Wprowadzenie do zagadnienia
W dzisiejszej publikacji poruszymy temat związany z nielegalnym transferem danych osobowych z Europy do USA. Wyjaśnimy za co dokładnie Uber otrzymał aż 290 milionów EURO kary.
Tytułem wstępu należy powtórzyć, że do naruszeń w zakresie nielegalnego transferu danych osobowych, słyszymy ostatnimi czasy niezwykle często. Pokazuje to tylko skalę zaniedbań oraz wskazuje na to, że przestrzeń dookoła ochrony danych osobowych musi w dalszym ciągu być solidnie nadzorowana, gdyż nawet (a czasem w szczególności) duże przedsiębiorstwa nie posiadają stosownych mechanizmów, które mogą uchronić nasze dane przed wyciekiem do innych krajów, często nie posiadają realnych, dobrych praktyk, które mogłyby przeciwdziałać tego typu niepożądanym zjawiskom na rynku usług cyfrowych.
Kara 290 milionów EURO dla Ubera i co dalej?
Wyjaśnijmy, że Uber otrzymał karę w wysokości aż 290 milinów EURO od holenderskiego organu nadzorczego za brak odpowiedniego zabezpieczenia transferów danych z Europy do USA w latach 2021-2023. Dokładnie rzecz ujmując Uber przesyłał dane swoich kierowców do siedziby głównej, która znajduje się w USA, bez użycia odpowiednich mechanizmów transferu wskazanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zw. dalej: „RODO”, w szczególności standardowych klauzul umownych.
Uber naruszył art. 44 RODO
Tak. Dokładnie chodziło o naruszenie art. 44 RODO. Przypomnijmy w tym miejscu – przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.
Uber nie wdrożył odpowiednich zabezpieczeń w zakresie przekazywania danych z Europy do USA, co stanowiło wprost naruszenie art. 44 RODO. Tak wysoka kara finansowa i wytyczne holenderskiego organu nadzorczego mają spowodować, aby tego typu sytuacje nie występowały w przyszłości, szczególnie, że mowa jest o przekazaniu do USA danych wrażliwych kierowców platformy Uber.
Podsumowanie – Nowe Transatlantyckie Ramy Ochrony Danych Osobowych
Uber nie stosował standardowych klauzul umownych od sierpnia 2021 r. To właśnie dzięki interwencji holenderskiego organu
nadzorczego, od końca 2023 r. Uber korzysta już z następcy Tarczy Prywatności (z języka ang. Privacy Shield), która została
zanegowana – Transatlantyckich Ram Ochrony Danych (z języka ang. Data Privacy Framework – DPF). Od tego momentu
(10 lipca 2023 r.) Komisja Europejska przyjęła decyzję o adekwatnym stopniu ochrony danych w relacji Unia Europejska a USA.
Krok ten należy ocenić niezwykle pozytywnie, szczególnie, że europejskie regulacje w zakresie ochrony danych osobowych
rozwijają się cały czas i są na stosunkowo wysokim poziomie.
Całość oznacza, że kierunek działania jest niezwykle przełomowy i oznacza solidne wzmocnienie w przestrzeni
ochrony danych osobowych, które jak pokazuje doświadczenie, nie były należycie chronione na podstawie
Tarczy Prywatności (Privacy Shield), która okazała się nieskuteczna.