Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał długo oczekiwany wyrok w tzw. sprawie Schrems II, dotyczącej transferów danych osobowych poza Europę, unieważniając Tarczę Bezpieczeństwa (Privacy Shield) będącą główną podstawą transferów do USA, równocześnie zachowując ważność decyzji o klauzulach modelowych. Jednak jest w tym wyroku ukryty haczyk.
Cały świat czekał z zapartym tchem na odpowiedź, czy przesyłanie danych poza Europejski Obszar Gospodarczy (EOG) będzie mogło dalej odbywać się bez przeszkód. Za sprawą stoi Austriak Maximilian Schrems, aktywista działający na rzecz prywatności, który w 2013 r. po raz pierwszy wystąpił przeciwko Facebook Ireland w tzw. sprawie Schrems I, w wyniku której upadła „bezpieczna przystań" – ang. Safe Harbour, będąca podstawą transferów danych z UE do USA. Skarga Schremsa, złożona do irlandzkiego komisarza ds. ochrony danych, dotyczyła przekazywania przez Facebook Ireland do USA danych osobowych użytkowników i zarzucanego w związku z tym bezprawnego przechowywania tych danych na amerykańskich serwerach. Unieważniona Safe Harbour została wkrótce zastąpiona nowym mechanizmem – Tarczą Prywatności, podobnie jak Safe Harbour, dając podmiotom, które do niej przystąpiły, podstawę do transferów danych do Stanów.
Niezgodność klauzul
Schrems jednak nie odpuścił i przeformułował skargę do komisarza, tym razem podnosząc w niej niezgodność klauzul umowy pomiędzy Facebook Ireland a Facebook Inc. ze standardowymi klauzulami umownymi z decyzji 2010/87 (decyzja Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane, mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46 WE). Sąd Najwyższy Irlandii ustalił, że w USA ma miejsce masowe przetwarzanie danych, co może prowadzić do naruszenia praw wynikających z Karty praw podstawowych UE. Zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z 11 pytaniami prejudycjalnymi, na które odpowiedź została ogłoszona 16 lipca br.
W sprawie Schrems II dyskusja skupiła się głównie wokół legalności standardowych klauzul umownych (Standard Contractual Clauses – SCCs) wykorzystywanych do przekazywania danych osobowych poza Unię. W grudniu 2019 r. wydana została w sprawie opinia rzecznika generalnego, wskazująca, że spółki oraz podmioty zajmujące się ochroną danych osobowych powinny każdorazowo oceniać jakość systemów bezpieczeństwa, do których dane miałyby być przekazywane. Rzecznik zauważył, że SCCs obligują eksportera danych, aby w przypadku powzięcia informacji o tym, że w docelowym kraju nie będą one odpowiednio chronione, zablokował ich przekazanie.
Skutki rozstrzygnięcia
Stało się inaczej i po wyroku TSUE transfery danych osobowych z EOG do podmiotów w USA, które jako podstawę prawną wykorzystywały Tarczę Prywatności, powinny zostać wstrzymane. Trybunał zwrócił uwagę, że postanowienia Tarczy Prywatności faktycznie nie zapewniają obywatelom UE, których dane osobowe są przekazywane do Stanów, stopnia ochrony przewidzianego w RODO. Chodzi konkretnie o prawo do poszanowania życia rodzinnego i prywatnego, prawo do ochrony danych osobowych, ale przede wszystkim o prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu. Nie jest tajemnicą, że do danych osobowych przekazanych do USA dostęp mogą mieć władze tego państwa w sytuacji, kiedy wymaga tego bezpieczeństwo narodowe, interes publiczny albo przestrzeganie prawa. Zresztą sama decyzja w sprawie Tarczy Prywatności wskazuje na tę okoliczność. Problem jednak w tym, że taki dostęp, np. w ramach programów bezpieczeństwa narodowego, jak PRISM czy UPSTREAM, nie podlega kontroli sądowej, a więc nie jest spełniony warunek zapewnienia dostępu do sądu. Co prawda Tarcza Prywatności wprowadziła instytucję rzecznika jako swoistego organu odwoławczego, jednak zdaniem Trybunału nie można postawić znaku równości pomiędzy jego rolą a prawem do bezstronnego sądu. Rzecznik stanowi integralną część departamentu stanu USA. Trybunał podkreślił, że choć prawo do ochrony danych osobowych oraz prawo do poszanowania życia prywatnego nie mają charakteru absolutnego i w określonych okolicznościach, na zasadzie absolutnej konieczności, mogą być ograniczone, to jednak kluczowe jest właśnie zapewnienie niezależnej kontroli nad ich ograniczeniem, a także możliwość skutecznego egzekwowania naruszonych praw. Wobec stwierdzenia braków skutecznych mechanizmów ochronnych w prawie USA Trybunał orzekł o nieważności mechanizmu Tarczy Prywatności.
Z praktycznego punktu widzenia rozważania TSUE w zakresie Tarczy Prywatności kładą się cieniem na skuteczność SCC, właśnie w kontekście przekazywania danych osobowych do USA. Skoro bowiem na podstawie zebranych informacji Trybunał uznał, że mechanizmy i prawo USA nie gwarantują obywatelom UE poszanowania ich praw przewidzianych w karcie, to można podać w wątpliwość możliwość wykorzystania również SCC. Korzystanie z SCC, zdaniem Trybunału, powinno podlegać dokładniej ocenie, czy konkretny transfer danych gwarantuje odpowiednie zabezpieczenia. Oceny tej powinien dokonywać przede wszystkim podmiot eksportujący dane, ale również odbiorca danych. Oczywiście przeprowadzenie takiej oceny leży również w gestii właściwych organów ochrony danych osobowych. Do tej pory praktyka biznesowa stosowania modelowych klauzul była taka, że ich podpisanie – na zasadzie swoistego automatyzmu – gwarantowało, że transfer danych jest zgodny z prawem i żaden z podmiotów nie przeprowadzał dodatkowej analizy w tym zakresie. Takie podejście, zgodnie z powołanym orzeczeniem, powinno się zmienić i poza podpisaniem standardowych klauzul umownych należy również ocenić stopień ochrony zapewniany przy danym transferze, w tym wziąć pod uwagę ewentualny dostęp do danych organów państwa trzeciego. Naturalnie rekomendacje Trybunału dotyczą transferu danych w oparciu o SCC nie tylko do USA, ale biorąc pod uwagę zawarte w orzeczeniu wnioski w kontekście Tarczy Prywatności i braku odpowiednich gwarancji w prawie USA, już tylko krok dzieli nas od podania w wątpliwość przynajmniej niektórych transferów danych osobowych do USA na podstawie modelowych klauzul.
Przede wszystkim spokój
Rozważania Trybunału zawarte w orzeczeniu dotykają wielu płaszczyzn i wymagają dokładnej analizy. Na chwilę obecną najlepszą radą dla przedsiębiorców jest zachowanie spokoju i metodyczne przejrzenie transferów danych mających u nich miejsce. Jeśli oparte były na Tarczy Prywatności, jak najszybciej trzeba zastąpić je inną ważną podstawą. Jeśli opierały się na klauzulach modelowych, należy spokojnie zweryfikować transfer z punktu widzenia jego celu, zakresu danych, odbiorców oraz wszystkich innych okoliczności, które mogą rzutować na prawa osób, których dane są przekazywane. I dopiero wtedy rozważyć ewentualne zastosowanie innego mechanizmu. Niebagatelną rolę odegrają tu także organy ochrony danych osobowych, w tym nasz polski prezes ochrony danych osobowych, bo to ich podejście i interpretacja wyroku TSUE istotnie wpłynie na dalszy los transferów danych poza EOG.
Ewa Kurowska-Tober jest radcą prawnym i partnerem DLA Piper
Łukasz Czynienik jest radcą prawnym i counsel DLA Piper
