
La décision de la Cour de Justice de l’Union européenne dans l'affaire C-311/18 - Comité à la protection des données contre Facebook Ireland et Maximillian Schrems a été largement reprise en Pologne, tant par les experts en protection des données personnelles que par les entrepreneurs polonais. Certains sceptiques ont d'abord pensé que l'arrêt de la CJUE pourrait ne pas avoir un grand impact sur le marché. Il s'est rapidement avéré l’inverse. Notre expérience démontre que de nombreux administrateurs de données personnelles en Pologne ont repris les contrats conclus pour confier le traitement de données personnelles afin d'éliminer la possibilité de transférer des données personnelles aux États-Unis. De telles démarches juridiques sont encouragées, entre autres, par une initiative du NOYB (Centre européen pour les droits numériques) - une organisation fondée par M. Schrems. Le NOYB a déposé 101 plaintes auprès des autorités de protection des données contre des entreprises de 30 États membres de l'EEE qui, après le jugement, transfèrent encore des données à des entreprises situées aux États-Unis (Google et Facebook). Parmi les entités contre lesquelles des plaintes ont été déposées auprès de l'autorité de contrôle, on compte 5 sociétés de Pologne.
L'opinion fréquemment retenue est que l'arrêt de la CJUE affectera des services davantage axés sur les consommateurs. Dans le cas d'une offre adressée aux entreprises qui établissent leurs environnements informatiques en nuage, la possibilité de choisir et de garantir l'emplacement est une option évidente. Dans la pratique des entreprises polonaises, en particulier dans les secteurs réglementés, il existe déjà une hypothèse de stockage et de traitement des données dans l'Espace économique européen. Les principaux fournisseurs offrent depuis longtemps la possibilité de traiter les données dans un lieu choisi par le client parmi plusieurs dizaines disponibles, y compris dans l'Espace économique européen. En Pologne, il existe également des initiatives visant à implanter des centres de données dans le pays. La plus importante d'entre elles est le "National Cloud", dont les partenaires stratégiques sont Google et Microsoft, lesquels ont l'intention de lancer leurs centres de données en Pologne.
Jusqu'à présent, nous n'avons reçu aucune décision officielle de l'autorité de contrôle polonaise (le Président de l'Office pour la Protection des Données Personnelles) sur les conséquences pratiques de l'arrêt dans l'affaire C-311/18. Le Président de l'Office de Protection des Données Personnelles a seulement fait des déclarations informant sur le contenu de l'arrêt rendu, dans lesquelles il a souligné la nécessité d'une approche cohérente de l'évaluation des conséquences de l'arrêt de la CJUE dans toute l'Union européenne et la nécessité d'actions communes à cet égard par les autorités nationales de contrôle coopérant au sein du Comité européen de protection des données (CEPD).
Le 11 novembre 2020, le Comité européen de la protection des données a publié les très attendues "Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l'UE". Il est cependant un peu tôt pour juger dans quelle mesure les entrepreneurs, qui transfèrent des données personnelles vers les États-Unis, pourront se conformer aux lignes directrices émises.
L'opinion fréquemment retenue est que l'arrêt de la CJUE affectera des services davantage axés sur les consommateurs. Dans le cas d'une offre adressée aux entreprises qui établissent leurs environnements informatiques en nuage, la possibilité de choisir et de garantir l'emplacement est une option évidente. Dans la pratique des entreprises polonaises, en particulier dans les secteurs réglementés, il existe déjà une hypothèse de stockage et de traitement des données dans l'Espace économique européen. Les principaux fournisseurs offrent depuis longtemps la possibilité de traiter les données dans un lieu choisi par le client parmi plusieurs dizaines disponibles, y compris dans l'Espace économique européen. En Pologne, il existe également des initiatives visant à implanter des centres de données dans le pays. La plus importante d'entre elles est le "National Cloud", dont les partenaires stratégiques sont Google et Microsoft, lesquels ont l'intention de lancer leurs centres de données en Pologne.
Jusqu'à présent, nous n'avons reçu aucune décision officielle de l'autorité de contrôle polonaise (le Président de l'Office pour la Protection des Données Personnelles) sur les conséquences pratiques de l'arrêt dans l'affaire C-311/18. Le Président de l'Office de Protection des Données Personnelles a seulement fait des déclarations informant sur le contenu de l'arrêt rendu, dans lesquelles il a souligné la nécessité d'une approche cohérente de l'évaluation des conséquences de l'arrêt de la CJUE dans toute l'Union européenne et la nécessité d'actions communes à cet égard par les autorités nationales de contrôle coopérant au sein du Comité européen de protection des données (CEPD).
Le 11 novembre 2020, le Comité européen de la protection des données a publié les très attendues "Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l'UE". Il est cependant un peu tôt pour juger dans quelle mesure les entrepreneurs, qui transfèrent des données personnelles vers les États-Unis, pourront se conformer aux lignes directrices émises.
The Privacy Shield in Poland
“Our experience shows that many personal data administrators in Poland have verified the contracts concluded for entrusting the processing of personal data in order to eliminate the possibility of transferring personal data to the USA.”
The verdict of Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems was widely echoed in Poland both among personal data protection experts and Polish entrepreneurs. Some sceptics initially thought that the CJEU judgment might not have a large impact on the market. It quickly turned out otherwise. Our experience shows that many personal data administrators in Poland have verified the contracts concluded for entrusting the processing of personal data in order to eliminate the possibility of transferring personal data to the USA. Such legal steps are encouraged, among others, by an initiative of NOYB (European Center for Digital Rights) – an organization founded by Mr. Schrems. NOYB filed 101 complaints with data protection authorities against companies in 30 EEA Member States, which after the judgement still transfer data to companies located in the USA (Google and Facebook). Among the entities against which complaints were submitted to the supervisory authority, there are 5 companies from Poland.
A frequently repeated view is that the CJEU judgment will affect more consumer-oriented services. In the case of an offer addressed to companies that establish their IT environments in the cloud, the ability to choose and guarantee the location is an obvious option. In the practice of Polish companies, in particular in regulated sectors, there is already an assumption of data storage and processing in the European Economic Area. Leading suppliers have long offered the possibility of processing data in a location chosen by the customer from among several dozen available, also in the European Economic Area. In Poland, there are also initiatives to locate data centers in Poland. The largest of them is the National Cloud, whose strategic partners are Google and Microsoft, who intend to launch their data centers in Poland.
So far, we do not have an official position from the Polish supervisory authority (the President of the Office for Personal Data Protection) on the practical consequences of the judgment in case C-311/18. The President of the Personal Data Protection Office has issued only statements providing information about the content of the judgment, in which he emphasized the need for a consistent approach to the assessment of the consequences of the CJEU judgment throughout the European Union and the necessity of joint actions in this regard by national supervisory authorities cooperating within the European Data Protection Council (EDPB).
On November 11 2020 the European Data Protection Board issued the long-awaited “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”. It is too early to judge to what extent entrepreneurs transferring personal data to the US will be able to comply with the guidelines issued.
The verdict of Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems was widely echoed in Poland both among personal data protection experts and Polish entrepreneurs. Some sceptics initially thought that the CJEU judgment might not have a large impact on the market. It quickly turned out otherwise. Our experience shows that many personal data administrators in Poland have verified the contracts concluded for entrusting the processing of personal data in order to eliminate the possibility of transferring personal data to the USA. Such legal steps are encouraged, among others, by an initiative of NOYB (European Center for Digital Rights) – an organization founded by Mr. Schrems. NOYB filed 101 complaints with data protection authorities against companies in 30 EEA Member States, which after the judgement still transfer data to companies located in the USA (Google and Facebook). Among the entities against which complaints were submitted to the supervisory authority, there are 5 companies from Poland.
A frequently repeated view is that the CJEU judgment will affect more consumer-oriented services. In the case of an offer addressed to companies that establish their IT environments in the cloud, the ability to choose and guarantee the location is an obvious option. In the practice of Polish companies, in particular in regulated sectors, there is already an assumption of data storage and processing in the European Economic Area. Leading suppliers have long offered the possibility of processing data in a location chosen by the customer from among several dozen available, also in the European Economic Area. In Poland, there are also initiatives to locate data centers in Poland. The largest of them is the National Cloud, whose strategic partners are Google and Microsoft, who intend to launch their data centers in Poland.
So far, we do not have an official position from the Polish supervisory authority (the President of the Office for Personal Data Protection) on the practical consequences of the judgment in case C-311/18. The President of the Personal Data Protection Office has issued only statements providing information about the content of the judgment, in which he emphasized the need for a consistent approach to the assessment of the consequences of the CJEU judgment throughout the European Union and the necessity of joint actions in this regard by national supervisory authorities cooperating within the European Data Protection Council (EDPB).
On November 11 2020 the European Data Protection Board issued the long-awaited “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”. It is too early to judge to what extent entrepreneurs transferring personal data to the US will be able to comply with the guidelines issued.