Nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (Privacy Shield)
Privacy Shield to zawarte w 2016 roku przez Komisję Europejską i rząd USA porozumienie, regulujące kwestie związane z przekazywaniem danych osobowych z państw członkowskich UE do USA. Jego celem było umożliwienie podmiotom działającym w USA dobrowolne zastosowanie określonych standardów ochrony danych osobowych i uzyskanie administracyjnoprawnego potwierdzenia spełniania takich standardów. Wpis do ewidencji przedsiębiorstw stosujących Privacy Shield umożliwiał amerykańskim podmiotom przetwarzanie danych osobowych z państw członkowskich UE, stanowił bowiem potwierdzenie, że stopień ochrony danych osobowych jest merytorycznie równoważny temu, który gwarantowany jest w Unii Europejskiej na mocy rozporządzenia RODO. Decyzją nr 2016/1250 z dnia 12 lipca 2016 r. Komisja Europejska uznała, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z UE do podmiotów w USA w ramach Privacy Shield.
Od tego czasu Privacy Shield stała się dla tysięcy podmiotów główną podstawą prawną do przesyłania danych osobowych z UE do USA – na tej podstawie oparte było przetwarzanie danych milinów użytkowników m.in. przez Facebook’a.
Wyrokiem z 16 lipca 2020 r., na skutek skargi wniesionej przez Austriaka Maximilliana Schremsa, TSUE stwierdził jednak, że decyzja nr 2016/1250 jest nieważna. W ocenie TSUE ograniczenia ochrony danych osobowych, które wynikają z wewnętrznych regulacji Stanów Zjednoczonych dotyczących dostępu i wykorzystywania przez organy amerykańskich władz publicznych danych przekazywanych z UE, nie są uregulowane w sposób odpowiadający wymogom merytorycznym równoważnym z tymi stosowanymi w Unii. Nie chodzi o sam fakt, że amerykańskie służby posiadają dostęp do danych osobowych, ale że dostęp ten jest zdecydowanie zbyt łatwy, a zasady, na których następuje, nie są uregulowane w sposób odpowiadający wymogom proporcjonalności, które przewiduje prawo unijne. Nie ma zatem gwarancji, że amerykańskie służby mają dostęp do danych osobowych Europejczyków tylko i wyłącznie wtedy, gdy jest to konieczne lub uzasadnione względami bezpieczeństwa.
Jednocześnie w ocenie TSUE osobom, których dane osobowe są przetwarzane na terenie Stanów Zjednoczonych, nie została przyznana należyta ochrona sądowa, a przewidziany w decyzji Komisji 2016/1250 mechanizm mediacyjny nie jest wystarczający. Inwigilowane osoby nie mają w zasadzie żadnej możliwości sprzeciwu i odwołania się do niezależnego organu czy sądu. Tym samym poziom ochrony danych osobowych nie jest merytorycznie równoważny z tym, jaki od czasu wejścia w życie rozporządzenia RODO obowiązuje w Unii Europejskiej.
W związku z wydanym przez TSUE wyrokiem, organy ochrony danych osobowych będą kontrolować jaki jest faktyczny poziom ochrony danych osobowych w USA i od wyników tej oceny mogą uzależnić decyzję o ewentualnym pozwoleniu na przekazywanie danych osobowych. Jednocześnie, w związku z brakiem ważnej decyzji Komisji stwierdzającej odpowiedni stopień ochrony danych, organy nadzorcze zobowiązane są do zawieszenia lub zakazania przekazywania danych osobowych do państwa trzeciego, jeżeli uznają, że dany kraj nie może zapewnić odpowiedniej ochrony danych osobowych.
Choć lipcowy wyrok TSUE dotyczył przetwarzania danych osobowych przez Facebook’a, to rozstrzygnięcie w sprawie nieważności decyzji Komisji 2016/1250 ma wpływ na wszystkie podmioty, które przetwarzanie danych osobowych w relacjach transoceanicznych opierały na Privacy Shield, i z całą pewnością ten mechanizm zakłóci. Transfer danych osobowych do USA nie został oczywiście zabroniony, jednak w świetle takiego rozstrzygnięcia podmioty te zmuszone będą znaleźć inną podstawę legalizującą przetwarzanie danych osobowych pochodzących z Unii Europejskiej.
Standardowe klauzule umowne jako alternatywa?
Jedną z nich mogą być tzw. standardowe klauzule umowne. W wyroku TSUE rozstrzygnął bowiem również tę kwestię i w tym zakresie uznał, że decyzja Komisji Europejskiej nr 2010/87 w sprawie standardowych klauzul umownych przewiduje skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i nie dopatrzył się istnienia przesłanek jej nieważności. Jak się jednak okazuje, sprawa nie jest oczywista, a w świetle wyroku TSUE stosowanie standardowych klauzul umownych może się wiązać ze sporymi wątpliwościami.
Standardowe klauzule umowne przyjęte i zatwierdzone przez Komisję Europejską to wzorcowe klauzule, które w przypadku braku wydania przez Komisję Europejską decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie trzecim powinny znaleźć się w umowie dotyczącej przetwarzania danych. W praktyce są one najczęściej wprost implementowane do umów pomiędzy administratorem danych a podmiotem te dane przetwarzającym – przewidziany w nich zakres ochrony może zostać zwiększony, lecz nie może zostać zmniejszony ani ograniczony. Przekazywanie danych osobowych w oparciu o standardowe klauzule umowne nie wymaga przy tym zgody organów nadzorczych, ponieważ na mocy decyzji Komisji nr 2010/87 uznawane są za odpowiednie zabezpieczenia ochrony danych osobowych.
Co istotne, rozpatrując tę kwestię TSUE podkreślił jednak, że decyzja dotycząca standardowych klauzul umownych ustanawia obowiązek, by podmiot przekazujący dane i podmiot je odbierający sprawdziły uprzednio, czy ten stopień ochrony jest przestrzegany w danym państwie trzecim, i że zobowiązuje ona podmiot odbierający do poinformowania podmiotu przekazującego o swej ewentualnej niemożności zastosowania się do standardowych klauzul ochrony, w którym to przypadku do tego ostatniego należy zawieszenie przekazywania danych lub rozwiązanie umowy zawartej z podmiotem przekazującym.
Stanowisko to zgodne jest z wydaną w grudniu 2019 r. opinią Rzecznika Generalnego TSUE, w ocenie którego choć nie ma powodów, by generalnie podważyć klauzule, na których opiera się przesyłanie danych osobowych Europejczyków poza UE, to jednak w sytuacji gdy służby kraju, do którego dane te trafiają, mają do nich zbyt łatwy dostęp, transfer na podstawie standardowych klauzul umownych powinien zostać zawieszony. Taka konstatacja wynika również z tego, że ze względu na swój charakter standardowe klauzule ochrony danych nie wiążą organów państw trzecich, lecz wyłącznie strony takiej umowy.
Wyrok TSUE nie przesądza zatem, że standardowe klauzule ochronne będą skuteczną alternatywą dla Privacy Shield – wręcz przeciwnie, zasiewa w tym zakresie istotne wątpliwości. Wypowiedział się już na ten temat m.in. zaangażowany w sprawę irlandzki Urząd Ochrony Danych Osobowych, wskazując jednocześnie, że kwestia ta wymagać będzie w najbliższym czasie gruntownej i pogłębionej analizy, często powiązanej z indywidualną oceną każdego przypadku. W praktyce może się zatem okazać, że transfer danych do USA w oparciu o standardowe klauzule umowne również nie jest w rzeczywistości możliwy, ponieważ amerykańskie podmioty nie będą w stanie zagwarantować, z uwagi na wewnętrzne regulacje prawne, spełnienia obowiązków umownych w nich zawartych.
Zarówno ta, jak i wiele innych kwestii związanych z wyrokiem TSUE, w szczególności dotyczących jego realnego wpływu na przekazywanie danych osobowych, pozostaje jednak póki co bardzo niejednoznaczna. Z tego względu warto śledzić aktywność przede wszystkim europejskich organów nadzoru, w tym Urzędu Ochrony Danych Osobowych, które z całą pewnością w najbliższym czasie będą się z tym problemem konfrontować. Stanowisko tych organów niewątpliwie będzie stanowić istotną wskazówkę dla wszystkich zainteresowanych podmiotów – a tymi są nie przecież nie tylko przetwarzający dane, ale też ci, których te dane dotyczą. Słusznie wskazuje się jednak, że najbardziej prawdopodobnym rozwiązaniem wydaje się być przyjęcie okresu karencji, umożliwiającego przygotowane nowego rzetelnego rozwiązania – takiego, jakim miała być Privacy Shield, gdy w 2016 zastępowała unieważnione wówczas Safe Harbour. Zajęcie bardziej rygorystycznego stanowiska mogłoby doprowadzić do czasowego i wiążącego się z poważnymi konsekwencjami paraliżu jeśli chodzi o transatlantyckie przekazywanie danych.
Jakie działania należy podjąć?
Niezależnie od wszystkiego wyrok TSUE wymusi zdecydowane i szybkie działania po stronie wszystkich podmiotów, które przetwarzają w Stanach Zjednoczonych dane osobowe pochodzące z Unii Europejskiej. Unieważnienie Privacy Shield dla wielu z nich oznaczać będzie konieczność znalezienia nowej podstawy prawnej do przetwarzania danych osobowych i przeanalizowania, czy taka odpowiednia oraz skuteczna podstawa prawna w ogóle istnieje. Warto mieć przy tym na uwadze artykuł 49 RODO dotyczący wyjątków w szczególnych sytuacjach, gdy w przypadku braku decyzji Komisji stwierdzającej odpowiedni stopień ochrony lub braku innych odpowiednich zabezpieczeń możliwe jest przekazywanie danych osobowych do państwa trzeciego.
W praktyce wyrok TSUE wiąże się również z koniecznością zaktualizowania obowiązków informacyjnych oraz dokumentów związanych z przetwarzaniem danych osobowych (w szczególności Polityki Prywatności) przez te podmioty, które przekazują dane osobowe do USA i wskazują w tym zakresie Privacy Shield jako mechanizm bezpiecznego przetwarzania tych danych. Dotyczy to również tych podmiotów, które przetwarzają różnego rodzaju dane osobowe, a ich transfer do USA następuje chociażby przez korzystanie z portali społecznościowych posiadających serwery w Stanach Zjednoczonych.
