Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał długo oczekiwany wyrok w tzw. sprawie Schrems II, dotyczącej transferów danych osobowych poza Europę, unieważniając Tarczę Bezpieczeństwa (Privacy Shield) będącą główną podstawą transferów do USA, równocześnie zachowując ważność decyzji o klauzulach modelowych. Jednak jest w tym wyroku ukryty haczyk.
Czytaj także: Dane osobowe - TSUE: nieważna decyzja ws. Tarczy Prywatności UE - USA
Cały świat czekał z zapartym tchem na odpowiedź, czy przesyłanie danych poza Europejski Obszar Gospodarczy (EOG) będzie mogło dalej odbywać się bez przeszkód. Za sprawą stoi Austriak Maximilian Schrems, aktywista działający na rzecz prywatności, który w 2013 r. po raz pierwszy wystąpił przeciwko Facebook Ireland w tzw. sprawie Schrems I, w wyniku której upadła „bezpieczna przystań" – ang. Safe Harbour, będąca podstawą transferów danych z UE do USA. Skarga Schremsa, złożona do irlandzkiego komisarza ds. ochrony danych, dotyczyła przekazywania przez Facebook Ireland do USA danych osobowych użytkowników i zarzucanego w związku z tym bezprawnego przechowywania tych danych na amerykańskich serwerach. Unieważniona Safe Harbour została wkrótce zastąpiona nowym mechanizmem – Tarczą Prywatności, podobnie jak Safe Harbour, dając podmiotom, które do niej przystąpiły, podstawę do transferów danych do Stanów.
Niezgodność klauzul
Schrems jednak nie odpuścił i przeformułował skargę do komisarza, tym razem podnosząc w niej niezgodność klauzul umowy pomiędzy Facebook Ireland a Facebook Inc. ze standardowymi klauzulami umownymi z decyzji 2010/87 (decyzja Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane, mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46 WE). Sąd Najwyższy Irlandii ustalił, że w USA ma miejsce masowe przetwarzanie danych, co może prowadzić do naruszenia praw wynikających z Karty praw podstawowych UE. Zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z 11 pytaniami prejudycjalnymi, na które odpowiedź została ogłoszona 16 lipca br.
W sprawie Schrems II dyskusja skupiła się głównie wokół legalności standardowych klauzul umownych (Standard Contractual Clauses – SCCs) wykorzystywanych do przekazywania danych osobowych poza Unię. W grudniu 2019 r. wydana została w sprawie opinia rzecznika generalnego, wskazująca, że spółki oraz podmioty zajmujące się ochroną danych osobowych powinny każdorazowo oceniać jakość systemów bezpieczeństwa, do których dane miałyby być przekazywane. Rzecznik zauważył, że SCCs obligują eksportera danych, aby w przypadku powzięcia informacji o tym, że w docelowym kraju nie będą one odpowiednio chronione, zablokował ich przekazanie.