16 lipca 2020 roku Trybunał Sprawiedliwości UE (TSUE) wydał wyrok w sprawie Schrems II (sygn. C‑311/18). Rozstrzygnięcie obejmuje co najmniej dwie płaszczyzny praktyki przetwarzania danych osobowych w zakresie ich przekazywania do państw trzecich (poza UE).

TSUE po pierwsze stwierdził nieważność decyzji Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE–USA, a po drugie utrzymał w mocy decyzje KE 2010/87/UE oraz 2016/2297 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania owych klauzul w praktyce.

Unicestwienie Tarczy Prywatności uprawnia wniosek, iż USA ponownie dołączyły do grona państw takich jak Chiny czy Rosja, które w ocenie UE nie zapewniają danym osobowym odpowiedniego - europejskiego - stopnia ochrony. To oznacza, że standardowe klauzule umowne (z ang. standard contractual clauses - SCC) przyjęte przez KE na podstawie dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 95/46 (już nieobowiązującej poprzedniczki RODO - przypis redakcji) nie mogą być, pomimo ich urzędowego i modelowego charakteru, stosowane bezkrytycznie, a ich stosowanie wymaga testu adekwatności przeprowadzanego m.in. zgodnie z art. 45 RODO.

Tło i źródło problemu
UE uznaje, że europejski model ochrony danych osobowych ma w skali globalnej charakter wzorcowy, a świat dzieli się na kraje, które należycie (zgodnie z unijnym standardem) dbają o dane, oraz „państwa trzecie”. Państwami trzecimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada. W konsekwencji tej dychotomii, przekazywanie danych do państw trzecich wymaga spełnienia szczególnych wymogów. Stąd istotne znaczenie mają uprawnienia KE, która może systemowo „udrażniać” przekazywanie danych osobowych do państw trzecich, m.in. uznając, iż określone państwo trzecie (a nawet terytorium czy sektor) zapewnia ochronę równoważną tej obowiązującej w UE. Formułowana w ten sposób „biała lista” obejmuje m.in. Izrael, Japonię czy, z pewnymi ograniczeniami, Kanadę. Także USA do 16 lipca 2020 korzystały w pewnym zakresie z „wpisu na białą listę” – uczestniczące w programie Tarczy Prywatności podmioty z siedzibą w USA korzystały z domniemania, że chronią dane na europejskim poziomie. Mówimy o nieco ponad 5300 największych światowych przedsiębiorstw.

Innym środkiem przysługującym KE jest przyjęcie wzorcowych, standardowych klauzul umownych (według RODO: standardowych klauzul ochrony), które „zapewniają odpowiednie środki zabezpieczające” (art. 26 ust. 4 dyrektywy 95/46).

SCC, opublikowane na stronie internetowej KE, często były w całości implementowane do komercyjnych umów zawieranych między unijnym podmiotem przekazujący dane i ich odbiorcą w państwie trzecim. Zastosowanie klauzul na zasadzie copy&paste uchodziło za wystarczające dla zapewnienia legalności przekazywania danych do państwa trzeciego.

Różnice w podejściu USA i UE do ochrony danych
Szczególnie interesująca jest kwestia różnic w podejściu do regulacji ochrony danych przyjętym w UE i w USA. Różnice mają w znacznej mierze charakter filozoficznoprawny, i wynikają m.in. z odmiennego: umiejscowienia jednostki w systemie prawnym, pojmowania roli organów administracji, spojrzenia na tworzenie i kształt przepisów. Odmienności te z perspektywy UE oceniane są negatywnie, jako osłabiające ochronę jednostki i jej danych osobowych. Niemniej okoliczność, iż współczesna gospodarka jest „gospodarką zasilaną danymi” a USA są największym partnerem handlowym UE, jak również akcentowana transatlantycka wspólnota wartości (nieco dziś zwietrzała) powodują, iż ponawiane są próby znalezienia przynajmniej rozwiązań pomostowych. Stąd w latach 2000-2015 obowiązywało porozumienie Bezpiecznej Przystani (Safe Harbor), a od 2016 roku Tarcza Prywatności. Oba porozumienia zasadzały się na tych samych założeniach i korzystały ze zbliżonych mechanizmów.

Po pierwsze, podmiot z siedzibą w USA mógł na zasadzie dobrowolności i samocertyfikacji zostać uczestnikiem określonego programu. Po wtóre, oba porozumienia przewidywały mechanizmy kontroli i nadzoru w zakresie przestrzegania zasad ochrony danych. Po trzecie, oba akcentowały dostępność drogi odwoławczej. Praktyka pokazała, iż zarówno wspomniana kontrola i nadzór, jak i droga odwoławcza okazywały się iluzoryczne. Co więcej, na podstawie prawa amerykańskiego, do danych objętych zarówno Bezpieczną Przystanią, jak i Tarczą Prywatności nadmiernie swobodny dostęp miały i mają amerykańskie organy wywiadowcze. De facto właśnie to przesądziło o „uchyleniu” przez TSUE zarówno programu Safe Harbor (wyrok TSUE z 6 października 2016 w sprawie Schrems I), jak i Privacy Shield (analizowana tu sprawa Schrems II).

Szereg amerykańskich szczegółowych regulacji dopuszcza szeroki dostęp do danych osobowych przez amerykańską administrację. Przepisy, na podstawie których to się dzieje, często nie przewidują żadnych skutecznych środków odwoławczych służących obywatelom UE, co zresztą władze amerykańskie przyznają. Tytułem przykładu można wskazać federalną ustawę Foreign Intelligence Surveillance Act 1978 (FISA) czy prezydenckie akty normatywne dotyczące bezpieczeństwa publicznego –Executive Order z 1981 r. (nr 12333) oraz Presidential Policy Directive 28 z 2014 r. (PPD-28).

Wnioski praktyczne po wyroku TSUE z 16 lipca 2020 roku
Powyższe pozwala na sformułowanie kilku wniosków praktycznych. Do najdonioślejszych zaliczyć można:

1. W odniesieniu do przekazywania danych osobowych z UE do USA obecnie ponownie brak systemowego rozwiązania legalizującego transfery (pomijam w tym miejscu sektorowe porozumienia PNR).
2. W odniesieniu do przekazywania danych osobowych z UE do państw trzecich, w tym do USA, zastosowanie SCC opracowanych przez KE wymaga zbadania przez podmiot unijny (często: unijnego przedsiębiorcę), czy system prawny państwa-odbiorcy danych zapewnia danym osobowym stosowną ochronę. Jest to wszechstronny i kontekstowy test, który pod rządami RODO ciążył na Komisji Europejskiej (art. 45 ust. 2 RODO). Od 16 lipca 2020 jednak to podmioty prywatne, pragnące zastosować SCC będą musiały samodzielnie oceniać całokształt sytuacji w państwie trzecim, w tym panujący w nim system prawny, ważąc takie wartości jak praworządność, poszanowanie praw człowieka i podstawowych wolności, ustawodawstwo ogólne i sektorowe, orzecznictwo, istnienie i skuteczne działanie organu ochrony danych (zob. art. 45 ust. 2 RODO).
3. Privacy Shield zostało zanegowane przez TSUE przede wszystkim z uwagi na usankcjonowaną w amerykańskim systemie prawnym dopuszczalność szerokiego i de facto niekontrolowanego dostępu do danych osobowych ze strony amerykańskich „organów wywiadowczych”.
4. Co do przekazywania danych do innych państw trzecich na podstawie SCC konieczne staje się przeprowadzenie wskazanych wszechstronnych testów adekwatności. Oceniając celowościowo można przy tym przyjąć, iż powyższe wnioski są aktualne zarówno w odniesieniu do standardowych klauzul umownych (przewidzianych w uchylonej dyrektywie 95/46 i uchylonej ustawie o ochronie danych osobowych), jak i standardowych klauzul ochrony przyjętych czy to samodzielnie przez KE, czy też przez krajowy organ nadzorczy i następnie zatwierdzonych przez KE, zgodnie z art. 46 ust. 2 lit. c i d RODO.

TSUE co prawda wskazuje, że wyrok w sprawie Schrems II nie kreuje luki systemowej, sugerując stosowanie innych podstaw przekazywania danych do państw trzecich, w tym podstaw wyjątkowych, przewidzianych w art. 49 RODO. Niemniej rozwiązania z art. 49 ust. 1 lit a-g RODO stanowią podstawę przekazywania danych do państwa trzeciego z uwagi na określone uwarunkowania i potrzeby, a nie przy zapewnieniu danym bezpieczeństwa; szczególna zaś podstawa przewidziana w art. 49 ust. 1 akapit 2 RODO odnosi się zasadniczo do okazjonalnego przekazywania danych do państwa trzeciego.

Autorem artykułu jest Bartosz Marcinkowski, Partner w Zespole Ochrony Danych Osobowych. 

Dalsza część artykułu dostępna jest na stronie Prawo.pl.