Niedawne orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 Protection Commissioner vs Facebook Ireland Ltd and Maximillian Schrems w sposób istotny wpłynęło na transfery danych osobowych do tzw. państw trzecich (czyli państw nienależących do Europejskiego Obszaru Gospodarczego).
Tarcza Prywatności uchylona
Pierwszym skutkiem orzeczenia TSUE jest stwierdzenie nieważności decyzji Komisji Europejskiej z roku 2016 w sprawie tzw. Tarczy Prywatności. Przypomnijmy, że pod nazwą tą kryje się porozumienie pomiędzy UE a USA. Ponieważ USA jako państwo nie są w świetle prawa wspólnotowego uznawane za zapewniające odpowiedni poziom ochrony, transfery danych osobowych do amerykańskich odbiorców muszą odbywać się z zapewnieniem tzw. odpowiednich zabezpieczeń i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.
Tarcza Prywatności była uznawana właśnie za tego rodzaju zabezpieczenie. Umożliwiała ona amerykańskim przedsiębiorcom przyjęcie, na zasadzie dobrowolności, określonych reguł ochrony danych osobowych i uzyskanie stosownego certyfikatu, odnawianego co rok.
TSUE jednak program ten unieważnił z dnia na dzień, nie wprowadzając przy tym żadnych okresów przejściowych. Wpływ na tę decyzję Trybunału miał, w największym skrócie, zbyt swobodny dostęp do danych przesyłanych z Europy amerykańskich organów (przede wszystkim dla celów bezpieczeństwa narodowego USA) oraz brak egzekwowalnych praw osób, których dane dotyczą do dochodzenia swoich praw przed amerykańskimi sądami.
Europejscy przedsiębiorcy transferujący dane do USA stanęli zatem przed nie lada wyzwaniem. Dosłownie bowiem z dnia na dzień odpadła podstawa prawna do transferu danych i konieczne jest poszukanie innego narzędzia prawnego legalizującego to działanie.
Decyzja TSUE w sprawie standardowych klauzul umownych
Drugą kwestią, jaką rozstrzygał w wyroku Trybunał, była ważność jednej z decyzji Komisji Europejskiej, zatwierdzającej tzw. standardowe klauzule umowne, będące także jednym z dopuszczonych przez RODO odpowiednich zabezpieczeń przy transferach danych do państw trzecich. TSUE stwierdził, że decyzja ta jest ważna, a zatem standardowe klauzule nadal mogą być wykorzystywane przy transferach danych poza Europejski Obszar Gospodarczy. To stwierdzenie TSUE opatrzył jednak jednym istotnym zastrzeżeniem. Eksporter danych, jako podmiot odpowiedzialny za zapewnienie zgodności z prawem ich transferu, powinien ustalić, czy z uwagi na prawo obowiązujące importera, jest on w stanie rzeczywiście spełnić przyjęte na siebie zobowiązania dotyczące ochrony danych. Jeżeli wskutek tej oceny eksporter dojdzie do wniosku, że możliwość ta jest wyłączona, powinien transfer danych wstrzymać. Jest to zatem bardzo ważna wskazówka dla wszystkich administratorów danych, którzy wysyłają dane do państw trzecich, nie tylko do USA.
Co dalej?
Nie ulega wątpliwości, że wszyscy przedsiębiorcy dokonujący masowych transferów danych, np. do swoich oddziałów zlokalizowanych poza Europejskim Obszarem Gospodarczym, wykorzystujący odpowiednie zabezpieczenia, powinni ponownie dokonać analizy, o której wspomina TSUE. Dotyczy to nie tylko transferów opartych na standardowych klauzulach, lecz także np. na wiążących regułach korporacyjnych (czyli politykach bezpieczeństwa danych, przyjmowanych głównie przez międzynarodowe korporacje). O tych drugich co prawda wyrok Schrems II wprost nie wspomina, niemniej także do nich odnieść należy uwagi TSUE sformułowane w odniesieniu do standardowych klauzul umownych.
W najgorszej sytuacji są oczywiście ci eksporterzy, którzy dane eksportowali w ramach Tarczy Prywatności. Oni bowiem zmuszeni zostali do bardzo szybkiego działania i wypracowania alternatywnych rozwiązań legalizujących transfery danych.
Z uwagi na znaczenie omawianego orzeczenia, Europejska Rada Ochrony Danych Osobowych wydała już pierwsze informacje i wskazówki dla administratorów1, zapowiadając dalszą analizę tej kwestii i kolejne publikacje.
1https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf