W połowie lipca Trybunał Sprawiedliwości UE (TSUE) ogłosił długo oczekiwany wyrok w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (sprawa C311/18, nazywana sprawą Schrems 2.0). Sprawa ta oraz jej rozstrzygnięcie mają olbrzymie znaczenie nie tylko dla osób zajmujących się ochroną prywatności oraz danych osobowych. Jej wpływ będzie miał również wymiar gospodarczy oraz polityczny, zwłaszcza w relacjach transatlantyckich.
TSUE stwierdził nieważność decyzji wykonawczej Komisji 2016/1250, na której podstawie funkcjonował program wymiany danych osobowych ze Stanami Zjednoczonymi (tzw. Tarcza Prywatności). Tym samym wszelkie podmioty (w szczególności przedsiębiorcy) przekazujące za Atlantyk dane osobowe w ramach tego programu zmuszone są do wdrożenia i korzystania z innego instrumentu transferowego, zgodnego z przepisami prawa, w szczególności z przepisami ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Instrumentem takim mogą być określone umowy transferowe zawierane z amerykańskimi partnerami („importerami" danych), bazujące na standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską. Jest to o tyle kuszące, iż Trybunał w wyroku w sprawie Schrems 2.0 nie zakwestionował ważności decyzji Komisji 2010/97/UE zatwierdzającej standardowe klauzule umowne. Co jednak kluczowe, możliwość korzystania z tego mechanizmu – nie tylko zresztą w relacjach z USA – obwarował dodatkowymi, daleko idącymi wymogami. Z uwagi na olbrzymią popularność rozwiązań kontraktowych wydaje się, że te fragmenty wyroku TSUE mogą być w dłuższej perspektywie o wiele bardziej istotne dla przedsiębiorców współpracujących w skali międzynarodowej niż samo, szeroko komentowane, „zamknięcie" programu Tarcza Prywatności. Warto więc przyjrzeć się kosztom (warunkom), jakie należy ponieść, chcąc nadal korzystać z klauzul modelowych w związku z międzynarodową wymianą danych osobowych.
Pierwszym warunkiem stawianym przez Trybunał jest konieczność przeprowadzenia przez unijnego „eksportera" danych, zamierzającego skorzystać z klauzul modelowych, dodatkowej analizy pod kątem adekwatności państwa trzeciego, do którego planowane (lub prowadzone) jest przekazywanie danych. Analiza ta powinna obejmować w szczególności ewentualny dostęp do przekazywanych danych ze strony organów władzy publicznej państwa trzeciego (np. amerykańskich agencji wywiadowczych).
Wymóg ten wydaje się niezwykle wygórowany. Wynika to choćby z tego, że zasady funkcjonowania określonych programów związanych np. z bezpieczeństwem narodowym są często utrzymywane w tajemnicy, co dotyczy również podstaw prawnych ich działania. By nie szukać daleko, potrzeba było Edwarda Snowdena, aby świat dowiedział się o praktykach amerykańskich organów władzy publicznej (program PRISM i inne). Dodatkowo przerzucenie na podmioty gospodarcze obowiązku przeprowadzenia stosownych analiz może skutkować fragmentaryzacją w skali Unii Europejskiej. Każdy bowiem z podmiotów dokonujących tego rodzaju analiz we własnym zakresie może dojść do odmiennych wniosków. Rozwiązaniem, które można by zaproponować, starając się pogodzić oczekiwania TSUE z praktyką, byłaby centralizacja przeprowadzania tego rodzaju analiz. Kompetencje Komisji lub innego organu unijnego (czy też krajowego, w szczególności prezesa UODO) budzą jednak wątpliwości. Zresztą TSUE wyraźnie oczekuje aktywności głównych zainteresowanych, czyli eksporterów danych.
Rozstrzygnięcie TSUE stwierdzające nieważność decyzji Komisji 2016/1250 mocno zbliżone jest w skutkach do tzw. decyzji negatywnej Komisji w sprawie adekwatności państwa trzeciego. Tego rodzaju negatywne decyzje Komisja może wydawać na podstawie art. 45 ust. 5 RODO, po przesądzeniu, że państwo trzecie przestało zapewniać na swym terytorium odpowiedni stopień ochrony.
Co przy tym najważniejsze, „wpisanie" przez Komisję danego państwa trzeciego na swoistą czarną listę nie oznacza, że nie jest dopuszczalne kontynuowanie przekazywania tam danych osobowych. Wprost przeciwnie – jest to nadal dopuszczalne, z wykorzystaniem instrumentów przewidzianych w art. 46–49 RODO, w tym m.in. na podstawie klauzul modelowych (wynika to jednoznacznie z art. 45 ust. 7 RODO). Co więcej ten ostatni przepis – nad którym długo dyskutowano w trakcie prac nad RODO – nie zawiera żadnych dodatkowych wymogów, w szczególności takich, jakie w swym wyroku wprowadza TSUE.
Drugim stawianym przez TSUE warunkiem dopuszczalności korzystania z klauzul modelowych jest przyjęcie przez zainteresowane strony (tj. eksportera oraz importera danych) dodatkowych zabezpieczeń ponad te wynikające z samych klauzul umownych. Przy czym, jak się wydaje, dotyczy to każdego przypadku, nie tylko zaś sytuacji, gdy przeprowadzona ocena systemu prawnego państwa trzeciego doprowadzi do negatywnych wniosków.
TSUE nie doprecyzował jednak, jakie miałyby być to zabezpieczenia. Również Europejska Rada Ochrony Danych (EROD) ma z tym problem. W wydanym komunikacie wskazała jedynie, że „analizuje orzeczenie Trybunału w celu określenia" tego rodzaju dodatkowych środków.
Wczytując się w uzasadnienie rozstrzygnięcia TSUE, może być z tym spory problem. TSUE oczekuje wprowadzenia dodatkowych zabezpieczeń przede wszystkim dlatego, że umowny charakter klauzul modelowych „nierozerwalnie wiąże się z tym, że nie mogą one wiązać organów władzy publicznej państw trzecich". Widać więc dość wyraźnie, że Trybunałowi zależałoby na takich zabezpieczeniach, które „zwiążą" odpowiednio organy publiczne z państw trzecich. Z jakich jednak środków eksporter danych (podmiot prywatny) miałby skorzystać? TSUE, jak już wskazałem, tego nie precyzuje.
W jednym nie sposób odmówić TSUE precyzji. Mianowicie wyraźnie wskazuje, że w razie nieprzyjęcia tego rodzaju dodatkowych zabezpieczeń unijni eksporterzy danych są zobowiązani „do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego".
Autor jest doktorem i radcą prawnym w CMS
