TSUE stwierdził że:
- Przekazywanie danych osobowych do państw trzecich na podstawie standardowych klauzul umownych (SCC) powinno być poprzedzone analizą, czy odpowiedni stopień ochrony danych jest przestrzegany w danym państwie,
- Decyzja Komisji Europejskiej w sprawie Tarczy Prywatności (Privacy Shield) zostaje unieważniona z uwagi na ryzyko znacznej ingerencji służb amerykańskich w prawa podstawowe podmiotów danych.
Co to oznacza?
Wyrok TSUE oznacza w praktyce, że transfery danych osobowych dokonywane z Unii Europejskiej do USA w ramach Tarczy Prywatności stały się z dnia na dzień nielegalne. TSUE nie przewidział żadnego okresu przejściowego. Legalną podstawą transferu danych do USA oraz pozostałych państw trzecich mogą być min. standardowe klauzule umowne, przy czym administrator powinien w każdym przypadku ocenić, czy odpowiedni stopień ochrony danych jest przestrzegany w Państwie trzecim.
W konsekwencji, w przypadku przekazywania danych osobowych do państwa trzeciego na podstawie standardowych klauzul umownych (również w ramach jednej grupy kapitałowej), podmiot przekazujący dane powinien dokonać indywidualnej oceny stopnia ochrony danych z uwzględnieniem nie tylko postanowień umownych, ale również przepisów prawa kraju, do którego dane są wysyłane.
Jak możemy Państwa wesprzeć?
W związku ze zwiększonym ryzykiem związanym z przesyłaniem danych do USA oraz innych krajów trzecich, możemy:
- Przeanalizować dokumentację i praktyki dotyczące ochrony danych w Państwa firmie
- Przeprowadzić weryfikację legalności podstawy przekazywania danych osobowych do państw trzecich
- Przedstawić ryzyka związane ze stosowaniem dotychczasowych metod przekazywania danych do państw trzecich
- Przedstawić propozycje alternatywnych środków zabezpieczających transfer danych osobowych za granicę
