W ciągu ostatnich miesięcy światem prawniczym wstrząsały kolejne wydarzenia dotyczące przekazywania danych osobowych do USA, a hasła takie jak prywatność, bezpieczna przystań, Max Schremms i tarcza nie schodziły z nagłówków blogów prawniczych. Zanim przejdę do opisu nowego projektu zasad bezpiecznego transferu danych do Stanów Zjednoczonych, postaram się przypomnieć, co jest źródłem problemu.
Administratorzy danych osobowych mogą przekazywać przetwarzane dane osobowe do innych państw Europejskiego Obszaru Gospodarczego (EOG) bez spełnienia dodatkowych warunków (oprócz oczywiście „ogólnych przesłanek" decydujących o dopuszczalności przetwarzania danych osobowych). Dotyczy to także transferu danych do państw, które zapewniają na swoim terytorium odpowiedni (czyli odpowiadający temu w EOG) poziom ich ochrony. Przekazywanie do innych państw, czyli krajów spoza EOG, które nie zapewniają tzw. adekwatnego poziomu ochrony danych, jest dopuszczalne wyłącznie po spełnieniu dodatkowych przesłanek wymienionych w ustawie o ochronie danych osobowych – np. udzieleniu przez podmiot, których one dotyczą, pisemnej zgody na taki transfer.
Ze względu na różnice między prawodawstwami Unii Europejskiej oraz Stanów Zjednoczonych te drugie nie mogły zostać uznane za państwo gwarantujące odpowiedni poziom ochrony. Mając jednak na uwadze wymianę gospodarczą, w której przekazywanie danych osobowych jest nieodzowne, Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską program tzw. bezpiecznej przystani (Safe Harbor) umożliwiający amerykańskim przedsiębiorcom uzyskanie certyfikatu programu mającego zapewnić, iż jego posiadacze gwarantują odpowiedni poziom ochrony danych osobowych.
Potrzebne się stały nowe zasady
Trybunał Sprawiedliwości Unii Europejskiej 6 października 2015 r. w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14) stwierdził nieważność decyzji Komisji Europejskiej dotyczącej adekwatności ochrony przewidzianej przez zasady ochrony prywatności w programie bezpiecznej przystani. W konsekwencji program przestał legitymizować przekazywanie danych osobowych do USA, a dalsze ich przekazywanie na tej podstawie prawnej stało się niemożliwe. Komisja Europejska i Stany Zjednoczone rozpoczęły więc prace nad stworzeniem alternatywy dla Safe Harbor.
W lutym tego roku Komisja Europejska ogłosiła osiągnięcie politycznego porozumienia w sprawie przepływu danych osobowych pomiędzy Stanami Zjednoczonymi a Europą. Nowy reżim, zwany tarczą prywatności (Privacy Shield), ma zastąpić program bezpiecznej przystani. Komisja Europejska 29 lutego opublikowała projekt decyzji adekwatności wdrażającej zasady uzgodnione w powyższym porozumieniu. W komentarzu do projektu zapewniono, że „zasady bezpiecznego transferu danych między UE i USA to solidne nowe ramy, których podstawą są: konsekwentne egzekwowanie przepisów, ułatwienie osobom fizycznym dochodzenia roszczeń oraz bezprecedensowe pisemne zobowiązania naszych amerykańskich partnerów w sprawie gwarancji i ograniczeń dotyczących dostępu organów publicznych do danych ze względu na bezpieczeństwo narodowe".