W zeszłym miesiącu Trybunał Sprawiedliwości wydał wyrok w sprawie C-311/18 (tzw. sprawa Schrems II). W dzisiejszym wpisie chcielibyśmy wyjaśnić, jaki będzie wpływ tego orzeczenia na działalność przedsiębiorców – pilnej weryfikacji wymaga współpraca lub plany nawiązania takiej współpracy z podmiotami, które mają siedzibę w USA. Jeśli elementem tej współpracy jest transfer danych osobowych ze spółki europejskiej, konieczne jest wdrożenie mechanizmów, które zapewnią legalność takiego transferu.

Transfer danych poza Europejski Obszar Gospodarczy

Wartościami, na których opiera się Unia Europejska są swobody wolnego rynku – ważnym elementem tego systemu jest brak ograniczeń w przepływie danych osobowych w granicach UE. W przypadku, gdy przedsiębiorca planuje przekazanie danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego) konieczne jest wdrożenie dodatkowych wymogów w celu zapewnienia odpowiedniego bezpieczeństwa danych. Przepisy, które należy zastosować dla legalnego przesyłania danych poza EOG zostały uregulowane w Rozporządzeniu o Ochronie Danych Osobowych.

RODO przewiduje kilka mechanizmów dla legalnego transferu danych. Wśród nich instrumentem o dużym znaczeniu jest decyzja Komisji Europejskiej dopuszczająca swobodny przesył danych do konkretnego państwa trzeciego. Komisja wydaje taką decyzję w stosunku do państwa, które w jej ocenie zapewnia adekwatny poziom ochrony danych. Taka decyzja Komisji, wydana na podstawie art. 45 RODO, oznacza, że przesyłanie danych do podmiotów z tego państwa zostało uznane za bezpieczne i nie wymaga wdrożenia dodatkowych zabezpieczeń. Do tej pory Komisja wydała 12 decyzji m.in. w stosunku do Szwajcarii, Argentyny i Japonii.

Głównym partnerem gospodarczym Unii Europejskiej jest USA. Kluczowa dla wymiany danych pomiędzy Stanami Zjednoczonymi a Unią Europejską była decyzja Komisji 2000/520/WE, stwierdzająca adekwatny poziom ochrony w ramach programu Safe Harbour (bezpieczna przystań). Jednak w związku m.in. z ujawnieniem przez Edwarda Snowdena nadużyć służb monitorujących społeczeństwo, w 2015 r.– po skardze obywatela Austrii Maxa Schremsa – TSUE unieważnił decyzję Safe Harbour[1]. Głównym zarzutem wobec przetwarzania danych w Stanach Zjednoczonych był brak wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.

Po unieważnieniu Safe Harbour Komisja Europejska wydała kolejną decyzję dopuszczającą transfer danych do USA, znaną jako Tarcza Prywatności (Privacy Shield). Ta decyzja (podobnie jak wcześniejsza Safe Harbour) różni się od aktów prawnych dopuszczających transfer danych do innych niż USA państw. W wypadku bowiem Tarczy Prywatności Komisja nie uznaje USA za państwo, w którym  poziom ochrony jest adekwatny. Mechanizm Tarczy polegał na ustanowieniu programu, do którego należą konkretne podmioty (np. firmy) i te podmioty zostawały uznawane za zapewniające adekwatny poziom ochrony danych.

Program ten opiera się na czterech założeniach:

  • weryfikacji zasadności uczestnictwa oraz działalności podmiotu w programie;
  • podstawach prawnych dostępu rządu Stanów Zjednoczonych do danych;
  • zagwarantowaniu skutecznej ochrony danych osobowych;
  • zaostrzeniu warunków wtórnego przetwarzania danych.

Wyrok w sprawie Schrems II

W lipcowym orzeczeniu TSUE[2] uznał, że wymogi prawa Stanów Zjednoczonych, a w szczególności niektóre programy umożliwiające amerykańskim władzom publicznym dostęp do danych osobowych przekazywanych z Unii Europejskiej do celów bezpieczeństwa narodowego, skutkują ograniczeniami w zakresie ochrony danych osobowych. Te ograniczenia w ochronie nie spełniają wymogów merytorycznych wymaganych przez prawo Unii Europejskiej. Dodatkowo, w ocenie TSUE, przepisy amerykańskie nie przyznają praw w zakresie danych osobowych osobom fizycznym, które mogłyby te uprawnienia skutecznie wyegzekwować przed sądami.

W konsekwencji, w ocenie TSUE, decyzja Komisji ustanawiająca program Privacy Shield jest nieważna.

Konsekwencje wyroku TSUE

Orzeczenie TSUE oznacza, że dla legalnego transferu danych do USA nie jest już możliwe korzystanie z podmiotów należących do programu Privacy Shield. Jeżeli więc transfer do tej pory odbywał się na tej podstawie prawnej – konieczna jest zmiana wybranego mechanizmu. Dla dopuszczalności dalszego transferu konieczne jest skorzystanie z innych instrumentów określonych w RODO.

W przypadku braku decyzji o adekwatnej ochronie danych w danym państwie, transfer może się odbywać, zgodnie z art. 46 ust. 1 RODO, w przypadku zapewnienia „odpowiedniego zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej”. Odpowiednie zabezpieczenia mogą zostać zapewnione za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych zgodnie z art. 47;
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

TSUE o standardowych klauzulach umownych (SCC)

Podmioty prywatne, w przypadku braku wydania decyzji w stosunku do danego państwa przez Komisję, korzystają najczęściej ze standardowych klauzul, tzw. SCC (Standard Contractual Clauses). Ten mechanizm również został zweryfikowany przez TSUE (skarga do Trybunału dotyczyła również transferu danych w oparciu o tę podstawę prawną).

TSUE „ocalił” wprawdzie klauzule umowne, ale stwierdził jednocześnie, że opieranie się wyłącznie o klauzule nie jest wystarczające. Konieczne jest nowe podejście do klauzul, tak aby uwzględnić wymagania art. 46 RODO. W ocenie TSUE, zastosowanie klauzul jest możliwe, jeśli w praktyce z ich pomocą zostanie utrzymany stopień ochrony zasadniczo równoważny temu gwarantowanemu przez RODO, w świetle Karty praw podstawowych Unii Europejskiej.

Zdaniem TSUE ocena, czy prawa osób są zabezpieczone, musi uwzględniać również istotne elementy składające się na system prawny danego państwa trzeciego. To oznacza w praktyce, że przed skorzystaniem z klauzul każdy eksporter danych z Unii (czyli podmiot wysyłający dane do państwa trzeciego) powinien przeprowadzić analizę systemu prawnego państwa trzeciego. Nie do końca wiadomo, jak taka ocena miałaby zostać dokonana oraz o co uzupełnić klauzulę, gdy analiza wykaże, że państwo nie spełnia warunku adekwatności – TSUE nie daje jednak w tym zakresie wskazówek.

Organy państw członkowskich UE

Niektóre organy ochrony danych już stwierdziły, że transfer danych do USA nie może się odbywać – takie jest np. stanowisko jednego z organów niemieckich co do transferu danych w ramach usług chmurowych. Z kolei niektóre organy, jak np. francuski CNIL są powściągliwe i czekają na ustalenie wspólnego stanowiska wraz z innych organami w ramach Europejskiej Rady Ochrony Danych.

EROD zdążyła już wydać stanowisko, które niestety jest mało konkretne i nie daje eksporterom jasnych wskazówek, jak mają stosować transfer z wykorzystaniem SCC.

Pozostałe instrumenty

Po wyroku TSUE jasne jest, że wszelki transfer danych na podstawie Privacy Shield powinien zostać jak najszybciej wstrzymany. Z kolei korzystanie z SCC wydaje się co najmniej ryzykowne. Z tego względu, zalecanym działaniem dla przedsiębiorców jest szybkie wdrożenie innych rozwiązań np. wiążących reguł korporacyjnych, opracowania kodeksu dobrych praktyk, czy certyfikacji. Zawsze również warto – na ile to możliwe – rozważyć anonimizację danych dla dalszego korzystania z usług dostawcy z siedzibą w USA.

Co dalej z transferem danych?

Wyrok TSUE bardzo komplikuje współpracę handlową z podmiotami z USA. Oczywistym dla wszystkich jest, że taki transfer musi się odbywać – USA jest wciąż największym parterem handlowym Unii Europejskiej. Nikt nie liczy, że Komisja podejmie się w tym momencie wydania kolejnej już, trzeciej (po Safe Harbour i Privacy Shield) decyzji w odniesieniu do USA. Jednak dyskusja wokół transferu danych osobowych nie posunęła się do przodu w porównaniu do 2015 r., gdy TSUE unieważnił poprzednią decyzję Komisji. Niestety, wydaje się, że nikt nie jest aktualnie pewny, co zrobić, aby utrzymać współpracę handlową, przy jednoczesnym zapewnieniu poszanowania fundamentalnego prawa obywateli UE do ochrony ich prywatności.

[1] Wyrok z dnia 6.10.2015 w sprawie C-362/14.

[2] Wyrok z dnia 16 lipca 2020 w sprawie C-311/18.