Transfer danych osobowych do USA po przełomowym wyroku TSUE w sprawie Schrems II

Data dodania:

Od 16 lipca 2020 r. Facebook nie może przekazywać do USA danych osobowych europejskich użytkowników na podstawie Tarczy Prywatności. Co dalej z transferem danych osobowych obywateli europejskich do USA?

16 lipca 2020 r. przed Europejskim Trybunałem Sprawiedliwości w Luksemburgu (dalej TSUE), zapadło przełomowe orzeczenie sądowe ważne dla globalnych korporacji transferujących na ogromną skalę dane osobowe z Europy do USA na podstawie programu Tarcza Prywatności UE-USA. Tarcza miała zapewnić odpowiednią ochronę danych osobowych obywateli UE, przekazywanych do Stanów Zjednoczonych. Warto wspomnieć, że na dzień wydania wyroku C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (dalej sprawa Schrems II) z Tarczy Prywatności korzystało ponad 5000 podmiotów z sektora publicznego i prywatnego. (vide: https://www.privacyshield.gov/list).

Skargi Schremsa

Maximilian Schrems, austriacki prawnik i aktywista, po raz pierwszy złożył skargę przeciwko firmie Facebook Ireland Ltd. do irlandzkiego komisarza ds. Ochrony danych (dalej: DPC), w 2013 roku. Pan Schrems, jako użytkownik portalu społecznościowego Facebook, sprzeciwił się udostępnianiu jego danych osobowych do USA, które uprawniają agencje wywiadu (np. FBI) do gromadzenia na ogromną skalę danych bez względu na cel ich przetwarzania.

Irlandzki urząd ochrony danych osobowych odrzucił skargę argumentując, że jest związany decyzją Komisji Europejskiej nr 2000/520 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną „Bezpieczną przystanią (eng. „Safe Harbour”).

Na zakończenie sprawy „Schrems I” irlandzki Sąd Najwyższy, do którego odwołał się M.Schrems, zwrócił się do TSUE z pytaniem prejudycjalnym. Trybunał po rozpoznaniu sprawy wyrokiem z dnia 6 października 2015 r. sygn. akt C-362/14 stwierdził nieważność decyzji Komisji Europejskiej nr 2000/520, dotyczącej tzw. „Bezpiecznej Przystani”, co w praktyce przekreślało możliwość transferu danych osobowych z UE do USA na tej podstawie prawnej.

Po wydaniu przez Trybunał wyroku w sprawie Schrems I, sprawa została zwrócona do ponownego rozpatrzenia irlandzkiemu komisarzowi ds. Ochrony danych. Maximilian Shrems podtrzymał żądanie skargi dotyczące zakazu transferu danych dowodząc, że wewnętrzne prawo Stanów Zjednoczonych nakazuje Facebook Inc. udostępnienie danych osobowych obywateli innych państw amerykańskim agencjom wywiadowczym w ramach programów PRISM i Upstream. W ocenie irlandzkiego organu nadzorczego, kwestią najistotniejszą była ocena ważności decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych, dlatego też w maju 2016 r. zwrócił się on do irlandzkiego sądu o wystąpienie do TSUE w tym zakresie w trybie prejudycjalnym.

Irlandzki Sąd Najwyższy ponownie zwrócił się do TSUE z pytaniem prejudycjalnym w sprawie zgodności z prawem wspólnotowym decyzji Komisji Europejskiej nr 2010/87 w sprawie standardowych klauzul ochrony. W międzyczasie, Komisja wydała też nową decyzję nr 2016/1250 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną Tarczą Prywatności (Privacy Shield), a więc porozumienia pomiędzy UE i USA, zastępującego Bezpieczną Przystań. Sąd Najwyższy w Irlandii wniósł o zbadanie przez TSUE obu tych decyzji.
I tu dochodzimy do podstaw wydania drugiego wyroku (Schrems II).

TSUE stwierdza nieważność Tarczy Prywatności

16 lipca 2020 r. w ogłoszonym wyroku TSUE stwierdza brak skutecznych mechanizmów ochronnych dla europejskich użytkowników Facebook w prawie USA i na tej podstawie orzekł o nieważności mechanizmu Tarczy Prywatności. W rozpatrywanym wyroku zasadnicze znaczenie mają dwie kwestie: legalność tzw. Tarczy Prywatności oraz utrzymanie ważności standardowych klauzul umownych.

TSUE uznał, że decyzja Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield) jest nieważna, bo w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Europy ochrony na poziomie odpowiadającym wymogom RODO. W konsekwencji należało wstrzymać te transfery danych osobowych do USA, które jako podstawę prawną wskazywały Tarczę. Warto jednak podkreślić, że samo uznanie przez Trybunał nieważności Tarczy Prywatności nie sprawia, że dane osobowe przestaną być transferowane na terenie USA. W efekcie luki prawnej powstałej po orzeczeniu TSUE podmioty przekazujące dane osobowe do USA są zmuszone do znalezienia innej podstawy prawnej legalizującej tę operację w oparciu o RODO.

Standardowe klauzule umowne

TSUE wypowiedział się także w sprawie standardowych klauzul umownych (eng. Standard Contractual Clauses) które można zawrzeć w umowie z odbiorcą danych ze Stanów Zjednoczonych. Europejski Trybunał w swoim orzeczeniu nie podważył legalności standardowych klauzul umownych dotyczących przekazywana danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa na podstawie odpowiednich przepisów prawa krajowego.

Konsekwencją wydanego w sprawie Schrems II wyroku jest obowiązek dokonywania przy operacji przekazywania danych osobowych przez importera i eksportera danych osobowych każdorazowej analizy okoliczności związanych z transferem zarówno już w obowiązujących umowach, jak i przy nowo zawieranych transakcjach.

Bezprecedensowe skutki

W związku z wydaniem przez TSUE precedensowego orzeczenia należy oczekiwać wytycznych ze strony Europejskiego Inspektora Ochrony Danych, Europejskiej Rady Ochrony Danych i organów nadzoru w zakresie transferu danych UE-USA oraz prób oparcia transferu danych osobowych użytkowników z Europy do Stanów Zjednoczonych na innej podstawie prawnej. Do chwili, kiedy Komisja Europejska zajmie oficjalne stanowisko niezbędne jest zadbanie o zawarcie z odbiorcami danych Standardowych Klauzul Umownych w celu zapewnienia zgodnego z prawem transferu danych.

Więcej: Wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18 (Schrems II).
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=pl&mode=lst&dir=&occ=first&part=1&cid=10397632
Więcej: Odpowiedź Europejskiej Rady Ochrony Danych na pytania związane z konsekwencjami wyroku TSUE w sprawie C-311/18 (Schrems II).
https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en