W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Komisarz Ochrony Danych przeciwko Facebook Ireland Ltd. i Maximillianowi Schremsowi (sprawa C-311/18, „Schrems II”). Wydany werdykt jest wręcz rewolucyjnych z punktu widzenia ochrony danych w Unii Europejskiej.
Sprawa ma swój początek jeszcze przed kilku laty, kiedy to pochodzący z Austrii Max Schrems pozwał Komisarza Ochrony Danych w związku z przekazywaniem danych przez Facebooka z Europy do Stanów Zjednoczonych (Schrems I).
Wyrok w drugiej sprawie Schremsa uzupełnia orzeczenie TSUE z 2015 roku w sprawie Maximillian Schrems przeciwko Komisarz Ochrony Danych (sprawa C-362/14, „Schrems I”), w którym Trybunał unieważnił decyzję Komisji stwierdzającą odpowiedni stopień ochrony stanowiącą podstawę porozumienia UE-USA w sprawie ochrony danych.
W drugiej sprawie Schremsa TSUE potwierdził ważność standardowych klauzul umownych dotyczących przekazywania danych, ale unieważnił Tarczę Prywatności UE-USA. Z racji nieobowiązywania okresu przejściowego wyrok wywiera natychmiastowe skutki prawne dla ochrony danych w Unii Europejskiej.
Najważniejszym skutkiem sprawy jest unieważnienie Tarczy Prywatności. Firmy, które przekazywały dane do USA na jej podstawie, straciły podstawę do dalszego przekazywania danych. To rewolucyjna zmiana, którą przynosi wyrok TSUE ws. Schrems II.
Jeśli podstawą do przesyłania jest Tarcza Prywatności, to po 16 lipca 2020 r. już nie. Na szczęście wyrok ws. Schrems II nie wyłączył możliwości przesyłanie danych z UE do państw trzecich na podstawie standardowych klauzul umownych. Będzie jednak ono powiązane z koniecznością oceny, czy w danym państwie trzecim (tam gdzie zamierzamy przekazywać dane osobowe) przestrzegany jest stopień ochrony wymagany przez prawo UE.
My na początek zalecamy (jeżeli ktoś jeszcze tego nie zrobił) przeprowadzenie wewnętrznej inwentaryzacji stosowanych systemów informatycznych oraz podstawy prawnej przekazywania danych osobowych do państw trzecich. Wiele firm wykorzystuje narzędzia dostarczane między innymi przez Microsoft, Google, Apple czy Amazon. Należy jednak pamiętać o mniejszych dostawcach np. narzędzi marketingu i komunikacji) i wielu innych, potrzebnych szczególnie do pracy zdalnej z uwagi na stały problem związany z COVID-19.
Czekamy też na jasne wytyczne ze strony Prezesa Urzędu Ochrony Danych Osobowych. Czas pokaże jak administratorzy danych i organy państw UE dostosują się do opisanego wyroku TSUE.
Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje. Więcej w Centrum Prywatności.