożyć skargę do swojego organu ochrony danych osobowych. Niektórzy skorzystali z tego przywileju.
Max Schrems (austriacki student prawa) zakwestionował legalność transferu danych w ramach programu “Safe Harbour”. Bezpośrednio odwoływał się do informacji ujawnionych przez Edwarda Snowdena, które wskazywały na swobodny dostęp amerykańskich służb do danych osobowych i przez to nadużywanie prawa a tym samym niezgodność z prawem Unii Europejskiej. To Snowden bowiem jako pierwszy uwidocznił ten problem światowej opinii publicznej. Ujawnione przez niego informacje stały się bodźcem do podjęciem działań i rozpoczęcia szerszej dyskusji na temat poziomu ochrony danych osobowych w Stanach Zjednoczonych i jego adekwatności do przepisów prawa unijnego.
Irlandzki organ do spraw ochrony danych osobowych odmówił rozstrzygnięcia skargi Maxa Schremsa, podnosząc, że nie ma kompetencji do kwestionowania decyzji Komisji Europejskiej. Max Schrems wniósł sprawę do irlandzkiego sądu, który zwrócił się do TSUE (Europejskiego Trybunału Sprawiedliwości) z pytaniem prejudycjalnym dotyczącym kompetencji organów ochrony danych osobowych do podważania adekwatności przepisów stwierdzonych przez Komisję Europejską.
6 października 2015r. Trybunał stwierdził nieważność decyzji Komisji stwierdzającej, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych. Streszczenie i omówienie wyroku możesz znaleźć tutaj.
Co to oznacza dla startupów?
Program Safe Harbour był wygodny dla firm w Stanach Zjednoczonych, które oferowały np. usługi SaaS dla obywateli Unii Europejskiej albo dla firm, które wprowadzały tam dane obywateli Unii Europejskiej. Korzystało z niego bardzo dużo firm zarejestrowanych w Stanach Zjednoczonych, które oferowały m.in. oprogramowanie czy infrastrukturę teleinformatyczną dla użytkowników czy też startupów z Unii Europejskiej. Z punktu widzenia polskich czy europejskich startupów zakwestionowanie “Safe Harbour” ma znaczenie o tyle, że korzystając z rozwiązań amerykańskich dostawców trzeba będzie oprzeć się na innym standardzie niż dotychczas.
Z pomocą przychodzą standardowe klauzule umowne albo wiążące reguły korporacyjne. Jeśli chodzi o standardowe klauzule umowne to:
- w przypadku jeżeli Twój startup udostępnia dane osobowe do administratora danych (startup jest np. spółką córką, partnerem itp.) mającego siedzibę w Stanach Zjednoczonych powinniście zawrzeć umowę w oparciu o klauzule umowne, które można znaleźć w załączniku na tej stronie: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF
- w przypadku jeżeli w ramach Twojego startupu powierzasz dane osobowe do firmy mającej siedzibę w USA powinniście zawrzeć umowę w oparciu o klauzule umowne, które można znaleźć w załączniku na tej stronie: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF
Wzorcowe klauzule umowne w Polsce stanowią jedną z podstaw do transferu danych osobowych poza Europejski Obszar Gospodarczy bez potrzeby uzyskiwania zgody GIODO. Jednakże Trybunał Sprawiedliwości zobowiązał krajowe organy ochrony danych osobowych do badania każdego przypadku przekazywania danych do tzw. państw trzecich i wydawania stosownych decyzji.
Odrębnym instrumentem są wiążące reguły korporacyjne (BCR), które szczególną rolę mogą odegrać w przypadku przekazywania danych osobowych w ramach międzynarodowych korporacji.
W celu przyspieszenia unijnej procedury współpracy w zakresie przeglądu BCR przez organy ochrony danych uzgodniono procedurę wzajemnego uznawania. W ramach tej procedury, gdy organ wiodący uzna, że BCR spełniają wymogi określone w dokumentach roboczych, organy ochrony danych w ramach wzajemnego uznawania akceptują tę opinie jako wystarczającą podstawę do wydania ich własnego krajowego pozwolenia na BCR lub do udzielenia pozytywnej porady organowi, który wydaje takie pozwolenie. Organowi wiodącemu w ocenie BCR pomagają wybrane dwa inne organy ochrony danych.
Oparcie się na Wiążących Regułach Korporacyjnych jest możliwe tylko w przypadku jeżeli GIODO je uznał. W przeciwnym wypadku zalecane jest skorzystanie z wzorcowych klauzul umownych.
Podsumowanie
Jeżeli w ramach Twojego startupu są przetwarzane dane osobowe i są udostępniane albo powierzane do przetwarzania firmom, które mają siedzibę na terytorium Stanów Zjednoczonych, zrewiduj koniecznie podstawę przetwarzania danych. Program “Safe Harbour” od 6 października 2015r. przestał obowiązywać co oznacza, że przekazywanie danych osobowych do Stanów Zjednoczonych będzie możliwe albo na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską, albo wiążących reguł korporacyjnych. W najbliższczym czasie zostanie także rozstrzygnięta sprawa w zakresie uznawania standardowych klauzul umownych i BCR przez Grupę Roboczą art. 29. Należy zatem przyglądać się tej sprawie bo opinia ta będzie miała duże znaczenie praktyczne.
Jeżeli masz prawnika w zespole koniecznie przeanalizuj z nim ten temat.
Beata Marek
IT&IP Lawyer, cyberlaw.pl
Analizuję innowacje e-usług i możliwości ochrony. Łączę biznes z prawem i bezpieczeństwem teleinformatycznym. Pomagam zyskać przewagę na rynku projektom internetowym i firmom technologicznym. Masz pytania? Pisz śmiało: [email protected].