Trybunał Sprawiedliwości UE o transferze danych osobowych do USA

Wydany we wtorek wyrok może mieć duże znaczenie dla przedsiębiorców przechowujących swoje dane w informatycznej chmurze na amerykańskich serwerach. Wprawdzie orzeczenie zapadło w indywidualnej sprawie sporu obywatela Austrii Maximiliana Schremsa z irlandzkim Facebookiem, ale może mieć szersze znaczenie.

Trybunał Sprawiedliwości UE orzekł zgodnie z opinią swojego rzecznika generalnego ogłoszoną niecałe dwa tygodnie wcześniej (zwykle od opinii rzecznika do wyroku upływa kilka miesięcy). Stwierdził, że nieważna jest decyzja Komisji Europejskiej z 2000 r. (2000/520/WE), wprowadzająca program „Bezpiecznej przystani" (ang. Safe Harbor). Porozumienie to umożliwiało ponad 4 tys. amerykańskich firm przetwarzanie danych handlowych i osobowych ich klientów w Europie. Firmy uczestniczące w tym programie zobowiązywały się do przestrzegania europejskich standardów ochrony danych osobowych, znacznie bardziej restrykcyjnych niż w Stanach Zjednoczonych.

Trybunał stwierdził, że Komisja nie miała prawa ograniczać uprawnień krajowych organów ochrony danych osobowych. Mogą one bowiem nakładać zakazy transferu danych do USA. Tymczasem program „bezpiecznej przystani" swoim liberalnym charakterem ogranicza kompetencje tych organów – uznali sędziowie.

Wskutek takiego wyroku polski generalny inspektor ochrony danych osobowych będzie mógł, z powołaniem się na art. 18 ust. 1 pkt 4 ustawy o ochronie danych osobowych, zakazać transferu danych do USA. Przepis ten pozwala na działanie z urzędu albo na wniosek zainteresowanych.

Praktyka działania GIODO i podobnych organów w innych krajach członkowskich może zależeć od wytycznych, które ma wydać Komisja Europejska. Jej wiceszef Frans Timermans zapowiedział współpracę z władzami USA, aby właściwie zabezpieczyć wszystkie przekazywane dane.

– Będziemy się starali stworzyć nowe bezpieczne ramy prawne. Do tego czasu przekazywanie danych między przedsiębiorstwami będzie kontynuowane z wykorzystaniem innych mechanizmów – powiedział Timmermans.

Z kolei unijna komisarz sprawiedliwości Vera Jourova zaznaczyła, że Komisja od dwóch lat współpracuje z władzami amerykańskimi nad przeglądem Safe Harbor. Zaznaczyła też, że jest wiele innych metod przekazywania danych do USA, np. porozumienia między firmami, które wymieniają się danymi, czy przepisy korporacyjne w ramach danej grupy.

Eksperci na razie wolą nie spekulować, jak będzie wyglądała praktyka, ale radzą przedsiębiorcom korzystającym z chmury na amerykańskich serwerach sprawdzić, czy korzystają z systemu Safe Harbor.

– W najgorszym scenariuszu może na pewien czas niezbędne będzie zawieszenie transferu danych, aby uniknąć naruszenia prawa, i podjęcie działań mających zapewnić legalność takiego przesyłania – ostrzega Anna Kobylańska, adwokat w PwC Legal.

Sygn. akt C-362/14

Opinia dla „Rz"

Damian Karwala, radca prawny w kancelarii DLA Piper