W ostatni czwartek (16.07.2020 r.) Trybunał Sprawiedliwości UE wydał bardzo ważny wyrok. W ciągu najbliższych miesięcy może on mieć bardzo istotny wpływ na codzienny biznes wykorzystujący narzędzia IT. Za pośrednictwem tych narzędzi najczęściej dochodzi bowiem do przekazywania danych osobowych do Stanów Zjednoczonych, a więc poza Europejski Obszar Gospodarczy. Przykładami takich narzędzi są:
Zgodnie z RODO, przekazywanie danych poza EOG może odbywać się tylko na zasadzie wyjątku m.in. wówczas, jeśli dotyczy:
W przypadku transferowania danych do USA podstawę stanowiły dotychczas oba ww. rozwiązania. W pierwszej kolejności program Privacy Shield (Tarcza Prywatności), czyli decyzja Komisji Europejskiej oparta na umowie pomiędzy UE a USA ws. certyfikowania amerykańskich firm pod kątem zgodności z RODO. Jako dodatkowe zabezpieczenie stosowane były również SCC.
W tzw. sprawie Schrems II (C-311/18) TSUE orzekł, że:
Powyższy wyrok oznacza w praktyce, że od 16.07.2020 r. przekazywanie danych osobowych do USA jest generalnie zakazane. Wyrok formalnie nie ma żadnego „okresu przejściowego”. Dlatego TSUE stawia wszystkie podmioty przetwarzające dane osobowe w niełatwym położeniu. Z jednej strony przekazywanie danych do USA zostało formalnie zakazane, a z drugiej strony wykonanie tego zakazu może być często niewykonalne.
Ponadto, wyrok stawia wysoko poprzeczkę w zakresie używania standardowych klauzul umownych. Dla każdego przypadku, kiedy dane miałyby być przekazywane na tej podstawie, podmiot przekazujący dane z UE musi samodzielnie przeanalizować system prawny i sytuację faktyczną w państwie, do którego dane mają trafić. Zgodnie z regułą rozliczalności taka analiza powinna być udokumentowana. Ciężar przeprowadzenia tej analizy spoczywa na podmiocie, który chce przekazywać dane i musi ona obejmować m.in.:
Poza decyzjami Komisji Europejskiej oraz standardowymi klauzulami umownymi RODO przewiduje wprawdzie dodatkowe wyjątki od zakazu przekazywania danych poza EOG, ale są one dużo bardziej skomplikowane proceduralnie albo mogą być stosowane jedynie wyjątkowo. Przykładowo: można przekazywać dane poza EOG jeśli jest to niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą. Przy czym musi to być rzeczywista niezbędność, tzn. nie ma innej alternatywy. Najlepszym przykładem są usługi turystyczne, w ramach których niezbędne jest np. przekazanie danych do rezerwacji hotelu w państwie trzecim.
Wyrok TSUE jest bardzo radykalny co do skutków. Trzeba jednak wyraźnie podkreślić, że jest oparty wyłącznie na kryteriach prawnych. Z natury rzeczy, nie bierze pod uwagę ani wyzwań biznesowych, ani szeroko pojętej polityki. Jeśli bowiem dosłownie potraktować czwartkowy wyrok, to mogłoby to oznaczać, że konieczna jest rezygnacja przez wszystkie podmioty funkcjonujące w UE z wszelkich narzędzi IT dostarczanych przez firmy z USA. Wszyscy oni bowiem albo wprost transferują dane do USA albo przewidują taką możliwość. A mówimy tu o narzędziach do codziennej pracy i komunikacji z klientem, np. w mediach społecznościowych. Owszem, brzmi to absurdalnie, natomiast sąd orzekał o kwestiach prawnych. Prawo było zdaniem TSUE złe i należy je zmienić.
Dość oczywiste jest, że nie da się uciec od szerokiej wymiany danych osobowych pomiędzy UE a USA. Nie da się również uciec od współpracy z podmiotami z krajów spoza EOG. Dlatego naturalnie pojawia się pytanie: co teraz? Można powiedzieć, że teraźniejszość leży w rękach krajowych regulatorów w zakresie ochrony danych osobowych oraz Europejskiej Rady Ochrony Danych. Z kolei przyszłość leży w rękach Komisji Europejskiej i Stanów Zjednoczonych. Skutek wyroku TSUE jest taki, że albo musi się zmienić prawo UE albo prawo USA.
Na ten moment zalecamy spokój (mimo wszystko) i nie podejmowanie gwałtownych działań. Warto jednak:
Doświadczenia z przeszłości podpowiadają, że organy nadzorcze mogą zastosować przyjazne podejście i „okres przejściowy” na dostosowanie się do nowej rzeczywistości (zapewne kilka miesięcy). Z drugiej jednak strony niektóre niemieckie organy ochrony danych osobowych publicznie komunikują już swoją bezkompromisowość (np. organ dla Berlina wprost wskazuje, że należy zaprzestać jakiegokolwiek przekazywania danych do USA). UODO jak na razie postuluje konieczność spójnego podejścia wszystkich organów nadzorczych UE działających w ramach Europejskiej Rady Ochrony Danych. Rada zapowiedziała dokonanie bardziej szczegółowej oceny wyroku i wydanie wytycznych dotyczących wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem.