16 lipca 2020 r. zapadł wyrok w sprawie C-311/18 („Schrems II”), w którym TSUE uznał, że Stany Zjednoczone nie zapewniają właściwego poziomu ochrony danych osobowych. Tym samym TSUE unieważnił decyzję Komisji Europejskiej o Tarczy Prywatności oraz wypowiedział się na temat standardowych klauzul umownych (Standard Contractual Clauses, SCC) wprowadzonych na podstawie tej decyzji Komisji.
Przyjrzyjmy się bliżej, jaki jest stan faktyczny i czego dotyczyła sprawa „Schrems I”
Pan Maximillian Schrems kilka lat temu zwrócił się do irlandzkiego oddziału serwisu społecznościowego Facebook Inc. z wnioskiem o wskazanie regulacji prawnych, wedle których dane osobowe użytkowników serwisu są przekazywane na zewnętrzne serwery do USA, co zapoczątkowało wieloletnie postępowania. Od wszystkich użytkowników Facebooka wymagane jest bowiem zawarcie, w chwili rejestracji, umowy ze spółką Facebook Ireland- spółką zależną spółki dominującej Facebook Inc., mającej siedzibę w Stanach Zjednoczonych. Dane osobowe użytkowników Facebooka mieszkających na terytorium Unii są, w całości lub częściowo, przekazywane na serwery spółki Facebook Inc., położonej na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane.
W odpowiedzi udzielonej przez Facebook stwierdzono, że przekazywanie danych następuje na podstawie SCC. P. Schrems wskazywał natomiast, że praktyka przekazywania danych do USA w ramach SCC jest nieprawidłowa. Regulacje prawne USA, wymuszają bowiem na amerykańskich podmiotach gospodarczych ujawnianie danych osobowych np. służbom federalnym. Z tych względów zweryfikowanie przestrzegania ochrony danych osobowych w USA, według p. Schremsa jest niemożliwe do wykonania.
W 2013r. M. Schrems wniósł do Komisji Europejskiej skargę, w której zwrócił się o zakazanie spółce Facebook Ireland przekazywania jego danych osobowych do Stanów Zjednoczonych. W skardze podniósł, że prawo i praktyka obowiązujące w tym państwie nie zapewniają wystarczającej ochrony danych osobowych zatrzymywanych na jego terytorium przed prowadzonymi w nim przez władze publiczne działaniami nadzorczymi. Skarga ta została oddalona w szczególności ze względu na to, że Komisja w decyzji 2000/520/WE (decyzja Safe Harbor) potwierdziła, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych.
High Court (wysoki trybunał, Irlandia), przed którym M. Schrems zaskarżył oddalenie jego skargi, zwrócił się do TSUE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie wykładni i ważności decyzji 2000/520. Wyrokiem z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650), TSUE uznał tę decyzję za nieważną (link do wyroku tutaj).
12 lipca 2016 r. Komisja Europejska przyjęła drugą decyzję wdrażającą porozumienie pomiędzy Stanami Zjednoczonymi a Unią Europejską w sprawie przekazywania danych osobowych do USA (tzw. „Privacy Shield”). Porozumienie zastąpiło umowę Safe Harbor. Przesyłanie danych osobowych do USA na podstawie Privacy Shield było możliwe po uzyskaniu przez podmiot z siedzibą w USA odpowiedniego certyfikatu wydawanego przez amerykańskie ministerstwo handlu.
W dalszej kolejności P. Schrems został wezwany do przeformułowania swojej pierwotnej skargi, co uczynił w dniu 1 grudnia 2015r. W skardze w zmienionym brzmieniu M. Schrems podniósł w szczególności, że prawo amerykańskie nakłada na Facebook Inc. obowiązek udostępnienia władzom amerykańskim, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI), przekazanych tej spółce danych osobowych.
Komisja wstępnie uznała, że istnieje prawdopodobieństwo, iż przekazywane do Stanów Zjednoczonych dane osobowe obywateli Unii mogą być udostępniane organom władz amerykańskich i przetwarzane przez nie w sposób niezgodny z art. 7 i 8 Karty praw podstawowych UE oraz że w prawie amerykańskim nie przewidziano dla tych obywateli środków zaskarżenia, które byłyby zgodne z art. 47 Karty. Standardowe klauzule ochrony danych zawarte w załączniku do decyzji w sprawie klauzul standardowych nie są rozwiązaniem, ponieważ przewidują one w przypadku osób, których dane dotyczą, jedynie mające źródło w umowie uprawnienia, na które mogą się one powołać przeciwko podmiotom przekazującym i odbierającym dane, które to klauzule nie wiążą jednak władz amerykańskich. W konsekwencji do TSUE skierowano pytania prejudycjalne.
W wyroku z 16 lipca 2020r. („Schrems II”) TSUE orzekł, iż decyzja w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA jest nieważna.
TSUE wypowiedział się także o standardowych klauzulach umownych, które zachowały ważność, lecz wedle wytycznych TSUE należy dokonać oceny w każdej sprawie/transakcji, czy przy ich zastosowaniu zostanie zapewniony odpowiedni stopień ochrony tych danych, oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony. Organy nadzorcze są natomiast zobowiązane do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych przyjętych przez Komisję, jeżeli ten organ nadzorczy w świetle całokształtu okoliczności towarzyszących temu przekazywaniu uzna, że klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo unijne nie może być zapewniona za pomocą innych środków.
Reakcje ze strony przedstawicieli rządowych i przedsiębiorców.
Departament Handlu USA szybko wydał oświadczenie, że sekretarz Wilbur Ross jest „głęboko rozczarowany” unieważnieniem, ale również, że departament „był i pozostanie w ścisłym kontakcie z Komisją Europejską i Europejską Radą Ochrony Danych w tej sprawie i ma nadzieję, że będzie w stanie ograniczyć negatywne konsekwencje dla 7,1 biliona dolarów (transatlantyckich) stosunków gospodarczych, które są tak istotne dla naszych obywateli, firm i rządów”.
Ze strony przedsiębiorców pojawiają się oczywiste pytania: Co dalej? Czy możemy przekazywać dane osobowe naszym kontrahentom, dostawcom usług mających siedziby w USA? Czy umowy są nadal ważne?
W tej sytuacji niezwykle pomocne będą wytyczne organów nadzorczych, jednak będziemy musieli na nie poczekać. Sugerujemy dokonać przeglądu czynności przetwarzania i ustalić, czy dane osobowe w ich ramach są przekazywane do USA. Jeśli tak, musimy ocenić, czy oparcie transferu na standardowych klauzulach umownych będzie wiązało się z wysokim ryzykiem (jakie zastosowano zabezpieczenia, jakich danych transfer dotyczy etc.) Powinniśmy się także zastanowić, czy przekazywane danych do USA może zostać oparte na innej podstawie RODO np. zgoda osoby odpowiednio poinformowanej o ryzyku związanym z transferem, czy dochodzenie roszczeń. TSUE kładzie bowiem wyraźny nacisk na konieczność aktywnej weryfikacji przez administratorów/procesorów dokonujących transferu danych wszelkich z nim związanych okoliczności, zarówno w zakresie bezpieczeństwa, jak i zapewnienia środków prawnych umożliwiających egzekwowanie praw. W wielu sytuacjach konieczna będzie konsultacja z lokalnym doradcą, który ma możliwość weryfikacji, czy lokalne prawo zapewnia należyte środki ochrony.
Przypomnijmy, iż aktualnie obowiązuje 11 decyzji wydanych przez Komisję Europejską, które potwierdzają zapewnienie w tych krajach odpowiedniego poziomu ochrony danych osobowych. Są to decyzje dla:
Andory – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32010D0625&from=LV
Argentyny – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32003D0490&from=PL
Guernsey – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32003D0821&from=PL
Izraela – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32011D0061&from=EN
Jersey – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32008D0393&from=EN
Kanady – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32002D0002&from=PL
Nowej Zelandii – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32013D0065&from=PL
Szwajcarii – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32000D0518&from=PL
Wschodniej Republiki Urugwaju – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32012D0484&from=SK
Wyspy Man – https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32004D0411&from=EN
Wysp Owczych – https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:058:0017:0019:PL:PDF
Nic nie stoi na przeszkodzie, aby zawarto trzecią umowę z USA, która wprowadzałaby zmiany w Tarczy Prywatności w oparciu o wytyczne TSUE. Pytanie jednak, czy byłaby to wiarygodna i zapewniająca stronom zaangażowanym w transfer danych pewność prawną, iż decyzja ta nie zostanie niebawem unieważniona. Opracowanie kodeksów postępowania lub mechanizmów certyfikacji wraz z wykonalnymi zobowiązaniami obejmującymi przepływy danych w USA mogłoby rozwiązać ten problem i ułatwić zawieranie transakcji. Zwłaszcza, iż to zagadnienie nie dotyczy tylko transferu danych do USA, ale także do innych krajów.
Przykładowo w Izraelu nadzór prowadzony dla celów bezpieczeństwa narodowego jest bardzo szeroki, mogą się zatem pojawić kolejne pytania, czy obowiązujące już decyzje rzeczywiście zapewniają adekwatny stopień ochrony i egzekwowania praw osób. Niewątpliwie konsekwencją Schrems II jest konieczność dokonywania każdorazowej szczegółowej analizy okoliczności związanych z transferem danych zarówno w umowach, które już nas wiążą, a tym bardziej przy nowych transakcjach w oczekiwaniu na wytyczne organów nadzoru i nowe rozwiązania prawne.
Pełną treść orzecznictwa można znaleźć tutaj:
SCHREMS 1: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:62014CJ0362&from=EN
SCHREMS 2: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:62018CJ0311&qid=1595403178405&from=PL