16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Schrems II, w którym stwierdził nieważność Tarczy Prywatności (Privacy Shield) umożliwiającej do tej pory transfer danych osobowych z UE do USA. TSUE w tym samym wyroku odniósł się również do stosowania standardowych klauzul umownych (SCC). Stwierdził, iż ich stosowanie przez cały czas jest możliwe, aczkolwiek do administratora danych lub podmiotu przetwarzającego należy sprawdzenie czy prawo państwa trzeciego zapewnia adekwatną ochronę danych osobowych, a o ile tak nie jest, to podmioty te powinny wprowadzić dodatkowe zabezpieczenia lub w braku takiej możliwości zawiesić lub w ogóle zakończyć transfer danych do tego państwa. Głównie chodzi w tym przypadku o USA.
Na co dzień większość z nas stara się chronić własną prywatność i prywatność swoich klientów. Bulwersują Cię pewnie takie wiadomości jak ta, iż ZUS podczas kontroli zwolnień lekarskich scrolluje fejsa w poszukiwaniu zdjęć z wakacji w okresie objętym L4. W USA natomiast legalne jest przekazywanie przez serwisy społecznościowe danych osobowych użytkowników sieci nie będących obywatelami amerykańskimi takim podmiotom jak NSA, FBI czy CIA.
Przechodząc do tzw. ad remu należałoby w tej chwili zastanowić się, czy ten wyrok TSUE ma wpływ na Twoją pracę.
Jak przypuszczam, większość z Was przetwarza dane osobowe swoich klientów na podstawie udzielonej przez nich zgody. I to przez cały czas jest OK, z tym iż w tej chwili (moim zdaniem) na Tobie jako administratorze danych osobowych spoczywa dodatkowy obowiązek poinformowania klienta o ryzyku, z jakim wiąże się ta zgoda. To znaczy – Twój klient powinien zostać poinformowany, iż jego dane osobowe zostaną przekazane do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony danych. Ten obowiązek wynika (i wynikał) z art. 49 RODO, natomiast teraz wydaje mi się, iż w obliczu wyroku w sprawie Schrems II przekazywanie danych do USA stało się ryzykowne, bowiem wprost stwierdzono, iż państwo to nie zapewnia takich standardów ochrony danych osobowych jak unijne.
Zgoda przez cały czas powinna być wyraźna, szczegółowa oraz świadoma – to się nie zmieniło. Jednak Twój klient powinien mieć świadomość ryzyka, jakie niesie za sobą udzielenie tej zgody.
Poza tym, część z Was korzysta prawdopodobnie z takich serwisów jak Smart Albums czy Smart Slides (oba są własnością Pixellu), PicTime, Shootproof, Fundy, AlbumWorks czy Pixieset, których serwery znajdują się w USA.
Do momentu opublikowania oficjalnego stanowiska EROD w sprawie wytycznych dotyczących stosowania SCC rozsądnym byłoby rozważenie skorzystania z serwisów rodzimych, jak np. Zalamo.
Zdaję sobie sprawę, iż część z Was w głębokim poważaniu ma kwestie związane z ochroną danych osobowych… Tę część serdecznie pozdrawiam i upraszam o powstrzymanie się od wypowiedzi typu „a dajcie już spokój z tym RODO”.
Daleko jestem również od zajmowania jednoznacznego stanowiska w sprawie dotychczas stosowanych przez Was narzędzi pracy. Jako prawnik zalecam ostrożność i wskazuję na ryzyko w związku z omawianym wyrokiem TSUE. Co każdy z Was zrobi z tą informacją, to już zależy tylko i wyłącznie od Was
Dla bardziej dociekliwych polecam lekturę dokumentu opublikowanego przez EROD, gdzie znajdziecie odpowiedzi na najczęściej zadawane pytania.
Pozdrawiam z podlaskiej filii kancelarii na boso i szlafroku
- Photo by Shahadat Rahman on Unsplash