Nazwisko Pana Maxa Schremsa jest już dość długo znane wszystkim osobom zainteresowanym problematyką ochrony danych osobowych. Ten austriacki prawnik, dziennikarz i aktywista dał się poznać jako autor skargi, której finalnym skutkiem było wydanie przez Trybunał Sprawiedliwości wyroku z 6 października 2015 unieważniającego decyzję w sprawie tzw. „Bezpiecznej przystani” („Safe Harbour”). Decyzja ta stanowiła potwierdzenie, że USA zapewniają odpowiedni poziom ochrony danych osobowych obywateli Unii i była przez 15 lat prawną podstawą do przekazywania danych za ocean. Pomimo dość dużego zamieszania wokół wydanego wyroku, nie miał on w praktyce dużego przełożenia na transatlantycki transfer danych. Unia Europejska, pragnąć szybko i bezboleśnie ponownie uregulować z USA stosunki w zakresie migracji danych, wydała 12 lipca 2016 r. decyzję w sprawie tzw. „Tarczy Prywatności”.

Decyzja w sprawie „Tarczy” faktycznie precyzowała nieco lepiej warunki, które musiały zostać spełnione podczas transatlantyckiego transferu danych. Nie satysfakcjonowała ona jednak Pana Maxa Schremsa, który rozpoczął batalię o unieważnienie kolejnej decyzji Komisji.

Skarga na Privacy Shield

Pan Schrems, podobnie jak w przypadku pierwszej decyzji Safe Harbour, podnosił w trakcie drugiego postępowania sądowego, że nie jest wystarczające, aby amerykańskie koncerny zobowiązały się do stosowania zasad określonych w decyzjach Komisji Europejskiej. Konieczne jest również, aby amerykańskie władze publiczne, które sprawują nadzór nad tymi koncernami, miały dostęp do europejskich danych zgodnie z zasadą proporcjonalności, a osoba, której dane dotyczą, miała możliwość kontroli przetwarzania danych przez te organy na analogicznych zasadach jak obywatel amerykański. Przesłanki ta w istocie nie były spełnione, gdyż amerykańskie przepisy przyznawały i wciąż przyznają prawo do ochrony prywatności wyłącznie obywatelom USA, uprawniając organy publiczne (np. zajmujące się bezpieczeństwem) w zasadzie do nielimitowanego i niekontrolowanego przetwarzania danych osobowych pochodzących z zagranicy.

Wyrok w sprawie C-311/2018

W wyroku z dnia 16 lipca 2020 r. Trybunał ponownie przychylił się do argumentów Pana Schremsa i potwierdził, że USA nie zapewniają europejskim danym osobowym odpowiedniej ochrony. Oznacza to unieważnienie decyzji Komisji z dnia 12 lipca 2016 r. w sprawie Tarczy Prywatności. Wobec takiego stanu rzeczy, każdy podmiot, który transferuje dane do USA lub zezwala na ich transfer przez podwykonawców, jest zobowiązany do zatrzymania tego procesu lub wskazania innej podstawy prawnej takich działań.

Po unieważnieniu pierwszej decyzji w sprawie „Safe Harbour”, do czasu wprowadzenia „Tarczy Prywatności”, jako rozwiązanie zastępcze powszechnie stosowano tzw. „standardowe klauzule umowne”, które zostały wprowadzone decyzją Komisji z 5 lutego 2010 r. Ich zastosowanie w umowie z kontrahentami legalizuje przekazanie danych poza obszar UE w przypadku, gdy wobec tego kraju nie została wydana decyzja Komisji potwierdzająca istnienie odpowiedniego poziomu ochrony danych. W wyroku z dnia 16 lipca 2020 r. Trybunał zakwestionował jednak możliwość stosowania klauzul wobec podmiotów amerykańskich. W orzeczeniu potwierdzono, że stosowanie standardowych klauzul nie może być automatyczne i bezrefleksyjne. Przed zawarciem umowy z zastosowaniem klauzul, zainteresowany podmiot europejski, we współpracy z zagranicznym odbiorcą danych, powinien zweryfikować, czy państwo, do którego mają trafić dane, zapewnia odpowiedni poziom ochrony, w tym m.in. nie stosuje przepisów, które niweczą skuteczności klauzul zaproponowanych przez Komisję. Wobec zawartej w wyroku jednoznacznej krytyki amerykańskiego systemu ochrony europejskich danych osobowych, stało się jasne, że treść orzeczenia stanowi jednocześnie przestrogę przed stosowaniem klauzul wobec podmiotów z siedzibą w USA. Zignorowanie tego faktu może być podstawą do nałożenia sankcji na podmiot unijny.

Co zrobić i kto powinien się bać?

Przepisy RODO przewidują szereg podstaw prawnych umożliwiających przekazanie danych osobowych poza granicę Unii. Decyzje Komisji oraz standardowe klauzule umowne były jednak tymi narzędziami, które stosować można było najłatwiej i bez prawnych kontrowersji. Pozostałe możliwe do zastosowania podstawy do transferu danych wymagają zatwierdzenia przez organ nadzorczy, są trudne do uzyskania (np. wyraźne zgody na transfer danych udzielone przez osoby, których dane dotyczą) albo mogą być stosowane na zasadzie wyjątku, którego wykorzystanie w określonym wypadku może być ryzykowne lub nawet niemożliwe.

Pewne jest, że wszelkie podmioty, które stosowały dotychczas transfer danych do USA powinny zrewidować wewnętrzną dokumentację RODO oraz treść obowiązku informacyjnego przekazywanego podmiotom danych. Już od dziś nie jest bowiem prawidłowe i dopuszczalne, aby w tych dokumentach widniała wciąż Tarcza Prywatności, jako podstawa prawna wysyłania danych za ocean.

Jaką więc podstawę prawną wybrać w jej miejsce? Wydaje się, że na to pytanie brakuje idealnej odpowiedzi. Będzie ona przede wszystkim zależeć od okoliczności konkretnego przypadku. W ostateczności (gdy żadna z pozostałych podstaw nie będzie możliwa do zastosowania), można rozważyć zastosowanie standardowych klauzul umownych, których użycie jest bez wątpienia ryzykowne, lecz pozostają one wciąż w mocy i mimo wszystko wydają się być lepszą podstawą prawną od unieważnionej Tarczy Prywatności.

Nie da się również pominąć, że wyrok Trybunału jest przede wszystkim czerwoną kartką dla amerykańskiego systemu ochrony danych, amerykańskich korporacji, które tego systemu broniły, a także dla irlandzkiego organu nadzoru, który przez lata tolerował poważną lukę w europejskim systemie ochrony danych osobowych. Pozostaje zatem mieć nadzieję, że konsekwencją tego wyroku nie będą wzmożone kontrole i surowe sankcje dla firm europejskich zaangażowanych we współpracę transatlantycką, a zmiany zostaną wymuszone przede wszystkim w amerykańskim systemie prawnym oraz w praktykach amerykańskich korporacji. Jeżeli bowiem administracja amerykańska pozostanie nieugięta na postulaty nadchodzące z Europy, każdy z amerykańskich koncernów może być zmuszony to takiego podzielenia swojego globalnego biznesu, aby dane pochodzące z Unii pozostawały przez cały czas w obszarze i pod jurysdykcją państw Starego Kontynentu. Po stronie unijnych firm pozostaje natomiast decyzja, czy w ich przypadku możliwe jest uzasadnienie transferu danych do USA za pomocą innej podstawy prawnej, czy też powinny poszukać one innych usług lub kontrahentów, którzy zagwarantują, że kontrolowane przez ich dane osobowe nie wypłyną poza granice Unii Europejskiej.