Każda skarga jest złożona w imieniu konkretnej, indywidualnej osoby, dotyczą one polskich firm nadal korzystających z usług Google Analytics lub Facebook Connect, mimo że obie spółki podlegają przepisom o inwigilacji w USA. - Tych 101 skarg jest identycznych i nawiązuje do filmu "101 dalmatyńczyków" - można je przeczytać na stronie internetowej organizacji.
Czytaj: Wyrok TSUE zmienia praktykę przekazywania danych m.in. do USA>>
Uwaga na narzędzia
- Organizacja związana z aktywistą austriackim Maximilianem Schremsem tuż po wyroku poszła za ciosem. Skargi pojawiły się po orzeczeniu, ale przed zmianami w regulaminach Google i Facebooka - komentuje dr Arwid Mednis, wspólnik z kancelarii Kobylańska Lewoszewski Mednis. – Wystarczyło wejść na stronę danego podmiotu, sprawdzić czyich narzędzi analitycznych używa administrator i jeśli były to popularne narzędzia, których użycie powodowało transfer danych do USA, wówczas zadanie było proste – wystarczyło złożyć skargę do danego organu krajowego. Organizacja noyb jest pełnomocnikiem tych skarżących się na naruszenia osób, których na razie nie znamy, bo ich nazwiska zostały zanonimizowane. Co więcej organizacja zapowiedziała, że to dopiero początek akcji, że będą się skarżyć na kolejne instytucje, które używały i używają tych narzędzi analitycznych. Nie wiemy kto znajdzie się na celowniku noyb, ale o wadze sprawy świadczy to, że Europejska Rada Ochrony Danych Osobowych powołała specjalną grupę, która ma przyjrzeć się skargom. Być może organy ochrony danych, w tym nasz Prezes Urzędu Ochrony Danych Osobowych, wypracują wspólne podejście do sprawy – dodaje dr Mednis.
Skargi wpłynęły zarówno do Prezesa Urzędu Ochrony Danych Osobowych, jak i do organów nadzorczych w innych państwach członkowskich UE - potwierdza Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
- Co prawda są one rozpatrywane indywidualnie, niemniej ich charakter jest podobny
Jednak podkreślam, że w opinii Prezesa UODO konieczne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD - wyjaśnia rzecznik.
Stanowisko organizacji: cel wstrzymanie współpracy z USA
Skoro administratorzy i odbiorcy danych nie stosują się do swoich obowiązków nałożonych na nich przez Trybunał w pkt 134 wyroku, postanowiliśmy sprawdzić, jak krajowe urzędy ochrony danych osobowych zareagują na takie łamanie prawa - wyjaśnia Ala Krinickytė, prawniczka ds. ochrony danych osobowych w organizacji noyb w artykule na stronach Fundacji Panoptykon. - Zgodnie z wyrokiem to właśnie one są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do państwa trzeciego, w którym prawo nie gwarantuje właściwej ochrony danych osobowych - dodaje.
- Zauważyliśmy jednak, że po upływie miesiąca od wydania wyroku Trybunału wiele europejskich firm nie podjęło żadnych działań, i w związku z tym postanowiliśmy zareagować - twierdzi prawniczka. - Skargi, które złożyliśmy są przypomnieniem dla administratorów danych osobowych w Unii Europejskiej, że mają oni obowiązek zastosować się do wyroku TSUE i zaprzestać współpracy z firmami amerykańskimi, które przekazują dane osobowe Europejczyków agencjom wywiadu USA. Jesteśmy świadomi tego, że prawo w Stanach Zjednoczonych szybko się nie zmieni. Właśnie dlatego oczekujemy, że firmy europejskie, w tym polskie, zaprzestaną współpracy z takimi firmami jak Google czy Facebook - podkreśla.
Żądanie wobec firm
Według Krinickytė organy nadzorcze, w tym polski UODO, mają kompetencje do zatrzymania transferów danych przez administratorów wskazanych w skargach. Oprócz wprowadzenia zakazu lub zawieszenia przekazywania danych do USA żądania wobec tych firm obejmują:
- zbadanie, jakie dokładnie dane osobowe zostały przekazane przez polskie podmioty do Google i Facebook w USA;
- na jaki mechanizm przekazywania danych uregulowany w RODO podmioty polskie się powoływały;
- czy postanowienia regulaminów Google’a i Facebooka w tym zakresie są zgodne z RODO.
Warte podkreślenia jest, że organizację noyb - European Center for Digital Rights, założył dwa lata temu austriacki prawnik Maximilian Schrems i to on dwukrotnie wygrał sprawy przed Trybunałem Sprawiedliwości UE.
Błyskawiczne obowiązywanie wyroku
Trybunał UE nie odroczył w przypadku sprawy Schrems II (sygn. C‑311/18) skuteczności swego orzeczenia w czasie. Oparł wyrok na ocenie “Privacy Shield” - Tarczy Prywatności - określającej mechanizm legalizujący przetwarzanie danych. Tak więc z dnia na dzień okazało się, że przedsiębiorstwa przetwarzają dane nielegalnie - wyjaśnia sytuację dr Marcin Kawecki, współtwórca polskiej ustawy o ochronie danych osobowych, obecnie dziekan Wyższej Szkoły Bankowej.
- Część firm nie zdążyła dostosować się do nowych realiów, więc niektóre polskie firmy działają bezprawnie. Skargi organizacji nyob do krajowych urzędów ochrony danych osobowych są zatem jak najbardziej zasadne - twierdzi dr Kawecki. - Innymi zasadami przetwarzania jest przyjęcie wiążących reguł korporacyjnych, albo zaaprobowanie standardowych klauzul umownych, a to wymaga czasu. Niektóre przedsiębiorstwa nie zdążyły z uregulowaniem tych spraw - stwierdza ekspert.
Bartosz Wojciechowski z kancelarii prawnej Answer przypomina, że wobec unieważnienia Tarczy Prywatności administratorzy danych osobowych mają dwa rozwiązania:
- albo zaprzestaną korzystania z przechowywania danych obywateli UE korzystając z podmiotów amerykańskich,
- albo znajdą inną, odpowiednią podstawę przetwarzania. Taką podstawą (pod pewnymi warunkami) może być np. korzystanie ze standardowych klauzul umownych lub wyjątków określonych w art. 49 RODO. Z wyroku Trybunału wiemy już, że prawo USA nie chroni w równym stopniu danych osobowych, jak prawo UE, ale dokonując zasadności transferu powinniśmy przeprowadzić ocenę bezpieczeństwa danych uwzględniającą wszelkie jego okoliczności.
W skargach przeciwko europejskim podmiotom (w tym także spółkom polskim) organizacja nyob Maxa Schremsa wskazuje na dalsze korzystanie z rozwiązań Google Analytics czy Facebook Connect i na tej podstawie wywodzi brak podstaw dla takiego transferu do USA. Na uwagę zasługuje przede wszystkim czy korzystanie z usługi Facebook Connect będzie wiązało się z naruszeniem RODO skoro na uruchomienie usługi ma wpływ sam użytkownik (klient) Facebooka. Na rozstrzygnięcie w tych sprawach decydujący jednak wpływ będzie miało przygotowanie do korzystania z tych narzędzi przez skarżone spółki.
- Konsekwencją transferu danych do USA bez należytej podstawy prawnej, może być kara administracyjna nakładana przez organ nadzorczy, a także roszczenia odszkodowawcze ze strony osób, których dane podlegały transferowi - mówi mec. Wojciechowski.
