Trybunał Sprawiedliwości UE o transferze danych osobowych do USA

Trybunał Sprawiedliwości UE unieważnił decyzję pozwalającą na swobodny transfer danych osobowych za ocean.

Publikacja: 06.10.2015 19:15

Trybunał Sprawiedliwości UE o transferze danych osobowych do USA

Foto: 123RF

Wydany we wtorek wyrok może mieć duże znaczenie dla przedsiębiorców przechowujących swoje dane w informatycznej chmurze na amerykańskich serwerach. Wprawdzie orzeczenie zapadło w indywidualnej sprawie sporu obywatela Austrii Maximiliana Schremsa z irlandzkim Facebookiem, ale może mieć szersze znaczenie.

Trybunał Sprawiedliwości UE orzekł zgodnie z opinią swojego rzecznika generalnego ogłoszoną niecałe dwa tygodnie wcześniej (zwykle od opinii rzecznika do wyroku upływa kilka miesięcy). Stwierdził, że nieważna jest decyzja Komisji Europejskiej z 2000 r. (2000/520/WE), wprowadzająca program „Bezpiecznej przystani" (ang. Safe Harbor). Porozumienie to umożliwiało ponad 4 tys. amerykańskich firm przetwarzanie danych handlowych i osobowych ich klientów w Europie. Firmy uczestniczące w tym programie zobowiązywały się do przestrzegania europejskich standardów ochrony danych osobowych, znacznie bardziej restrykcyjnych niż w Stanach Zjednoczonych.

Trybunał stwierdził, że Komisja nie miała prawa ograniczać uprawnień krajowych organów ochrony danych osobowych. Mogą one bowiem nakładać zakazy transferu danych do USA. Tymczasem program „bezpiecznej przystani" swoim liberalnym charakterem ogranicza kompetencje tych organów – uznali sędziowie.

Wskutek takiego wyroku polski generalny inspektor ochrony danych osobowych będzie mógł, z powołaniem się na art. 18 ust. 1 pkt 4 ustawy o ochronie danych osobowych, zakazać transferu danych do USA. Przepis ten pozwala na działanie z urzędu albo na wniosek zainteresowanych.

Praktyka działania GIODO i podobnych organów w innych krajach członkowskich może zależeć od wytycznych, które ma wydać Komisja Europejska. Jej wiceszef Frans Timermans zapowiedział współpracę z władzami USA, aby właściwie zabezpieczyć wszystkie przekazywane dane.

– Będziemy się starali stworzyć nowe bezpieczne ramy prawne. Do tego czasu przekazywanie danych między przedsiębiorstwami będzie kontynuowane z wykorzystaniem innych mechanizmów – powiedział Timmermans.

Z kolei unijna komisarz sprawiedliwości Vera Jourova zaznaczyła, że Komisja od dwóch lat współpracuje z władzami amerykańskimi nad przeglądem Safe Harbor. Zaznaczyła też, że jest wiele innych metod przekazywania danych do USA, np. porozumienia między firmami, które wymieniają się danymi, czy przepisy korporacyjne w ramach danej grupy.

Eksperci na razie wolą nie spekulować, jak będzie wyglądała praktyka, ale radzą przedsiębiorcom korzystającym z chmury na amerykańskich serwerach sprawdzić, czy korzystają z systemu Safe Harbor.

– W najgorszym scenariuszu może na pewien czas niezbędne będzie zawieszenie transferu danych, aby uniknąć naruszenia prawa, i podjęcie działań mających zapewnić legalność takiego przesyłania – ostrzega Anna Kobylańska, adwokat w PwC Legal.

Sygn. akt C-362/14

Opinia dla „Rz"

Damian Karwala, radca prawny w kancelarii DLA Piper

Wyrok Trybunału oznacza, że znika prawna podstawa programu „bezpiecznej przystani" między Unią Europejską i USA. Choć rozstrzygnięcie zapadło w trybie prejudycjalnym, dotyczącym konkretnej (indywidualnej) sprawy, będzie ono miało skutek powszechny i natychmiastowy. Może to stwarzać podstawy do wydania przez krajowy organ (w Polsce GIODO) zakazu przekazywania takich danych do USA przez konkretną firmę. Trudno dziś przesądzać o przyszłej praktyce organu. Bez względu jednak na to podmioty przekazujące dane osobowe do amerykańskich firm należących do „bezpiecznej przystani" muszą zrewidować przyjęte strategie i zastosować innego rodzaju mechanizmy, pozwalające na zgodne z prawem przekazywanie takich danych do USA.

Wydany we wtorek wyrok może mieć duże znaczenie dla przedsiębiorców przechowujących swoje dane w informatycznej chmurze na amerykańskich serwerach. Wprawdzie orzeczenie zapadło w indywidualnej sprawie sporu obywatela Austrii Maximiliana Schremsa z irlandzkim Facebookiem, ale może mieć szersze znaczenie.

Trybunał Sprawiedliwości UE orzekł zgodnie z opinią swojego rzecznika generalnego ogłoszoną niecałe dwa tygodnie wcześniej (zwykle od opinii rzecznika do wyroku upływa kilka miesięcy). Stwierdził, że nieważna jest decyzja Komisji Europejskiej z 2000 r. (2000/520/WE), wprowadzająca program „Bezpiecznej przystani" (ang. Safe Harbor). Porozumienie to umożliwiało ponad 4 tys. amerykańskich firm przetwarzanie danych handlowych i osobowych ich klientów w Europie. Firmy uczestniczące w tym programie zobowiązywały się do przestrzegania europejskich standardów ochrony danych osobowych, znacznie bardziej restrykcyjnych niż w Stanach Zjednoczonych.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Czym jeździć
Technologia, której nie zobaczysz. Ale możesz ją poczuć
Materiał Promocyjny
Zagospodarować można wszystko. Ale trzeba umieć i chcieć
Tu i Teraz
Skoda Kodiaq - nowy wymiar przestrzeni
Spadki i darowizny
Jak przepisać mieszkanie na dziecko? Trzy sposoby. Mniej i bardziej kosztowne
Prawo dla Ciebie
Nowy obowiązek dla właścicieli psów i kotów. Znamy szacowany koszt
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw