Dziś (16.07.2020 r.) Trybunał Sprawiedliwości w wyroku w sprawie C‑311/18 Data Protection Commissioner/ Maximillian Schrems i Facebook Ireland (dalej: wyrok w sprawie Schrems II) stwierdził nieważność decyzji wykonawczej Komisji Europejskiej z dnia 12 lipca 2016 r., przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (dalej: decyzja 2016/1250). Konsekwencją wydanego dziś orzeczenia jest niemożność dalszego powoływania się na decyzję 2016/1250 jako prawną podstawę przekazywania danych osobowych do Stanów Zjednoczonych.
Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) stanowi, że przekazywanie danych osobowych poza Europejski Obszar Gospodarczy, czyli do państwa trzeciego może nastąpić pod warunkiem, że państwo, do którego dane są przekazywane, zapewnia odpowiedni poziom ochrony danych osobowych. W tym zakresie przepisy przewidują kilka rozwiązań. Przede wszystkim, aby ułatwić i zapewnić możliwie swobodny transfer danych osobowych do państwa trzeciego, Komisja Europejska, działając w oparciu o art. 45 RODO, może przyjąć decyzję stwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony. Przyjęcie takiej decyzji następuje po dokonaniu wszechstronnej oceny różnych regulacji prawnych obowiązujących w państwie trzecim, w tym regulacji dotyczących bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego czy dostępu organów publicznych do danych osobowych. W razie braku decyzji KE wydanej w trybie art. 45 RODO, przekazywanie danych osobowych do państwa trzeciego może nastąpić z zastrzeżeniem odpowiednich zabezpieczeń. Oznacza to, że administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego jedynie wówczas, gdy zapewnią odpowiednie zabezpieczenia, skuteczne środki ochrony prawnej dla podmiotów danych, także w sferze egzekwowania przez te podmioty praw związanych z ochroną danych osobowych. Odpowiednie zabezpieczenia mogą być zapewnione m.in. za pomocą standardowych klauzul ochrony danych przyjętych przez KE (art. 46 ust. 2 lit. c RODO).
W dniu 12 lipca 2016 r. KE przyjęła decyzję 2016/1250, w której stwierdziła, że Tarcza Prywatności (ang. Privacy Shield), czyli program regulujący zasady przekazywania danych osobowych z Unii Europejskiej do Stanów Zjednoczonych, zawiera odpowiednie gwarancje bezpieczeństwa, a tym samym zapewnia adekwatny poziom ochrony transferowanych danych osobowych. Dziś Trybunał Sprawiedliwości, w wyroku w sprawie Schrems II stwierdził nieważność wydanej decyzji. W ocenie TS ograniczenia ochrony danych osobowych, wynikające z prawa obowiązującego w Stanach Zjednoczonych w zakresie dostępu i wykorzystywania przez organy amerykańskich władz publicznych danych transferowanych z UE, nie odpowiadają standardom przyjętym w prawie UE. Z tej przyczyny dane osobowe przekazywane do USA nie są odpowiednio chronione. Warto przypomnieć, że już wcześniej sygnalizowane były zastrzeżenia wobec Tarczy Prywatności. W następstwie corocznych przeglądów programu wskazywano m.in. na konieczność powołania niezależnego Rzecznika ds. Tarczy Prywatności, który w sposób efektywny rozpatrywałby skargi osób, których dane dotyczą, a także artykułowano obawy związane z masowym gromadzeniem oraz dostępem do danych osobowych dla celów bezpieczeństwa narodowego przez amerykańskie służby[1]. Ostatni tego rodzaju przegląd funkcjonowania programu został przeprowadzony pod koniec 2019 r.
Warto jednocześnie zaznaczyć, że TS w wydanym dziś wyroku stwierdził również, iż przyjęta przez KE w dniu 5 lutego 2010 r. decyzja 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, zmieniona decyzją wykonawczą KE 2016/2297 z dnia 16 grudnia 2016 r. (dalej: decyzja 2010/87) jest ważna. Zdaniem TS decyzja ta zawiera mechanizmy umożliwiające w praktyce zapewnienie adekwatnego stopnia ochrony danych osobowych. Oznacza to, że mimo stwierdzenia nieważności decyzji 2016/1250, podmioty przekazujące dane osobowe z UE do USA mogą skorzystać ze standardowych klauzul umownych wskazanych w decyzji 2010/87 i z ich wykorzystaniem dokonywać transferu danych osobowych. Dodatkowo warto podkreślić, że mogą też transferować dane osobowe w oparciu o porozumienia zawierane z odbiorcami danych w państwie trzecim. W niektórych sytuacjach zastosowanie mogą znaleźć też wyjątki wskazane w art. 49 ust. 1 RODO; wówczas przekazanie danych do USA mogłoby nastąpić mimo braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń.
Niewątpliwie w następstwie wydanego przez TS wyroku każdy administrator mający siedzibę w UE i dokonujący transferu danych osobowych do USA powinien zweryfikować podstawy prawne przekazania danych osobowych. Jeśli dane osobowe są transferowane do jednego z podmiotów certyfikowanych w ramach Tarczy Prywatności, konieczne będzie zaktualizowanie treść klauzul informacyjnych w zakresie informacji o transferach danych, a także oparcie przekazywanych w ten sposób danych osobowych na innej podstawie prawnej, np. na standardowych klauzulach umownych.
[1] Więcej informacji można znaleźć w raportach Europejskiej Rady Ochrony Danych dostępnych na stronie: https://uodo.gov.pl/75 (dostęp: 16.07.2020 r.).
Post Views:
1 807