W globalnym świecie dane osobowe to część światowego krwiobiegu gospodarki – krążą między krajami i kontynentami 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku. Gospodarka światowa nie może funkcjonować bez tych przepływów danych – i nie mam na myśli wyłącznie, że ktoś poleci na wakacje do Egiptu, a ktoś inny kupi coś w sklepie internetowym w Chinach. Bez międzynarodowych transferów danych zapewne przestałyby działać nasze telefony i komputery, stracilibyśmy możliwość korzystania z popularnych serwisów społecznościowych, a biznes musiałby się pożegnać ze swymi danymi trzymanymi „w chmurze”, czyli najczęściej właśnie w infrastrukturze opartej na transferach danych.
Czytaj więcej
Umowy dotyczące przesyłu danych do państw trzecich zawierane po 27 września 2021 r. muszą być oparte na nowych standardowych klauzulach umownych przyjętych przez Komisję Europejską. Trwające zaś w tym dniu trzeba aneksować najpóźniej przed 27 grudnia 2022 r.
Przyjmując w latach 90. dyrektywę 95/46 o ochronie danych osobowych, Unia Europejska postanowiła ograniczyć ich międzynarodowe przekazywanie. Założenie było proste: tworzymy w Europie wspólną przestrzeń prawną dla ochrony tych danych, więc przekazywanie ich z Europy (techniczne rzecz ujmując z Europejskiego Obszaru Gospodarczego, EOG) do innych państw powinno być dopuszczalne tylko wtedy, gdy te inne państwa chronią u siebie dane osobowe tak, jak my chronimy je w Unii.
Ten sam model został powtórzony w RODO. Problem polegał jednak na tym, że między 1995 a 2016 r. wiele się zmieniło. Pojawiło się bowiem dwóch graczy, którzy sprawili, że międzynarodowe transfery danych nigdy już nie będą takie same. Edward Snowden, który ujawnił programy masowej inwigilacji prowadzone przez służby amerykańskie, i Max Schrems, który z walki z transferami danych do USA uczynił swój znak rozpoznawczy. Snowden dostarczył informacji, a Schrems doprowadził do wydania dwóch wyroków TSUE (określanych jako Schrems I z 2015 r. i Schrems II z 2020 r.), z których zwłaszcza ten drugi wprost przytacza informacje ujawnione przez Snowdena.
Wybrać kraj
W uproszczeniu: żeby w ogóle rozważać transfer danych osobowych z EOG do innego państwa, trzeba albo wybrać państwo, które Komisja Europejska uznała za dające gwarancję odpowiedniej ochrony danych, albo ocenić, czy „prawo państwa przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych” (z wyroku Schrems II). A przy takiej ocenie trzeba uwzględnić „istotne elementy składające się na […] system prawny tego państwa […] w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazanych w ten sposób danych osobowych” (także Schrems II). A ponieważ sam TSUE wskazał, że przepisy amerykańskie regulujące kompetencje służb związane z dostępem do danych „nie odpowiadają wymogom minimalnym związanym w prawie Unii z zasadą proporcjonalności” (Schrems II), zaczął się wyścig o to, kto pierwszy zakaże transferów danych do USA. Prym w wyścigu wiodły niemieckie organy ochrony danych osobowych, spośród których palmę pierwszeństwa trzeba przyznać temu berlińskiemu, który już dzień po ogłoszeniu wyroku Schrems II wezwał niemieckich administratorów danych do przeniesienia danych od amerykańskich dostawców do krajów EOG.