16 lipca 2020 roku Trybunał Sprawiedliwości UE (TSUE) wydał wyrok w sprawie Schrems II (sygn. C‑311/18). Rozstrzygnięcie obejmuje co najmniej dwie płaszczyzny praktyki przetwarzania danych osobowych w zakresie ich przekazywania do państw trzecich (poza UE).

TSUE po pierwsze stwierdził nieważność decyzji Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE–USA, a po drugie utrzymał w mocy decyzje KE 2010/87/UE oraz 2016/2297 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania owych klauzul w praktyce.

Unicestwienie Tarczy Prywatności uprawnia wniosek, iż USA ponownie dołączyły do grona państw takich jak Chiny czy Rosja, które w ocenie UE nie zapewniają danym osobowym odpowiedniego - europejskiego - stopnia ochrony. To oznacza, że standardowe klauzule umowne (z ang. standard contractual clauses - SCC) przyjęte przez KE na podstawie dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 95/46 (już nieobowiązującej poprzedniczki RODO - przypis redakcji) nie mogą być, pomimo ich urzędowego i modelowego charakteru, stosowane bezkrytycznie, a ich stosowanie wymaga testu adekwatności przeprowadzanego m.in. zgodnie z art. 45 RODO.

 


Tło i źródło problemu

UE uznaje, że europejski model ochrony danych osobowych ma w skali globalnej charakter wzorcowy, a świat dzieli się na kraje, które należycie (zgodnie z unijnym standardem) dbają o dane, oraz „państwa trzecie”. Państwami trzecimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada. W konsekwencji tej dychotomii, przekazywanie danych do państw trzecich wymaga spełnienia szczególnych wymogów. Stąd istotne znaczenie mają uprawnienia KE, która może systemowo „udrażniać” przekazywanie danych osobowych do państw trzecich, m.in. uznając, iż określone państwo trzecie (a nawet terytorium czy sektor) zapewnia ochronę równoważną tej obowiązującej w UE. Formułowana w ten sposób „biała lista” obejmuje m.in. Izrael, Japonię czy, z pewnymi ograniczeniami, Kanadę. Także USA do 16 lipca 2020 korzystały w pewnym zakresie z „wpisu na białą listę” – uczestniczące w programie Tarczy Prywatności podmioty z siedzibą w USA korzystały z domniemania, że chronią dane na europejskim poziomie. Mówimy o nieco ponad 5300 największych światowych przedsiębiorstw.

Czytaj w LEX: Wyrok TSUE w sprawie Schrems przeciwko Facebook. Co dalej z transferami danych osobowych do Stanów Zjednoczonych? >

Innym środkiem przysługującym KE jest przyjęcie wzorcowych, standardowych klauzul umownych (według RODO: standardowych klauzul ochrony), które „zapewniają odpowiednie środki zabezpieczające” (art. 26 ust. 4 dyrektywy 95/46).

SCC, opublikowane na stronie internetowej KE, często były w całości implementowane do komercyjnych umów zawieranych między unijnym podmiotem przekazujący dane i ich odbiorcą w państwie trzecim. Zastosowanie klauzul na zasadzie copy&paste uchodziło za wystarczające dla zapewnienia legalności przekazywania danych do państwa trzeciego.

Różnice w podejściu USA i UE do ochrony danych

Szczególnie interesująca jest kwestia różnic w podejściu do regulacji ochrony danych przyjętym w UE i w USA. Różnice mają w znacznej mierze charakter filozoficznoprawny, i wynikają m.in. z odmiennego: umiejscowienia jednostki w systemie prawnym, pojmowania roli organów administracji, spojrzenia na tworzenie i kształt przepisów. Odmienności te z perspektywy UE oceniane są negatywnie, jako osłabiające ochronę jednostki i jej danych osobowych. Niemniej okoliczność, iż współczesna gospodarka jest „gospodarką zasilaną danymi” a USA są największym partnerem handlowym UE, jak również akcentowana transatlantycka wspólnota wartości (nieco dziś zwietrzała) powodują, iż ponawiane są próby znalezienia przynajmniej rozwiązań pomostowych. Stąd w latach 2000-2015 obowiązywało porozumienie Bezpiecznej Przystani (Safe Harbor), a od 2016 roku Tarcza Prywatności. Oba porozumienia zasadzały się na tych samych założeniach i korzystały ze zbliżonych mechanizmów.

Po pierwsze, podmiot z siedzibą w USA mógł na zasadzie dobrowolności i samocertyfikacji zostać uczestnikiem określonego programu. Po wtóre, oba porozumienia przewidywały mechanizmy kontroli i nadzoru w zakresie przestrzegania zasad ochrony danych. Po trzecie, oba akcentowały dostępność drogi odwoławczej. Praktyka pokazała, iż zarówno wspomniana kontrola i nadzór, jak i droga odwoławcza okazywały się iluzoryczne. Co więcej, na podstawie prawa amerykańskiego, do danych objętych zarówno Bezpieczną Przystanią, jak i Tarczą Prywatności nadmiernie swobodny dostęp miały i mają amerykańskie organy wywiadowcze. De facto właśnie to przesądziło o „uchyleniu” przez TSUE zarówno programu Safe Harbor (wyrok TSUE z 6 października 2016 w sprawie Schrems I), jak i Privacy Shield (analizowana tu sprawa Schrems II).

Szereg amerykańskich szczegółowych regulacji dopuszcza szeroki dostęp do danych osobowych przez amerykańską administrację. Przepisy, na podstawie których to się dzieje, często nie przewidują żadnych skutecznych środków odwoławczych służących obywatelom UE, co zresztą władze amerykańskie przyznają. Tytułem przykładu można wskazać federalną ustawę Foreign Intelligence Surveillance Act 1978 (FISA) czy prezydenckie akty normatywne dotyczące bezpieczeństwa publicznego –Executive Order z 1981 r. (nr 12333) oraz Presidential Policy Directive 28 z 2014 r. (PPD-28).

 


Wnioski praktyczne po wyroku TSUE z 16 lipca 2020 roku

Powyższe pozwala na sformułowanie kilku wniosków praktycznych. Do najdonioślejszych zaliczyć można:

  1. W odniesieniu do przekazywania danych osobowych z UE do USA obecnie ponownie brak systemowego rozwiązania legalizującego transfery (pomijam w tym miejscu sektorowe porozumienia PNR).
  2. W odniesieniu do przekazywania danych osobowych z UE do państw trzecich, w tym do USA, zastosowanie SCC opracowanych przez KE wymaga zbadania przez podmiot unijny (często: unijnego przedsiębiorcę), czy system prawny państwa-odbiorcy danych zapewnia danym osobowym stosowną ochronę. Jest to wszechstronny i kontekstowy test, który pod rządami RODO ciążył na Komisji Europejskiej (art. 45 ust. 2 RODO). Od 16 lipca 2020 jednak to podmioty prywatne, pragnące zastosować SCC będą musiały samodzielnie oceniać całokształt sytuacji w państwie trzecim, w tym panujący w nim system prawny, ważąc takie wartości jak praworządność, poszanowanie praw człowieka i podstawowych wolności, ustawodawstwo ogólne i sektorowe, orzecznictwo, istnienie i skuteczne działanie organu ochrony danych (zob. art. 45 ust. 2 RODO).
  3. Privacy Shield zostało zanegowane przez TSUE przede wszystkim z uwagi na usankcjonowaną w amerykańskim systemie prawnym dopuszczalność szerokiego i de facto niekontrolowanego dostępu do danych osobowych ze strony amerykańskich „organów wywiadowczych”.
  4. Co do przekazywania danych do innych państw trzecich na podstawie SCC konieczne staje się przeprowadzenie wskazanych wszechstronnych testów adekwatności. Oceniając celowościowo można przy tym przyjąć, iż powyższe wnioski są aktualne zarówno w odniesieniu do standardowych klauzul umownych (przewidzianych w uchylonej dyrektywie 95/46 i uchylonej ustawie o ochronie danych osobowych), jak i standardowych klauzul ochrony przyjętych czy to samodzielnie przez KE, czy też przez krajowy organ nadzorczy i następnie zatwierdzonych przez KE, zgodnie z art. 46 ust. 2 lit. c i d RODO.

TSUE co prawda wskazuje, że wyrok w sprawie Schrems II nie kreuje luki systemowej, sugerując stosowanie innych podstaw przekazywania danych do państw trzecich, w tym podstaw wyjątkowych, przewidzianych w art. 49 RODO. Niemniej rozwiązania z art. 49 ust. 1 lit a-g RODO stanowią podstawę przekazywania danych do państwa trzeciego z uwagi na określone uwarunkowania i potrzeby, a nie przy zapewnieniu danym bezpieczeństwa; szczególna zaś podstawa przewidziana w art. 49 ust. 1 akapit 2 RODO odnosi się zasadniczo do okazjonalnego przekazywania danych do państwa trzeciego.

Zobacz procedurę w LEX: Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych >

Co dalej?

Z punktu widzenia  polskich i unijnych podmiotów, zwłaszcza przedsiębiorców, najważniejsza jest odpowiedź na pytanie: co dalej? Jak po wyroku TSUE z 16 lipca 2020 roku przekazywać zgodnie z przepisami prawa dane osobowe do państw trzecich, zwłaszcza USA. Urząd Ochrony Danych Osobowych w stanowisku z 20 lipca 2020 roku wskazuje, że zachodzi „(…) konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE w całej Unii Europejskiej oraz niezbędność wspólnych działań w tym zakresie krajowych organów nadzorczych współpracujących w ramach Europejskiej Rady Ochrony Danych (…)”. Czy pozostaje zatem jedynie czekać na interpretacje urzędowe, w tym ewentualne grace period (odsunięcie w czasie sankcjonowania niestosowania się do wyroku TSUE)? Z pewnością nie. Z perspektywy polskiego (unijnego) podmiotu przekazującego dane do USA lub innych państw trzecich, czekając na stanowisko organów warto ustalić:

  • na jakich podstawach dane były i są przekazywane,
  • czy dane były przekazane do USA podmiotom uczestniczącym w Tarczy Prywatności,
  • z podmiotami z jakich krajów zawierano standardowe klauzule umowne, 
  • czy zdarzały się skargi dotyczące ochrony danych osobowych przez partnerów w państwach trzecich,
  • czy istnieją przesłanki uznania, iż organy wywiadowcze w państwach trzecich, w tym w USA, realizowały uprawnienia dostępu do przekazanych danych osobowych.

Udzielenie odpowiedzi na powyższe pytanie pozwoli „zmapować ryzyka” i przygotować plan działań dostosowujących działalność danego podmiotu do wymogów sformułowanych przez Trybunał Sprawiedliwości.

Bartosz Marcinkowski jest doktorem prawa, radcą prawnym i partnerem kancelarii DZP, szefem Zespołu Ochrony Danych Osobowych DZP. Od ponad dekady zajmuje problematyką transatlantyckiej ochrony prywatności, prywatności informacyjnej i danych osobowych.