W globalnym świecie dane osobowe to część światowego krwiobiegu gospodarki – krążą między krajami i kontynentami 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku. Gospodarka światowa nie może funkcjonować bez tych przepływów danych – i nie mam na myśli wyłącznie, że ktoś poleci na wakacje do Egiptu, a ktoś inny kupi coś w sklepie internetowym w Chinach. Bez międzynarodowych transferów danych zapewne przestałyby działać nasze telefony i komputery, stracilibyśmy możliwość korzystania z popularnych serwisów społecznościowych, a biznes musiałby się pożegnać ze swymi danymi trzymanymi „w chmurze”, czyli najczęściej właśnie w infrastrukturze opartej na transferach danych.

Czytaj więcej

RODO: zasady transferu danych do państw trzecich

Przyjmując w latach 90. dyrektywę 95/46 o ochronie danych osobowych, Unia Europejska postanowiła ograniczyć ich międzynarodowe przekazywanie. Założenie było proste: tworzymy w Europie wspólną przestrzeń prawną dla ochrony tych danych, więc przekazywanie ich z Europy (techniczne rzecz ujmując z Europejskiego Obszaru Gospodarczego, EOG) do innych państw powinno być dopuszczalne tylko wtedy, gdy te inne państwa chronią u siebie dane osobowe tak, jak my chronimy je w Unii.

Ten sam model został powtórzony w RODO. Problem polegał jednak na tym, że między 1995 a 2016 r. wiele się zmieniło. Pojawiło się bowiem dwóch graczy, którzy sprawili, że międzynarodowe transfery danych nigdy już nie będą takie same. Edward Snowden, który ujawnił programy masowej inwigilacji prowadzone przez służby amerykańskie, i Max Schrems, który z walki z transferami danych do USA uczynił swój znak rozpoznawczy. Snowden dostarczył informacji, a Schrems doprowadził do wydania dwóch wyroków TSUE (określanych jako Schrems I z 2015 r. i Schrems II z 2020 r.), z których zwłaszcza ten drugi wprost przytacza informacje ujawnione przez Snowdena.

Wybrać kraj

W uproszczeniu: żeby w ogóle rozważać transfer danych osobowych z EOG do innego państwa, trzeba albo wybrać państwo, które Komisja Europejska uznała za dające gwarancję odpowiedniej ochrony danych, albo ocenić, czy „prawo państwa przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych” (z wyroku Schrems II). A przy takiej ocenie trzeba uwzględnić „istotne elementy składające się na […] system prawny tego państwa […] w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazanych w ten sposób danych osobowych” (także Schrems II). A ponieważ sam TSUE wskazał, że przepisy amerykańskie regulujące kompetencje służb związane z dostępem do danych „nie odpowiadają wymogom minimalnym związanym w prawie Unii z zasadą proporcjonalności” (Schrems II), zaczął się wyścig o to, kto pierwszy zakaże transferów danych do USA. Prym w wyścigu wiodły niemieckie organy ochrony danych osobowych, spośród których palmę pierwszeństwa trzeba przyznać temu berlińskiemu, który już dzień po ogłoszeniu wyroku Schrems II wezwał niemieckich administratorów danych do przeniesienia danych od amerykańskich dostawców do krajów EOG.

A potem już samo poszło: rekomendacja Europejskiej Rady Ochrony Danych (EROD) stwierdzająca, że w zasadzie jedynym dopuszczalnym przypadkiem transferu danych do USA jest transfer danych zaszyfrowanych, decyzje regulatorów z kolejnych krajów zakazujące korzystania z Google Analytics ze względu na to, że w tej usłudze przekazuje się dane do USA, czy wreszcie zapowiedź wydania przez organ irlandzki decyzji zakazującej Facebookowi transferowania danych do USA. Nie lubimy USA w kontekście transferów danych – ale lubimy Rosję. Bo jak inaczej odebrać niedawne stanowisko Europejskiej Rady Ochrony Danych ws. transferów danych do Rosji, w którym stwierdza się co prawda, że do Rosji znajduje zastosowanie mechanizm wynikający z wyroku Schrems II, ale jednocześnie podkreśla się, że „niektóre kraje członkowskie mają bliskie związki ekonomiczne i historyczne z Rosją”, a niektóre krajowe organu nadzorcze pracują nad znalezieniem podstaw prawnych dla transferów danych do Rosji?

W przeciwieństwie do niektórych komentatorów nie winię EROD za to, że w oficjalnym stanowisku powołuje się na historyczne i ekonomiczne związki z Rosją: EROD to nie byt istniejący sam w sobie. To jej członkowie, którzy najwyraźniej tak właśnie uznali na posiedzeniu Rady. Zresztą, co ciekawe, jak ujawnił na Twitterze prof. Ulrich Kelber, piastujący urząd niemieckiego federalnego organu nadzorczego, ani Polska, ani kraje bałtyckie nie miały problemu z przyjęciem tego stanowiska. Problem leży więc gdzie indziej: w podwójnych standardach prezentowanych przez krajowe organy nadzorcze. Gdyby do transferów danych osobowych do Rosji zastosować dzisiaj, bez wojny w Ukrainie, mechanizmy wskazane przez TSUE w wyroku Schrems II, wniosek byłby prosty: transfery danych do Rosji powinny rządzić się takimi samymi prawami jak transfery danych do USA (i zapewne jeszcze do kilku innych krajów świata). Uzasadnienie jest bardzo proste – istniejące w Rosji przepisy (tzw. ustawa Jarowej) nakazujące przechowywanie wszystkich treści wymienianych przy użyciu środków komunikacji elektronicznej przez sześć miesięcy, a metadanych przez trzy lata i ujawnianie im rosyjskim służbom bez nakazu sądu. Te mechanizmy zresztą już ocenił Europejski Trybunał Praw Człowieka w sprawie Roman Zacharow przeciwko Rosji jako niezapewniające odpowiednich i skutecznych gwarancji przeciwko arbitralności i ryzyku nadużyć. Mamy więc bardzo jasny przykład istnienia podwójnych standardów w dziedzinie ochrony danych osobowych: z jednej strony próbujemy blokować transfery danych do USA, z drugiej strony, oceniając transfery danych do Rosji, uciekamy w historyczne i ekonomiczne związki, a nie stosujemy mechanizmów, które stosować powinniśmy i które mamy dostępne już od dwóch lat.

Wpływać na relacje

Rolą prawa ochrony danych osobowych nie jest kreowanie stosunków gospodarczych i relacji społecznych. Jest nią takie wpływanie na relacje i stosunki istniejące, żeby w ich ramach zapewnić poszanowania prawa podstawowego do ochrony danych osobowych – z jednym wyjątkiem dotyczącym transferów danych: dane nie mogą być przekazywane do krajów, gdzie nie są odpowiednio chronione. Dane osobowe nie są w USA chronione w stopniu wymaganym przez prawo Unii, a więc takie transfery danych powinny zostać ograniczone. Dane osobowe nie są w Rosji chronione w stopniu wymaganym przez prawo Unii, a więc takie transfery danych powinny zostać ograniczone. Związki ekonomiczne i historyczne nie mają tu nic do rzeczy – zresztą, mam wrażenie, związki te są znacznie silniejsze między Unią a Stanami Zjednoczonymi i jakoś dotychczas ten wątek nie pojawiał się w dyskusji na temat transferów danych do USA. Czas więc skończyć z podwójnymi standardami i albo powszechnie stosować te, które stosujemy wobec USA, albo przyznać się do tego, że związki ekonomicznej i historyczne są tak silne, że Unia nie jest w stanie ograniczyć międzynarodowych transferów danych.

Autor jest dr. nauk prawnych, adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.