GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Schrems II – rok później

Schrems II – rok później

Już prawie rok temu TSUE wydał wyrok w głośnej sprawie, tzw. Schrems II. TSUE uznał w tym wyroku za nieważną decyzję wykonawczą Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Zaraz po wyroku, wydawało się, że w związku z wyrokiem nastąpi efekt mrożący i przekazywanie danych do Stanów co najmniej zmniejszy się. Czy jednak jakaś zmiana nastąpiła?

Dla podmiotów, które były stronami sprawy Schrems II spór ciągle jest w toku. Pomimo wydanego przez TSUE orzeczenia, Facebook nie zaprzestał przekazywania danych osobowych do Stanów Zjednoczonych. Swoją decyzję uzasadniał niestałością prawa i niedostosowaniem prawa do aktualnej sytuacji na rynku. Ponadto, Facebook zwrócił się do Irlandzkiego Sądu Najwyższego o wstrzymanie wstępnej decyzji organu irlandzkiego w sprawie przepływu danych. Wnioski Facebook dotyczyły kwestii proceduralnych m.in. przedwczesności decyzji oraz zbyt małej ilości czasu na udzielenie wyjaśnień. W związku z wniesionymi wnioskami wstępna decyzja organu została zawieszona. W połowie maja 2021 r. Irlandzki Sąd Najwyższy oddalił wszystkie wnioski Facebook.

Organ irlandzki (DPC) prowadzi dwa postępowania, z urzędu oraz w związku z wniesioną przez Maxa Schremsa skargą wobec Facebook, które mogą skutkować nałożeniem administracyjnych kar pieniężnych oraz nakazaniem zawieszenia przepływu danych do państw trzecich. W związku z toczącymi się przed DPC postępowaniami, oczekiwane jest wydanie przez niego decyzji jeszcze latem tego roku. Spodziewana decyzja, najprawdopodobniej będzie skutkować zakazem przekazywania danych do Stanów Zjednoczonych.

Max Schrems w ramach swojej organizacji NOYB w dalszym ciągu dąży do tego, by giganci technologiczni zaprzestali przesyłania danych osobowych do Stanów Zjednoczonych. Dlatego też złożył 101 skarg do różnych krajowych organów nadzorczych wobec administratorów, którzy jego zdaniem nie dostosowali swoich działań do wyroku TSUE. Jedna ze skarg dotyczyła Google LLC i została skierowana do organu austriackiego. Postępowanie prowadzone przez organ austriacki może zakończyć się nałożeniem administracyjnej kary pieniężnej w wysokości do 6 mld euro.

Tymczasem, inne podmioty, które do czasu wydania wyroku Schrems II przekazywały dane do Stanów Zjednoczonych na podstawie Tarczy Prywatności musiały podjąć działania, aby zalegalizować swoje praktyki.

W przypadku grup kapitałowych, w których część organizacji znajduje się w krajach trzecich mogły zostać wprowadzone wiążące reguły korporacyjne (BCR). BCR możemy nazwać wewnętrznymi aktami prawa w grupach kapitałowych dotyczącymi ochrony danych osobowych. Ujednolicają i regulują m.in. przekazywanie danych osobowych pomiędzy spółkami jednej grupy kapitałowej. Jednak, w ramach EROD obecnie prowadzone są prace, które mają na celu zaktualizowanie wytycznych potwierdzających możliwość przekazywania danych pomiędzy podmiotami na podstawie BCR-ów. W przypadku podjęcia decyzji o zmianie wytycznych będzie istniała konieczność zaktualizowania obowiązujących w korporacjach BCR’ów.

Inne rozwiązanie to wykorzystanie standardowych klauzul umownych (SCC). Niedawno Komisja Europejska opublikowała zaktualizowane zestawy SCC, w tym dotyczących przekazywania danych osobowych do państw trzecich. Opublikowany zestaw klauzul uwzględnia niedawny wyrok TSUE w sprawie Schrems II.

W międzyczasie trwają wspólne prace Komisji Europejskiej oraz przedstawicieli administracji Stanów Zjednoczonych nad kolejną umową, która miałaby zastąpić uchyloną Tarczę Prywatności. Możliwe, że więcej informacji dotyczących tego porozumienia zostanie ujawnionych podczas najbliższego czerwcowego szczytu USA-UE.

Z całą pewnością wyrok TSUE w sprawie Schrems II przyprawił wielu ekspertów ochrony danych o ból głowy i zmusił do opracowania na nowo podstaw dla przekazywania danych do Stanów Zjednoczonych. Ochrona danych jest dziedziną, która nieustanie się rozwija i zmienia. Dlatego nawet jeśli raz ustaliliśmy podstawy przekazywania danych osobowych do krajów trzecich nie znaczy to, że nasza praca skończyła się. Najważniejsze to ciągłe monitorowanie i poszerzanie swojej wiedzy, tak by nasze rozwiązania w organizacji były dostosowane do aktualnych rozwiązań.

Polecamy także:

Amerykańskie echa wyroku TSUE

Przekazywanie danych do USA ponownie pod znakiem zapytania – część I

Przekazywanie danych do USA ponownie pod znakiem zapytania – część II

Przekazywanie danych do USA ponownie pod znakiem zapytania – część III

 

 

 

Autor: Redakcja
Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter