W połowie lipca Trybunał Sprawiedliwości UE (TSUE) ogłosił długo oczekiwany wyrok w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (sprawa C311/18, nazywana sprawą Schrems 2.0). Sprawa ta oraz jej rozstrzygnięcie mają olbrzymie znaczenie nie tylko dla osób zajmujących się ochroną prywatności oraz danych osobowych. Jej wpływ będzie miał również wymiar gospodarczy oraz polityczny, zwłaszcza w relacjach transatlantyckich.
Czytaj także: Dane osobowe - TSUE: nieważna decyzja ws. Tarczy Prywatności UE - USA
TSUE stwierdził nieważność decyzji wykonawczej Komisji 2016/1250, na której podstawie funkcjonował program wymiany danych osobowych ze Stanami Zjednoczonymi (tzw. Tarcza Prywatności). Tym samym wszelkie podmioty (w szczególności przedsiębiorcy) przekazujące za Atlantyk dane osobowe w ramach tego programu zmuszone są do wdrożenia i korzystania z innego instrumentu transferowego, zgodnego z przepisami prawa, w szczególności z przepisami ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Instrumentem takim mogą być określone umowy transferowe zawierane z amerykańskimi partnerami („importerami" danych), bazujące na standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską. Jest to o tyle kuszące, iż Trybunał w wyroku w sprawie Schrems 2.0 nie zakwestionował ważności decyzji Komisji 2010/97/UE zatwierdzającej standardowe klauzule umowne. Co jednak kluczowe, możliwość korzystania z tego mechanizmu – nie tylko zresztą w relacjach z USA – obwarował dodatkowymi, daleko idącymi wymogami. Z uwagi na olbrzymią popularność rozwiązań kontraktowych wydaje się, że te fragmenty wyroku TSUE mogą być w dłuższej perspektywie o wiele bardziej istotne dla przedsiębiorców współpracujących w skali międzynarodowej niż samo, szeroko komentowane, „zamknięcie" programu Tarcza Prywatności. Warto więc przyjrzeć się kosztom (warunkom), jakie należy ponieść, chcąc nadal korzystać z klauzul modelowych w związku z międzynarodową wymianą danych osobowych.
Pierwszym warunkiem stawianym przez Trybunał jest konieczność przeprowadzenia przez unijnego „eksportera" danych, zamierzającego skorzystać z klauzul modelowych, dodatkowej analizy pod kątem adekwatności państwa trzeciego, do którego planowane (lub prowadzone) jest przekazywanie danych. Analiza ta powinna obejmować w szczególności ewentualny dostęp do przekazywanych danych ze strony organów władzy publicznej państwa trzeciego (np. amerykańskich agencji wywiadowczych).