Korzystasz z popularnych narzędzi do wysyłki newslettera? Zapisujesz dane klientów w CRM? Masz na stronie sklep czat dla klientów? Jeśli ich dostawcy mają siedziby w USA i tam też przekazują dane – obecnie jest to nielegalne – chyba że poinformujesz o tym użytkowników.
Ponad 5000 podmiotów dostarczających usługi IT – narzędzia wspomagające sprzedaż, hostingodawcy, CRMy, chmury danych czy systemy wysyłki maili ma od dzisiaj nie lada problem. Za sprawą Maxa Schremsa- austriackiego aktywisty ponownie podważono porozumienie międzynarodowe stwierdzające, że USA (a dokładniej firmy z tego kraju zrzeszone w programie Privacy Shield) gwarantuje odpowiedni poziom bezpieczeństwa danych i realizacji praw, jakie daje RODO. Oznacza to, że przekazanie danych osobowych do USA – czyli korzystanie z usług podmiotów mających np. swoje serwery w Stanach Zjednoczonych nie ma obecnie podstawy prawnej.
Co to oznacza dla sprzedawcy internetowego?
O tym że przekazanie danych osobowych do USA może być problematyczne pisaliśmy już nieraz. Zgodnie z art. 45 RODO przekazanie danych do państwa trzeciego (czyli przetwarzającego dane poza Europejskim Obszarem Gospodarczym – kraje Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein) jest możliwe tylko wtedy, kiedy takie państwo zapewnia odpowiedni (czyli równy europejskiemu) poziom bezpieczeństwa:
Art. 45 RODO
- Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
Decyzje na temat odpowiedniego poziomu bezpieczeństwa podejmuje Komisja Europejska, jednak jak dotąd wydała je tylko dla: Andory, Argentyny, Kanady, Izraela, Japonii, Nowej Zelandii, Szwajcarii, Urugwaju oraz dla Stanów Zjednoczonych, ale tylko wobec podmiotów wpisanych do porozumienia Privacy Shield.
I właśnie to porozumienie zostało podważone, jako nieskuteczne. Oznacza to, że od 16 lipca 2020 r. nie mamy podstawy prawnej do przekazywania danych firmom takim jak:
- MailChimp (email marketing)
- HubSpot (marketing i CRM)
- Livechat (czat na stronie)
- Salesforce (CRM)
- Pipedrive (chmura, dostawa oprogramowania)
- Insightly (CRM, Marketing Automation)
- Zoom (wideokonferencje)
- Discord (komunikacja, wymiana danych)
- Bitrix (CRM)
Pełna lista podmiotów zrzeszonych w Privacy Shield znajduje się tutaj: https://www.privacyshield.gov/list
Korzystam z usług firmy z programu – jak żyć, co robić?
Podważenie instrumenty prawnego, który umożliwiał legalne przekazanie danych do USA oznacza, że powinniśmy poinformować o tym naszych klientów, użytkowników i inne osoby, których dane przetwarzamy. Wymaga tego art. 13 RODO:
Administrator podczas pozyskiwania danych informuje o:
(…) gdy ma to zastosowanie –o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
I te informacje powinny pojawić się w miejscu, w którym zbieramy dane dla danego podmiotu – np. formularzu zapisu na newsletter czy w przypadku integracji z CRM – przy formularzu zamówienia.
Oczywiście samo poinformowanie nie wystarczy – tutaj powinny pojawić się również odpowiednie zapisy umowne, gwarantujące odpowiedni poziom bezpieczeństwa (np. w regulaminach świadczenia usługi). Dlatego też zalecamy:
- Zweryfikuj firmy, którym powierzasz dane osobowe i ustal które z nich transferują je do USA.
- Sprawdź na stronie: https://www.privacyshield.gov/list czy firma wpisana była do porozumienia.
- Jeśli tak – uzupełnij klauzulę informacyjną lub politykę prywatności.
- Następnie zweryfikuj daną firmę pod kątem spełnienia wymogów RODO – zwykle komunikaty takie umieszczone są na stronie internetowej dostawcy (np. zakładki: GDPR, GDPR Compliance, Data Privacy etc.) lub w umowie powierzenia przetwarzania danych osobowych (ang. data processing agreement – DPA). Jeśli firma dokładnie i rzetelnie opisuje w jaki sposób zapewnia realizację praw podmiotów danych i spełnienie innych wymogów RODO, zawiera umowę powierzenia przetwarzania dalsze korzystanie z jej usług nie powinno stanowić problemu. Nadal nie mamy w takim przypadku podstawy prawnej przekazania danych poza EOG, jedna możemy przynajmniej wykazać dołożenie należytej staranności przy wyborze dostawcy.
Jednocześnie zaznaczamy – najbezpieczniej w świetle obecnej decyzji byłoby zaprzestać korzystania z usług takiej firmy i przekazywania jej danych osobowych. Zdajemy sobie jednak sprawę, że w praktyce firmy nie zaprzestaną takiej praktyki z dnia na dzień tylko na podstawie jednej decyzji – dlatego pozostaje weryfikacja i dokładnie należytej staranności.
A co z gigantami? Microsoft, Google, Facebook
Skarga Maxa Schremsa, która doprowadziła do zniesienia porozumienia dotyczyła transferu danych dokonywanego przez Facebooka. Czy w takim przypadku prowadzenie fanpage na Facebooku jest nielegalne? NIE!
W przypadku serwisów społecznościowych najczęściej mamy do czynienia z przetwarzaniem danych użytkowników tych serwisów, a więc osób, które już wcześniej przekazały firmie swoje dane. Całość odbywa się w oparciu o regulamin (umowę), a każda osoba musiała zaakceptować politykę prywatności danego serwisu. Mamy co prawda decyzję niemieckiego sądu o współadministrowaniu danymi, jednak delikatnie mówiąc – jest ona co najmniej nieżyciowa. Ponownie pozostaje więc staranność i rzetelne informowanie (przypominamy, że na fanpage również powinna pojawić się klauzula informacyjna).
Jeśli chodzi o innych gigantów – jak. Np. Google czy Microsoft, to w praktyce niewiele możemy zrobić. Zaprzestanie korzystania z usług np. Googla oznaczałoby śmierć dla wielu sklepów i biznesów. Pozostaje więc czekać, aż te firmy wypracują odpowiednie rozwiązania – Microsoft przykładowo gwarantuje przy wielu usługach, że dane nie są transferowane do USA i znajdują się tylko na serwerach zlokalizowanych w Europie. Google z kolei przygotowuje się do wdrożenia tzw. standardowych klauzul umownych (o czym w ostatnim czasie informowało użytkowników).
Podsumowanie
Niestety najnowsza decyzja Komisji Europejskiej rodzi wiele niejasności. Nie jest ona dużym zaskoczeniem, ponieważ można było się jej spodziewać – dlatego też od dłuższego czasu sugerujemy poważne zastanowienie się nad korzystaniem narzędzi, które przekazują dane do USA. W obecnej sytuacji pozostaje nam weryfikacja i dołożenie odpowiedniej staranności przy informowaniu naszych użytkowników i klientów, że ich dane mogą trafić do USA oraz oczekiwanie na rozwój sytuacji.