Gdzie znajdę przystępnie podane, różnorodne informacje prawne?
Centrum prasowe DZP.
12.08.2020
Autorzy:Unia Europejska od lat uznaje, że europejski model ochrony danych osobowych jest w skali globalnej wzorcowy. Świat dzieli się na kraje, które należycie – tj. zgodnie z unijnym standardem – dbają o dane osobowe, i na inne (państwa trzecie). Takimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada.
W konsekwencji przyjętego podziału przekazywanie danych do państw trzecich wymaga spełnienia dodatkowych warunków. Stąd kolosalne znaczenie mają uprawnienia Komisji Europejskiej, która może systemowo „udrażniać" przekazywanie danych osobowych z UE do państw trzecich. Może m.in. uznać, iż określone państwo trzecie zapewnia danym ochronę równoważną obowiązującej w UE (tzw. biała lista KE).
Innym środkiem przysługującym KE jest przyjęcie wzorcowych, standardowych klauzul umownych, które „zapewniają odpowiednie środki zabezpieczające". Obszerne standardowe klauzule umowne, opublikowane na stronie internetowej KE, często były w całości implementowane do komercyjnych umów zawieranych między unijnym podmiotem przekazujący dane oraz ich odbiorcą w państwie trzecim. Dotychczas zastosowanie klauzul na zasadzie copy&paste uchodziło za wystarczające d przekazywania legalnie danych do państwa trzeciego.
Co do „białej listy KE", obejmuje ona m.in. Izrael, Japonię czy, z pewnymi ograniczeniami, Kanadę. Także Stany Zjednoczone do niedawna i w ograniczonym zakresie korzystały z pozytywnej decyzji KE – podmioty z siedzibą w USA uczestniczące w unijno-amerykańskim programie Tarczy Prywatności korzystały z domniemania, że chronią dane na europejskim poziomie. Po wyroku TSUE z 16 lipca 2020 r. (określanym, od nazwiska skarżącego, Schrems II) USA ponownie dołączyły do państw takich jak Chiny czy Rosja, które z perspektywy UE oficjalnie nie zapewniają danym odpowiedniego (europejskiego) stopnia ochrony.
To poważny skutek. Wyrok TSUE wywołuje konsekwencje jeszcze dalej idące, zmieniając postrzeganie standardowych klauzul umownych przyjętych i opublikowanych przez KE. Nie ma przy tym znaczenia, do jakiego państwa trzeciego na podstawie takich klauzul dane osobowe są przekazywane. W ocenie TSUE standardowe klauzule umowne opracowane przez KE nie mogą być stosowane bezkrytycznie.
Nieudane poszukiwania
Różnice w podejściu do regulacji ochrony danych osobowych po obu stronach Atlantyku mają w znacznej mierze charakter filozoficznoprawny, i wynikają m.in. z odmiennego umiejscowienia jednostki w systemie prawnym, pojmowania roli organów administracji, spojrzenia na tworzenie i kształt przepisów. Odmienności te z perspektywy UE oceniane są negatywnie.
Okoliczność, iż współczesna gospodarka jest „gospodarką zasilaną danymi", a USA są największym partnerem handlowym UE, jak również akcentowana transatlantycka wspólnota wartości powodują, iż ponawiane są próby znalezienia przynajmniej rozwiązań kadłubowych. Stąd obowiązujące w latach 2000–2015 porozumienie Bezpiecznej Przystani (Safe Harbor), jak i dopiero co unieważnione przez TSUE porozumienie Tarcza Prywatności (Privacy Shield), obowiązujące od 2016 r. do 16 lipca 2020 r. Oba porozumienia miały te same założenia i korzystały z bardzo zbliżonych mechanizmów. Podmiot z siedzibą w USA mógł na zasadzie dobrowolności i samocertyfikacji zostać uczestnikiem programu Safe Habor (a od roku 2016: Privacy Shield). Oba porozumienia przewidywały mechanizmy nadzoru i kontroli przestrzegania zasad ochrony danych. Oba akcentowały dostępność drogi odwoławczej.
Praktyka pokazała, iż zarówno wspomniana kontrola i nadzór, jak i droga odwoławcza okazywały się iluzoryczne. Co więcej, na podstawie prawa amerykańskiego, do danych objętych zarówno Bezpieczną Przystanią, jak i Tarczą Prywatności nadmiernie swobodny dostęp mają amerykańskie „organy wywiadowcze" (sformułowanie KE). Właśnie to przesądziło o stwierdzeniu przez TSUE nieważności decyzji KE zatwierdzającej Safe Harbor (wyrok z 6 października 2016 r. w sprawie Schrems I) oraz decyzji KE zatwierdzającej Privacy Shield (wyrok z 16 lipca 2020 r. w sprawie Schrems II).
Krajobraz po bitwie
Wyrok TSUE wywołuje lawinę konsekwencji. W odniesieniu do przekazywania danych osobowych z UE do USA obecnie ponownie brakuje systemowego rozwiązania legalizującego transfery. W odniesieniu do przekazywania danych osobowych z UE do państw trzecich, w tym do USA, zastosowanie standardowych klauzul umownych opracowanych przez KE wymaga zbadania przez podmiot unijny, czy system prawny państwa-odbiorcy danych zapewnia stosowną ochronę. To wszechstronny i kontekstowy test, który dotychczas ciążył na Komisji Europejskiej. Od teraz to podmioty prywatne, pragnące zastosować komisyjne standardowe klauzule umowne będą musiały samodzielnie „prześwietlać" obcy system prawny, ważąc takie wartości jak praworządność, poszanowanie praw człowieka i podstawowych wolności, ustawodawstwo ogólne i sektorowe, orzecznictwo, istnienie i działanie organu ochrony danych.
Privacy Shield zostało zanegowane przez TSUE z uwagi na usankcjonowaną w amerykańskim systemie prawnym dopuszczalność szerokiego i niekotrolowanego dostępu do danych osobowych amerykańskich „organów wywiadowczych". Nie chodzi o sytuacje wyjątkowe, lecz powszechnie obowiązujące przepisy prawa.
Można zatem formułować tezę, iż TSUE właśnie przeprowadził test, „prześwietlając" system prawny USA, i wyniki są, z perspektywy ochrony danych osobowych, negatywnie. Prowadziłoby to do wniosku, iż standardowe klauzule umowne przyjęte przez KE, w braku zastosowania dodatkowych środków, nie mogą stanowić samodzielnej podstawy przekazywania danych osobowych do USA. Trudno jednocześnie określić, jakie środki dodatkowe mogłyby okazać się zadowalające, skoro na szali leżą władcze uprawnienia organów USA.
Co do przekazywania danych do innych państw trzecich na podstawie standardowych klauzul umownych konieczne staje się przeprowadzenie wszechstronnych testów. Można przy tym przyjąć, iż powyższe wnioski są aktualne zarówno w odniesieniu do standardowych klauzul umownych (przewidzianych w uchylonej dyrektywie 95/46 i uchylonej ustawie o ochronie danych osobowych), jak i standardowych klauzul ochrony przyjętych czy to samodzielnie przez KE, czy też przez krajowy organ nadzorczy, a następnie zatwierdzonych przez KE.
Co dalej?
Wyrok TSUE z 2015 r. w sprawie Schrems I zaowocował wypracowaniem „Save Harbor 2.0", czyli porozumieniem Privacy Shield. Wątpliwe, by Komisja Europejska zadowoliła się kolejną mutacją Save Harbor. W praktyce może oznaczać to istotne formalne utrudnienie przepływów danych osobowych z UE do USA. Co więcej, wobec stopnia komplikacji testu wskazanego przez TSUE oraz konieczności istnienia stanu ustawiczności poprawnej ochrony danych osobowych w państwie trzecim, maleje praktyczna przydatność standardowych klauzul umownych i standardowych klauzul ochrony.
TSUE wskazuje, że wyrok w sprawie Schrems II nie kreuje systemowej luki, sugerując stosowanie wyjątkowych podstaw legalizacyjnych z art. 49 RODO. Należy jednak odnotować, że rozwiązania z art. 49 ust. 1 lit a-g RODO stanowią podstawę przekazywania danych osobowych do państwa trzeciego z uwagi na określone uwarunkowania i potrzeby, a nie z uwagi na zapewnienie danym bezpieczeństwa w państwie docelowym. Natomiast wyjątkowa podstawa przewidziana w art. 49 ust. 1 akapit 2 odnosi się do okazjonalnego przekazywania danych.
Wyrok TSUE może zatem m.in. wywołać konieczność przeniesienia centrów chmurowych na terytorium UE. Warto poczekać na oficjalne reakcje i komentarze organów nadzorczych oraz Europejskiej Rady Ochrony Danych.
Autorem artykułu, który ukazał się w serwisie rp.pl, jest Bartosz Marcinkowski, szef zespołu ochrony danych osobowych.