Od czasu orzeczenia w sprawie Schrems -kwestionującego legalność transferu danych do USA (w ramach programu certyfikacji Safe Harbour) – minęło już trochę czasu, w związku z czym możliwe jest wskazanie ograniczeń prawnych obrotu, będących konsekwencją tego wyroku. Jako przykład można podać sytuację, gdy administrator danych mający siedzibę na terenie Europejskiego Obszaru Gospodarczego (np. w Polsce) przekazuje dane swoich klientów do usługodawcy przetwarzającego je w chmurze obliczeniowej zlokalizowanej na terenie USA. Transfer danych następuje przy udziale europejskiego partnera administratora danych.
Po wyroku w sprawie Schrems, typowym – i potencjalnie najmniej skomplikowanym – narzędziem legalizacji przetwarzania danych we wskazanym modelu są klauzule standardowe Komisji Europejskiej (decyzja 2010/87/UE, dalej klauzule standardowe). Zawarcie umowy na podstawie tych postanowień zwalnia administratora danych od wypełniania dodatkowych formalności. Nie jest to jednak instrument doskonały, co najmniej z kilku powodów.
Do ideału droga daleka
Jak do tej pory Komisja Europejska nie wydała zestawu postanowień możliwych do włączenia do umowy pomiędzy procesorem (przetwarzającym na terenie EOG dane w imieniu administratora z siedzibą też w obrębie EOG) a jego podwykonawcą (dalszym procesorem) przetwarzającym dane na terenie USA. W związku z tym klauzule standardowe nie mogą stanowić instrumentu legalizacji transferu danych pomiędzy tymi podmiotami (procesorem i podprocesorem). W tym zakresie niewystarczająca byłaby także zgoda administratora na dalsze powierzenie danych i w konsekwencji na zawarcie umowy pomiędzy procesorem i podprocesorem.
W przedstawionym stanie faktycznym umowa powierzenia zawierana na podstawie klauzul standardowych powinna wiązać bezpośrednio administratora danych oraz procesora przetwarzającego dane poza EOG. Rozwiązaniem problemu mogłoby być pełnomocnictwo udzielone przez administratora danych na rzecz procesora zamierzającego przekazać dane do państwa trzeciego, niemniej w praktyce taka sytuacja będzie należeć do rzadkości. Udzielenie przez administratora danych upoważnienia do zawarcia umowy, która zwiąże go bezpośrednio z podmiotem (np. z USA), z którym zwykle nie ma innych relacji kontraktowych, jawi się jako opcja zbyt ryzykowna.
Forma pisemna to utrudnienie
Zawarcie umowy z wykorzystaniem klauzul standardowych wymaga dochowania formy pisemnej, co w relacji administrator–procesor wynika już z przepisów ustawy o ochronie danych osobowych (art. 31). Co istotne, standardowe klauzule wymagają zgody pisemnej także dla dalszego powierzenia danych. Łatwo się domyślić, iż wymiana dokumentów w formie pisemnej z podmiotem mającym siedzibę w USA jest w praktyce utrudniona. Kwestia sankcji braku dochowania formy pisemnej jest w tej sytuacji sprawą otwartą. Natomiast niewątpliwie rodzi to ryzyko zarzutu naruszenia wymogów dotyczących legalizacji przekazania danych do państwa trzeciego (w tym USA).