Konieczność zapewnienia pełnej ochrony danych podczas ich przekazywania stanowi jeden z obowiązków nakładanych przez RODO na podmioty przetwarzające te dane i przekazujące je do państw trzecich. Określenie jednak, czy w danym przypadku zapewniono ich pełną ochronę może w praktyce okazać się problematyczne i nakładać na podmiot przekazujący konieczność zapoznania się również z odpowiednimi aktami prawnymi państwa do którego dane te przekazuje.
Przekonała się o tym niemiecka firma wydawnicza, która wykorzystywała platformę MailChimp do wysyłania biuletynu swoim subskrybentom.
Przekazywanie danych do USA – Schrems II
MailChimp to platforma online do wysyłania maili do masowego odbiorcy. Dostarczana jest przez amerykańską firmę, co wiąże się z przekazywaniem danych osób do których kierowane są maile (a więc subskrybentów), do USA. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 16 lipca 2020 r. w sprawie C-311/18 (Schrems II), orzekł że przekazywanie danych do USA opierające się wyłącznie na standardowych klauzulach umownych może okazać się niewystarczające.
Podmioty przekazujące powinny bowiem również ocenić, czy podmiot do których dane są przekazywane nie podlega przepisom dotyczącym nadzoru, czyli takim które umożliwiają organom nadzorczym danego państwa na uzyskanie dostępu do danych na podstawie przepisów prawa.
Bez znaczenia bowiem dla stosowania RODO, a tym samym dla zapewnienia ochrony danych osobowych, ma fakt, czy dane te byłyby przetwarzane przez organy władzy w celach związanych z bezpieczeństwem publicznym, obronnością czy też bezpieczeństwem państwa.
Wymagane przez przepisy RODO odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie (RODO). W sprawie Schrems II, która dotyczyła przekazywania danych do USA, znaczenie miała amerykańska ustawa dotycząca możliwości nadzoru nad dostawcami usług internetowych.
Nowe zalecenia Europejskiej Rady Ochrony Danych
Po wspomnianym orzeczeniu w sprawie Schrems II, Unia Europejska doszła do wniosku że dotychczasowe zalecenia mogą okazywać się niewystarczające. Z tego względu w listopadzie 2020 r. opublikowała w celu konsultacji zalecenia, w których wyjaśniono kiedy mogą być wymagane dodatkowe środki obok dotychczasowych standardowych klauzul umownych.
To jaki kształt przyjmą ostatecznie wytyczne nie jest jeszcze wiadome. W grudniu 2020 r. zakończył się bowiem okres konsultacji i obecnie oczekujemy na rozpatrzenie opinii i sformułowanie decyzji, która zostanie ostatecznie przyjęta przez Komisję. W tym momencie możemy jedynie spróbować zastanowić się czy nowe wytyczne będą w stanie jednoznacznie zapewnić, aby przekazywane dane osobowe były objęte poziomem ochrony równoważnym z poziomem ochrony wynikającym z RODO, a tego przecież wymaga się na gruncie tego rozporządzenia, i zgodnie ze wspomnianym orzeczeniem Schrems II. Ostateczna forma decyzji i sama praktyka pokaże, czy dodatkowe postanowienia będą mogły zagwarantować wymaganą ochronę, czy po prostu będą jedynie stanowić pomoc dla podmiotów przekazujących w sformułowaniu odpowiednich umów, zawierających klauzule, które w jak największym stopniu będą zapewniać ochronę danych równoważną z RODO.
Decyzja bawarskiego urzędu ochrony danych w sprawie MailChimp
Jak wspomniano wyżej, pewna niemiecka firma przesyłała biuletyn swoim subskrybentom przy pomocy platformy MailChimp. Jedna z osób której dane były przetwarzane przez tę firmę, wniosła skargę na to działanie do bawarskiego organu ochrony danych. Organ ten skierował się do pozwanego, wskutek czego podmiot ten zrezygnował z dalszego używania platformy.
W wydanej decyzji organ wskazał, że w przedmiotowej sprawie doszło do naruszenia przepisów o ochronie danych. Ustalono, że poza standardowymi klauzulami ochrony danych nie stosowano innych, dodatkowych środków, które mogłyby okazać się niezbędne dla ochrony przekazywanych danych.
Stwierdzono bowiem, że MailChimp jako dostawca usług łączności elektronicznej, podlega przepisom prawa amerykańskiego, które pozwalają organom nadzorczym USA na uzyskanie dostępu do danych przetwarzanych przez ten podmiot. Pomimo więc orzeczenia Schrems II jakie zapadło w lipcu 2020 r., firma nie oceniła czy należy wprowadzić dodatkowe środki zapewniające dodatkową ochronę tych danych – w związku z czym środków takich nie wprowadzono.
MailChimp, a RODO – podsumowanie
Powyższa decyzja informuje nas jedynie o przyczynach niezgodności z prawem używania MailChimp w konkretnym stanie faktycznym. Przedstawiona decyzja nie wskazuje bowiem na ogólną nielegalność MailChimpa, ale na to, że jest to podmiot wobec którego należy zastosować dodatkowe środki ochronne w związku z przekazywaniem danych.
Niestety z uwagi na to że pozwany nie podjął żadnych dodatkowych środków, nadal nie wiemy jakie działania mogłyby okazać się wystarczające do zagwarantowania wymaganej ochrony danych w niniejszej sprawie (w tym względzie możemy oczekiwać na wytyczne Europejskiej Rady Ochrony Danych). Gdyby bowiem jakieś działania podjęto, bawarski organ ochrony danych oceniłby wówczas ich skuteczność, co stanowiłoby niezwykle cenną informację dla wszystkich podmiotów przekazujących dane poza EOG/UE, a które jak widać na gruncie tej decyzji, zobowiązane są do dokonania oceny czy odbierający dane podlega przepisom dotyczącym nadzoru, które są niezgodne z prawem Unii Europejskiej.
Decyzja ta stanowi więc teraz cenną wskazówkę dla podmiotów przekazujących dane poza EOG/UE w ogólności, i ostrzeżenie dla tych korzystających z platform typu MailChimp. W niniejszej sprawie z uwagi na niską wrażliwość przekazywanych danych, na które składały się wyłącznie adres e-mail, oraz z uwagi na to że do działań tych doszło jedynie kilka razy, urząd odstąpił od wymierzenia kary grzywny. Pomimo tego, podmioty przekazujące dane powinny zachować ostrożność i pamiętać, że kolejne oceny mogą być mniej pobłażliwe, szczególnie po nadaniu ostatecznego kształtu decyzji zawierających wytyczne w sprawie dodatkowych środków ochrony.