Transgraniczny przepływ danych osobowych po wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II
opublikowano: 2021-03-22 przez: Więckowska Milena
Ewelina Roguska
Wprowadzenie
Wydawać by się mogło, że wraz z wejściem w życie RODO[1], tj. z dniem 25 maja 2018 r. dobiegł końca (przynajmniej w najbliższym okresie) czas rewolucyjnych i szeroko komentowanych zmian w dziedzinie ochrony danych osobowych. Prawodawca unijny zajął się ewaluacją wprowadzonych przepisów[2], prawodawca krajowy ich wdrażaniem[3], Europejska Rada Ochrony Danych uspójnieniem stosowania przyjętych przepisów[4], a organy nadzorcze ich egzekwowaniem.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, s. 1, ze zm.).
[2] Zob. komunikat Komisji do Parlamentu Europejskiego i Rady: Ochrona danych jako filar wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej – dwa lata stosowania ogólnego rozporządzenia o ochronie danych z dnia 24.6.2020 r., COM(2020) 264 final.
[3] Zgodnie z wyżej wymienionym komunikatem tylko Słowenia nie dostosowała jeszcze prawa krajowego do przepisów RODO.
[4] Zgodnie z wyżej wymienionym komunikatem do końca 2019 r. Europejska Rada Ochrony Danych wydała m.in. 10 wytycznych i 43 opinie.
Uwarunkowania prawne transgranicznego przepływu danych osobowych
Wprowadzenie spójnego standardu ochrony danych osobowych w postaci RODO ma umożliwić funkcjonowanie w obrębie UE swobodnego przepływu danych osobowych i umacniać wewnątrzunijną współpracę gospodarczą, zapewniając równocześnie ochronę podstawowych praw i wolności osób fizycznych, w szczególności prawo do ochrony danych osobowych. Jednak transfer danych do państw spoza UE i do organizacji międzynarodowych jest niezbędny dla rozwoju międzynarodowej wymiany handlowej[7], dlatego konieczne stało się stworzenie mechanizmów zapewniających odpowiedni stopień ochrony danym osobowym transferowanym do państw trzecich, czyli tych spoza Europejskiego Obszaru Gospodarczego[8] (dalej: „EOG”). Problematykę transgranicznego przepływu danych reguluje rozdział V RODO zatytułowany: „Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych”. Transfer danych do tych podmiotów obwarowany jest dodatkowymi wymaganiami, a ich spełnienie nie zwalnia z konieczności dostosowania się do ogólnych zasad ochrony danych osobowych. Przekazanie danych osobowych poza granice EOG, zgodnie z RODO, może nastąpić na jednej z trzech podstaw: transfer na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), transfer wymagający odpowiednich zabezpieczeń (art. 46 i art. 47 RODO) lub wyjątkowo transfer w szczególnych sytuacjach (art. 49 RODO).
W świetle ogólnej zasady przekazywania danych, wyrażonej w art. 44 RODO, zasadniczym założeniem prawodawcy unijnego w regulacji transgranicznego przepływu danych osobowych jest zasada dopuszczalności transferu do państwa trzeciego lub organizacji międzynarodowej tylko przy zapewnieniu, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany tym rozporządzeniem. Zgodnie z art. 45 RODO, o tym, czy dane państwo trzecie, terytorium, sektor lub organizacja międzynarodowa zapewniają adekwatny stopień ochrony danych, przesądza Komisja Europejska, w drodze decyzji. Dokonując tej oceny Komisja uwzględnia, w szczególności kryterium praworządności, poszanowania praw człowieka i podstawowych wolności, odpowiedniego ustawodawstwa, dostępu organów publicznych do danych osobowych, funkcjonowania niezależnego organu nadzorczego zapewniającego i egzekwującego przestrzeganie przepisów o ochronie danych osobowych, a także prawnych zobowiązań międzynarodowych państwa trzeciego lub organizacji międzynarodowej. Decyzje o adekwatności stopnia ochrony wydane na podstawie art. 25 ust. 6 dyrektywy 95/46/WE[9], którą uchyliło RODO, pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji wydaną na podstawie art. 45 RODO. Obecnie do państw, wobec których Komisja w drodze decyzji stwierdziła adekwatność stopnia ochrony, należą m.in. Argentyna, Izrael, Japonia, Szwajcaria i Nowa Zelandia. Warto zauważyć, że pierwszą i na razie jedyną, tego rodzaju decyzją wydaną na gruncie przepisów RODO, jest decyzja z dnia 23 stycznia 2019 r. potwierdzająca odpowiedni stopień ochrony danych osobowych w Japonii[10], a obecnie w tej sprawie trwają negocjacje z Koreą Południową[11].
Wydanie przez Komisję decyzji o adekwatności stopnia ochrony w państwie trzecim jest warunkiem korzystania przez podmioty gospodarcze ze swobody przepływu danych bez konieczności uzyskiwania zezwoleń ani wdrożenia dodatkowych zabezpieczeń. Innymi słowy, co do zasady transfer danych osobowych do państwa trzeciego, które w ocenie Komisji zapewnia odpowiedni poziom ochrony, potwierdzony pozytywną decyzją, odbywa się na zasadach identycznych jak transfer wewnątrz EOG. Uprzednio należy jednak dokładnie zapoznać się z treścią tej decyzji, bowiem np. w przypadku Stanów Zjednoczonych Komisja potwierdziła odpowiedni stopień ochrony jedynie w stosunku do podmiotów uczestniczących najpierw w Programie Bezpieczna Przystań, następnie Tarcza Prywatności.
Wobec braku decyzji stwierdzającej odpowiedni stopień ochrony, w świetle art. 46 ust. 1 RODO, transfer danych do państwa trzeciego jest ograniczony koniecznością zastosowania szczegółowych zabezpieczeń, zapewnienia egzekwowalnych praw osób, których dane dotyczą oraz skutecznych środków ochrony prawnej. Mają one na celu zapewnienie (choć nie w sposób systemowy jak w przypadku decyzji Komisji)podmiotowi danych ochronę analogiczną do tej, jaka mu przysługuje w przypadku przetwarzania jego danych w obrębie UE. Zabezpieczenia te dzielą się na dwa rodzaje: te, które wymagają zgody organu nadzorczego i te, które takiego zezwolenia nie potrzebują. Do mechanizmów, na których można oprzeć transfer danych poza EOG, niewymagających zezwolenia organu nadzorczego, RODO zalicza:
- prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi,
- standardowe klauzule ochrony danych,
- wiążące reguły korporacyjne,
- zatwierdzony kodeks postępowania,
- zatwierdzony mechanizm certyfikacji.
- na podstawie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim
- za pomocą uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
- wyraźnej zgody osoby, której dane dotyczą,
- niezbędności przekazania danych celem zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą,
- ważnych względów interesu publicznego,
- niezbędności przekazania danych do ustalenia, dochodzenia lub ochrony roszczeń,
- przekazania danych z rejestru, który zgodnie z prawem UE lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli.
Transfer danych poza EOG oprzeć można wyłącznie o wymienione w rozdziale VRODO podstawy legalizujące, w przeciwnym razie jest on niedopuszczalny. Warto pamiętać, że naruszenie przepisów dotyczących przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej obarczone jest, zgodnie z art. 83 ust. 5 lit. c RODO, sankcją administracyjnej kary pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Maximilian Schrems v. Facebook
Orzeczenie z 16 lipca 2020 r. jest kontynuacją sporu toczącego się przed sądem w Irlandii w sprawie C-362/14[12]. 25 czerwca 2013 r. Maximilian Schrems – obywatel Austrii i użytkownik serwisu społecznościowego Facebook wniósł do irlandzkiego organu nadzorczego – Komisarza ds. Ochrony Danych skargę, żądając, aby organ ten zakazał spółce Facebook Ireland przekazywania jego danych osobowych do USA. W praktyce użytkownik Facebooka rejestrując się na tym portalu zawierał umowę ze spółką Facebook Ireland, która z kolei przekazywała dane swoich użytkowników do spółki dominującej – Facebook Inc., będącej pomiotem prawa amerykańskiego. Skarżący podnosił, że przekazywanie i przetwarzanie danych osobowych europejskich użytkowników tego serwisu na serwerach znajdujących się na terytorium USA jest nieuprawnione, wobec tego, że obowiązujące amerykańskie regulacje prawne nie zapewniają wystarczającej ochrony transferowanych danych przed działaniami władz publicznych, a tym samym nie zapewniają odpowiedniego poziomu bezpieczeństwa tych danych. Swoje zarzuty M. Schrems opierał na informacjach ujawnionych przez Edwarda Snowdena w 2013 r., dotyczących działalności amerykańskich służb wywiadowczych, w szczególności Agencji Bezpieczeństwa Narodowego (National Security Agency) w ramach programu PRISM.
Po oddaleniu skargi przez irlandzki organ nadzorczy, z uwagi na obowiązującą decyzję Komisji Europejskiej stwierdzającą, że USA zapewniają adekwatny stopień ochrony w ramach Programu Bezpieczna Przystań[13] (Safe Harbour), spór toczył się przed irlandzkim sądem, który wystąpił do TSUE z pytaniem prawnym. W efekcie6 października 2015 r. TSUE orzekł o nieważności tej decyzji, która przez 15 lat była podstawą legalizującą przepływ danych między UE a USA. Program Bezpieczna Przystań umożliwiał swobodne przekazywanie danych osobowych z państw członkowskich UE do tych przedsiębiorstw w USA, które przystąpiły do programu, mimo braku w amerykańskim systemie prawnym ogólnego prawa ochrony danych osobowych.
W następstwie orzeczenia TSUE sąd irlandzki uchylił oddalenie skargi M. Schremsa, przekazując sprawę do ponownego rozpatrzenia przez organ nadzorczy oraz wezwał skarżącego do przeformułowania skargi w związku ze stwierdzeniem nieważności Programu Bezpieczna Przystań. M. Schrems ponownie zażądał zakazu lub zawieszenia przekazywania jego danych osobowych przez spółkę Facebook Ireland, która wobec uchylenia Programu Bezpieczna Przystań, przekazywała dane swoich użytkowników spółce Facebook Inc. na podstawie standardowych klauzul umownych określonych w załączniku do decyzji Komisji 2010/87[14]. Wobec tego, że zgodnie z prawodawstwem USA Facebook Inc. jest zobowiązany do udostępniania (w ramach programów wywiadowczych PRISM i Upstream) amerykańskim władzom danych osobowych obywateli USA i UE, skarżący zakwestionował tym samym legalność transferu danych osobowych do USA również na podstawie innej niż Program Bezpieczna Przystań. Irlandzki organ nadzorczy uznał, że rozstrzygnięcie skargi M. Schremsa zależy w istocie od ważności wspomnianej decyzji Komisji 2010/87, dlatego też wszczął postępowanie przed sądem irlandzkim, który ponownie zwrócił się do TSUE z pytaniem prawnym. Jeszcze przed złożeniem wniosku o wydanie orzeczenia w trybie prejudycjalnym Komisja przyjęła decyzję o adekwatności ochrony zapewnianej w ramach Tarczy Prywatności. Ostatecznie w tej sprawie wypowiedział się TSUE, wydając szeroko komentowane orzeczenie z dnia 16 lipca 2020 r., określane jako wyrok Schrems II.
Tarcza Prywatności w ocenie TSUE
W wyroku Schrems II TSUE przypomniał, że decyzja w sprawie Tarczy Prywatności jest wiążąca dla organów nadzorczych. Dopóki TSUE nie stwierdzi nieważności tej decyzji, organ nadzorczy nie może zawiesić lub zakazać przekazywania danych osobowych (o co wnosił M. Schrems przed irlandzkim organem nadzoru) podmiotowi uczestniczącemu w Programie Tarcza Prywatności z uwagi na to, że wbrew decyzji Komisji, uważa on, że ustawodawstwo USA nie zapewnia transferowanym danym odpowiedniej ochrony. Jednak w przypadku wniesienia skargi kwestionującej decyzję stwierdzającą odpowiedni stopień ochrony organ nadzorczy zobowiązany jest do zbadania w sposób niezależny, czy przekazanie danych skarżącego do państwa trzeciego spełnia wymogi wynikające z RODO. Jeśli organ uzna podniesione zarzuty za zasadne, zdaniem TSUE, powinien on wnieść do sądu krajowego skargę zmierzającą do zwrócenia się przez ten sąd do TSUE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie oceny ważności tej decyzji. Odpowiadając na pytanie prawne sądu irlandzkiego TSUE doszedł do wniosku, że Komisja, stwierdzając, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych, naruszyła wymogi wynikające z przepisów RODO oraz Karty praw podstawowych Unii Europejskiej (dalej: „Karta”), wobec czego unieważnił tę decyzję. Przy czym TSUE potwierdził, że stopień ochrony danych osobowych w państwie odbiorcy danych nie musi być identyczny ze stopniem gwarantowanym w porządku prawnym UE, ale powinien być mu merytorycznie równoważny.
Jednym z zarzutów wobec decyzji ustanawiającej Tarczę Prywatności było to, że nie chroniła przed nieograniczonym dostępem organów amerykańskich władz publicznych do danych osobowych, przekazanych podmiotom certyfikowanym w ramach tego programu. Załącznik do decyzji wprowadzał odstępstwo od zasad wypracowanych w ramach Tarczy Prywatności, stanowiąc, że ich przestrzeganie może zostać ograniczone w zakresie niezbędnym do spełnienia wymagań bezpieczeństwa narodowego, interesu publicznego lub egzekwowania prawa[15]. Tak ogólnikowo zakreślony wyjątek umożliwił amerykańskim organom publicznym dostęp i wykorzystywanie danych osobowych Europejczyków w ramach programów nadzoru PRISM i Upstream, opartych na art. 702 FISA[16], a także na podstawie rozporządzenia wykonawczego nr 12333[17].W ocenie TSUE fakt, że dane osobowe przekazywane w celach handlowych między podmiotami gospodarczymi będą przetwarzane przez służby zajmujące się obronnością i bezpieczeństwem państwa, nie wyłącza stosowania do takiego przekazywania reguł wynikających z RODO, interpretowanego w świetle Karty[18]. Tymczasem amerykańskie organy publiczne w ramach programów nadzoru przetwarzały dane pozyskane z UE na masową skalę, nie ograniczając się do tego, co ściśle konieczne w świetle zasady proporcjonalności. Podstawa prawna dopuszczająca ingerencje w prawa podstawowe (takie jak prawo do poszanowania życia prywatnego i prawo do ochrony danych osobowych) musi – aby spełniać wymóg proporcjonalności – sama wskazywać zakres ograniczenia danego prawa oraz przewidywać jasne i precyzyjne zasady dotyczące zakresu i stosowania danego środka oraz ustanawiać pewne wymogi minimalne[19].Wobec tego TSUE uznał, że obowiązujące amerykańskie regulacje prawne dotyczące dostępu i wykorzystywania przez organy władzy publicznej danych transferowanych z UE nie zapewniają stopnia ochrony merytorycznie równego gwarantowanemu przez art. 52 ust. 1 zdanie drugie Karty Praw Podstawowych Unii Europejskiej, które brzmi: „Z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób”.
Kolejnym zarzutem TSUE wobec decyzji Komisji stwierdzającej odpowiedni poziom ochrony danych przez Stany Zjednoczone w ramach Tarczy Prywatności jest brak skutecznych i egzekwowalnych praw osób, których dane dotyczą oraz sądowych środków zaskarżenia. Przesłanki te zostały explicite przewidziane w art. 45 ust. 2 lit. a RODO, jako te elementy, które Komisja zobowiązana jest wziąć pod rozwagę przy ocenie, czy stopień ochrony danych osobowych w państwie trzecim jest odpowiedni. Ponadto, art. 47 Karty przewiduje dla każdego, czyje prawa i wolności zagwarantowane przez prawo UE zostały naruszone, uprawnienie do skutecznego środka prawnego przed sądem. W ocenie TSUE ani FISA, ani rozporządzenie wykonawcze nr 1233 nie przyznało osobom, których dane podlegają przetwarzaniu, praw egzekwowalnych przed sądami. Braków tych nie sanuje powołanie Rzecznika do spraw Tarczy Prywatności, który jest wyznaczany przez amerykańskiego sekretarza stanu i jemu bezpośrednio podległy. Decyzja w sprawie Tarczy Prywatności nie daje Rzecznikowi podstawy prawnej do podejmowania wiążących decyzji w stosunku do amerykańskich służb wywiadowczych w związku z naruszeniem przez nie obowiązujących przepisów[20]. Wobec tego, zdaniem TSUE, Rzecznik do spraw Tarczy Prywatności nie daje możliwości wniesienia skutecznego środka prawnego przed niezawisłym i bezstronnym sądem w rozumieniu art. 47 Karty.
Standardowe klauzule umowne w ocenie TSUE
Standardowe klauzule umowne (Standard Contractual Clauses)stanowią alternatywny mechanizm legalizujący transfer danych osobowych do państwa trzeciego w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych w tym kraju. Tworzą je wzory postanowień umownych, nakładające obowiązki na eksportera i importera danych oraz przyznające uprawnienia osobom, których dotyczą przekazywane dane. Mają na celu rekompensowanie braku ogólnego poziomu odpowiedniej ochrony poprzez włączenie istotnych elementów ochrony brakujących w konkretnym przypadku[21]. RODO rozróżnia standardowe klauzule ochrony danych przyjęte przez Komisję (art. 46 ust. 2 lit. c) oraz przyjęte przez organ nadzorczy i zatwierdzone przez Komisję (art. 46 ust. 2 lit. d). Orzeczenie Schrems II dotyczyło standardowych klauzul ochrony danych przyjętych przez Komisję decyzją 2010/87/UE. Ma ona zastosowanie do przekazywania danych osobowych przez administratora danych prowadzącego działalność gospodarczą na terytorium UE do importera w państwie trzecim, działającego jedynie jako podmiot przetwarzający dane.
Kwestia ważności decyzji 2010/87/UE stała się przedmiotem rozważań TSUE w sporze zainicjowanym przez M. Schremsa w związku z tym, że po uchyleniu decyzji ustanawiającej Program Bezpieczna Przystań to właśnie przyjęte przez Komisję standardowe klauzule umowne były podstawą przekazywania danych osobowych z UE na terytorium USA przez spółkę Facebook Ireland. Zgodnie z tą decyzją klauzule umowne zawarte w jej załączniku uważane są za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych. Wobec zawarcia umowy transferowej zawierającej odesłanie do standardowych klauzul umownych przyjętych przez Komisję klauzule te są wiążące dla podmiotu (mającego siedzibę w UE) eksportującego dane i podmiotu(mającego siedzibę w państwie trzecim) importującego te dane. Jednak klauzule umowne nie mogą wiązać organów państwa trzeciego, ponieważ nie są stronami takiej umowy. W związku z tym wątpliwości sądu krajowego zadającego pytanie prawne dotyczyły tego, czy w ogóle decyzja w sprawie standardowych klauzul umownych jest w stanie zapewnić odpowiedni poziom ochrony danych osobowych transferowanych do państw trzecich, skoro klauzule te nie wiążą organów państw trzecich.
Zdaniem TSUE umowny charakter omawianych klauzul pozostaje bez znaczenia dla ważności decyzji w sprawie standardowych klauzul umownych. Natomiast jej ważność zależy od tego, czy w praktyce zapewnia skuteczne narzędzia gwarantujące odpowiedni stopień ochrony danych osobowych oraz czy oparty na podstawie takich klauzul transfer danych zostanie zawieszony lub zakazany w razie ich naruszenia lub niemożności przestrzegania przez podmiot odbierający. W wyroku Schrems II TSUE potwierdził ważności decyzji w sprawie standardowych klauzul umownych. Jednak samo skorzystanie z tych klauzul nie oznacza dopuszczalności transferu. TSUE podkreślił, że omawiany umowny mechanizm transferowy nakłada na podmiot przekazujący i podmiot odbierający dane obowiązek dokonania w każdym konkretnym przypadku uprzedniej oceny, czy ustawodawstwo kraju przeznaczenia tych danych zapewnia odpowiedni poziom ochrony danych osobowych. Analiza ta powinna uwzględniać całokształt okoliczności towarzyszących przekazywaniu danych. W sytuacji gdy przeprowadzona analiza nie pozwala jednoznacznie przesądzić o tym, czy system prawny państwa trzeciego gwarantuje adekwatny stopień ochrony danych, możliwe jest zastosowanie obok standardowych klauzul umownych dodatkowych środków zabezpieczających. Jeśli jednak środki uzupełniające nie są w stanie zapewnić, że prawodawstwa państwa trzeciego nie ma negatywnego wpływu na odpowiedni stopień ochrony danych, wówczas eksporter danych lub właściwy organ nadzorczy powinni zawiesić lub zakończyć przekazywanie danych osobowych do państwa trzeciego na podstawie standardowych klauzul umownych.
Znaczenie wyroku Schrems II
Już po raz drugi na przestrzeni 5 lat TSUE unieważnił najistotniejszą i w praktyce najczęściej wykorzystywaną podstawę prawną pozwalającą na legalny transfer danych osobowych do USA. Zarzuty stawiane Programowi Tarcza Prywatności były w zasadzie zbliżone do tych, które przesądziły o unieważnieniu Bezpiecznej Przystani. O ile jednak samo rozstrzygnięcie w sprawie ważności Tarczy Prywatności raczej nie jest zaskoczeniem[22], o tyle zaskakujące jest to, iż nie przewidziano żadnego okresu przejściowego. Po unieważnieniu Programu Bezpieczna Przystań Grupa Robocza Art. 29 udzieliła trzymiesięcznej karencji (do 31 stycznia 2016 r.) w egzekwowaniu wyroku, by dać podmiotom możliwość dostosowania się do nowych realiów prawnych[23]. Natomiast w przypadku Tarczy Prywatności utraciła ona moc obowiązującą z chwilą wydania wyroku. Jak wskazuje TSUE w wyroku Schrems II, unieważnienie takiej decyzji nie prowadzi do powstania luki prawnej, skoro RODO reguluje warunki, na jakich można przekazywać dane osobowe do państwa trzeciego w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony.
Po unieważnieniu systemowego mechanizmu transferowania danych do USA, jakim była Tarcza Prywatności, wydaje się, że transfer danych za Atlantyk w dalszym ciągu jest możliwy. Jednak po wyroku Schrems II podmioty przekazujące dane osobowe do USA stanęły przed nagłą koniecznością zrewidowania podstaw, na jakich ten transfer się odbywa. Od 16 lipca 2020 r. w stosunku do USA nie można już go opierać na decyzji Komisji w sprawie adekwatności stopnia ochrony. Jednak za sprawą omawianego orzeczenia transfer danych w oparciu o standardowe klauzule umowne stał się bardziej problematyczny. Standardowe klauzule umowne stanowią mechanizm transferowy wykorzystywany do przekazywania danych z UE do państw trzecich, w tym do USA. Stąd konsekwencje wyroku Schrems II w kontekście standardowych klauzul umownych, są znacznie bardziej daleko idące, aniżeli samo unieważnienie Bezpiecznej Przystani czy Tarczy Prywatności, które regulowały jedynie amerykański kierunek tego transferu.
Dotychczas w obrocie za wystarczające dla legalności transgranicznego przesyłu danych uchodziło powielenie w umowie transferowej treści standardowych klauzul umownych, bez dokonywania dodatkowej analizy[24]. Jednak w świetle wyroku TSUE oparcie transferu danych na standardowych klauzulach jest uzależnione od dokonania przez podmiot przekazujący uprzedniej oceny prawodawstwa państwa trzeciego i zastosowania środków uzupełniających, które zapewnią, że prawodawstwo państwa trzeciego nie będzie miało negatywnego wpływu na odpowiedni stopień ochrony przesyłanych danych.
Zgodnie z ustaleniem TSUE art. 46 RODO musi być interpretowany w świetle zasady ogólnej wyrażonej w art. 44 RODO, która stanowi, że wszystkie przepisy rozdziału V należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w tym rozporządzeniu. Wobec czego odpowiedni stopień ochrony powinien być zapewniony niezależnie od podstawy, na jakiej dokonywany jest transfer danych osobowych do państwa trzeciego[25]. Również Europejska Rada Ochrony Danych (dalej „EROD”) w oświadczeniu z dnia 23 lipca 2020 r.[26] podkreśliła, że wymóg dokonywania uprzedniej analizy dotyczy także pozostałych narzędzi transferowych wymienionych w art. 46 RODO, stosowanych do przesyłu danych z EOG do jakiegokolwiek państwa trzeciego. Zaznaczyła przy tym, że analizowane przez TSUE art. 702 FISA oraz rozporządzenie wykonawcze nr 12333 mogą być zastosowane do wszelkich przypadków transferu danych do USA odbywającego się drogą elektroniczną, które wchodzą w ich zakres stosowania, niezależnie od narzędzia służącego do przekazania danych.
EROD we wspomnianym oświadczeniu dopuszcza możliwość stosowania standardowych klauzul umownych z podmiotem odbierającym w USA, uzależniając ją od indywidualnej oceny transferu, okoliczności towarzyszących temu przekazaniu i zastosowania środków zabezpieczających, które musiałby gwarantować, że prawo amerykańskie nie wpłynie negatywnie na stopień ochrony zapewniany przez te dodatkowe środki w połączeniu ze standardowymi klauzulami umownymi. W praktyce trudno wyobrazić sobie przekazywanie danych do USA na podstawie standardowych klauzul umownych i dokonanie oceny prawodawstwa USA w kontekście gwarancji odpowiedniego stopnia ochrony danych, wobec orzeczenia TSUE stwierdzającego expressis verbis brak zapewnienia przez system prawny USA stopnia ochrony merytorycznie równoważnego zapewnianemu przez prawo UE. Co więcej, niepewność legalności transferu danych potęgować może fakt, iż indywidualnie na każdy podmiot przekazujący scedowany został obowiązek dokonania samodzielnej oceny bezpieczeństwa transferu danych osobowych i analizy prawodawstwa państwa odbiorcy, który dotychczas ciążył na Komisji Europejskiej. Stwarza to ryzyko podejmowania odmiennych decyzji w podobnych stanach faktycznych, dlatego kluczowe znaczenie w egzekwowaniu RODO i wydawaniu decyzji w sprawie transferu danych osobowych do państw trzecich powinny odgrywać krajowe organy nadzorcze. W celu uniknięcia rozbieżnych decyzji krajowe organy ochrony danych powinny współpracować w ramach EROD dla zapewnienia spójności swoich rozstrzygnięć. Art. 64 ust. 2 RODO umożliwia zwrócenie się przez organ nadzorczy, który uważa, że przekazywanie danych osobowych do danego państwa trzeciego powinno być zakazane, do EROD, która na podstawie art. 65 ust. 1 lit. c RODO może wydać wiążącą decyzję[27].
Po 4 miesiącach od wydania tego orzeczenia, 10 listopada 2020 r., EROD przyjęła dwa dokumenty, które miałyby wyjaśniać konsekwencje wyroku TSUE dla transferu danych poza EOG. Pierwszy z nich to zalecenia01/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych[28]. Zostały one skierowane do konsultacji, które zakończyły się 21 grudnia 2020 r.[29]. Drugi dokument to zalecenia 02/2020 dotyczące niezbędnych gwarancji europejskich dla środków nadzoru[30].
Zalecenia 01/2020 mają pomóc podmiotom przekazującym dane osobowe do państw trzecich w określeniu i wdrożeniu środków uzupełniających, które miałyby zapewnić odpowiednią ochronę danych transferowanych poza EOG w sytuacji gdy mechanizm transferowy sam w sobie nie mógł zapewnić tej gwarancji na odpowiednim poziomie. Wytyczne zostały sformułowane w postaci mapy drogowej, składającej się z sześciu etapów. Po pierwsze, należy zidentyfikować wszystkie dokonywane transfery danych osobowych do państw trzecich oraz zweryfikować, czy zgodnie z zasadą minimalizacji danych przekazywane dane są adekwatne, stosowne i ograniczone do tego co niezbędne do celów, w których są przekazywane i przetwarzane. Po drugie, należy dokonać przeglądu podstawy transferu danych, wymienionych w rozdziale V RODO, wykorzystywanych przez dany podmiot do przesyłu danych poza EOG. W przypadku oparcia transferu na decyzji Komisji stwierdzającej odpowiedni poziom ochrony danych, poza monitorowaniem, czy decyzja taka nie została uchylona lub unieważniona, nie trzeba stosować dalszych wytycznych. Jeśli decyzja Komisji ani wyjątek z art. 49 RODO nie mogą być podstawą transferu danych, w odniesieniu do pozostałych mechanizmów transferowych, o których mowa w art. 46 RODO krok trzeci polega na weryfikacji, czy wybrane narzędzie transferowe będzie skuteczne, co wymaga oceny prawodawstwa i praktyki państwa trzeciego, szczególnie w kontekście dostępu do danych osobowych przez organy władzy publicznej. Przy tej ocenie pomocne mogą być zalecenia 02/2020 dotyczące niezbędnych gwarancji europejskich dla środków nadzoru, które wskazują elementy pozwalające ustalić, czy przepisy regulujące dostęp organów publicznych do danych osobowych, można traktować jako uzasadnioną ingerencję w prawa do prywatności i ochrony danych osobowych. W przypadku gdy w świetle analizy dokonanej w punkcie trzecim ustawodawstwo państwa trzeciego wpływa na skuteczność zastosowanych narzędzi transferowych, czwartym krokiem jest określenie i wdrożenie dodatkowych środków uzupełniających o charakterze umownym, organizacyjnym lub technicznym. EROD wśród środków uzupełniających wymienia przykładowo szyfrowanie czy minimalizowanie zakresu przesyłanych danych. Jeśli jednak niemożliwe jest zidentyfikowanie lub wdrożenie tych środków, nie należy transferować danych do państwa trzeciego. Piąty punkt stanowi konieczność podjęcia proceduralnych kroków wobec zastosowania środków uzupełniających, np. w postaci dodatkowych klauzul umownych czy zwrócenia się do organu nadzorczego. Krok szósty to zalecenie monitorowania zmian w prawodawstwie państwa odbiorcy danych, które mogą wpływać na stopień ochrony przekazanych danych.
Ocena transferu danych do państwa trzeciego powinna być podejmowana w sposób indywidualny na tle konkretnego przypadku przesyłu danych i wymaga należytej staranności oraz dokumentowania czynności zgodnie z ogólną zasadą rozliczalności, czyli obowiązkiem wykazania przestrzegania zasad ochrony danych osobowych.
Reakcje USA na wyrok TSUE
Stany Zjednoczone pozostają ważnym partnerem gospodarczym UE. Wartość transatlantyckich stosunków gospodarczych amerykański sekretarz handlu Wilbur Ross w swoim stanowisku po wydaniu wyroku TSUE określił na 7,1 bln dolarów[31]. Orzeczenie Schrems II było szeroko komentowane w USA zarówno w kontekście zarówno gospodarczym, jak i politycznym. Administracja amerykańska podkreślała aktywny udział Stanów Zjednoczonych w postępowaniu przed TSUE, zamierzając udowodnić, że dostępne w USA gwarancje prawne ochrony danych nie tylko dorównują, a w większości przypadków nawet przewyższają te przysługujące w innych jurysdykcjach[32]. W swoim wystąpieniu amerykański sekretarz handlu wyraził głębokie rozczarowanie orzeczeniem TSUE. Przypomniał, że transfer danych jest kluczowy nie tylko dla dużych firm technologicznych, ale również dla wszystkich firm w każdym sektorze, w tym dla ponad 5 tys. podmiotów uczestniczących w Programie Tarcza Prywatności, szczególnie w dobie kryzysu gospodarczego wywołanego pandemią COVID-19. Wilbur Ross podkreślił również, że mimo unieważnienia Tarczy Prywatności przez TSUE pozostają w mocy obowiązki podmiotów certyfikowanych w ramach tego programu. Departament Handlu Stanów Zjednoczonych zapowiedział kontynuację współpracy z Komisją Europejską i EROD w celu wypracowania rozwiązania łagodzącego niekorzystne dla stosunków transatlantyckich następstwa tego wyroku. We wspólnym komunikacie prasowym unijnego komisarza ds. sprawiedliwości i amerykańskiego sekretarza handlu strony oświadczyły, że rozpoczęły dyskusję nad wzmocnieniem Programu Tarcza Prywatności i dostosowaniem go do wyroku TSUE, licząc że w obliczu nowych wyzwań partnerstwo wzmocni ochronę danych osobowych i przyczyni się do rozwoju dobrobytu niemal 800 milionów obywateli po obu stronach Atlantyku[33].
Również w amerykańskiej publicystyce dostrzegalny jest krytyczny ton wypowiedzi o wyroku TSUE, który uznał się za właściwy do oceny programów wywiadowczych Stanów Zjednoczonych, wkraczając w suwerenny obszar bezpieczeństwa publicznego[34]. Ponadto pojawiają się głosy rozgoryczenia, wskazujące na liczne ustępstwa prawodawcy amerykańskiego w stronę unijnych standardów ochrony danych, takie jak stworzenie funkcji Rzecznika do spraw Tarczy Prywatności czy zmiany legislacyjne umożliwiające obywatelom UE występowanie przed amerykańskimi sądami z powództwem w zakresie ochrony danych osobowych[35]. Sam wyrok TSUE poczytywany jest za załamanie przez Europę wypracowanego porozumienia, obejmującego wdrożenie m.in. wspomnianych ustępstw[36]. Amerykańscy komentatorzy wskazują, że skoro TSUE uznał, że Stany Zjednoczone nie zapewniają odpowiedniego stopnia ochrony danych, to organy właściwe do ochrony danych muszą dojść do podobnych wniosków wobec innych partnerów gospodarczych, takich jak np. Chiny, Indie, Rosja czy Turcja[37].
Głosów krytyki nie zabrakło również ze strony europejskich autorytetów w dziedzinie ochrony danych osobowych. Christopher Kuner krytycznie odniósł się do ustalonego przez TSUE „progu akceptowalności” transgranicznego transferu, uzależniającego go od oceny prawodawstwa państwa trzeciego. Jego zdaniem administratorzy danych będą w istocie podejmować „mini decyzje o adekwatności”, które do tej pory wydawała Komisja Europejska na mocy art. 45 RODO[38]. W efekcie orzeczenie TSUE wymusza, by byli oni ekspertami od systemów prawnych państw trzecich, co prawdopodobnie przekracza możliwości niektórych z nich.
W odniesieniu do Facebooka w następstwie wyroku Schrems II irlandzki organ ochrony danych osobowych wydał wstępny nakaz zaprzestania przekazywania danych europejskich użytkowników tego portalu. Firma odwołała się od tej decyzji do sądu, który wstrzymał jej wykonanie do czasu rozstrzygnięcia. W związku z wątpliwościami w zakresie funkcjonowania serwisu w przypadku wejścia w życie zakazu transferu danych, wyrażonymi przez dyrektor Facebooka ds. ochrony danych, pojawiły się spekulacje o jego możliwym wycofaniu się z UE. Choć rzecznik prasowy portalu stwierdził, że są to raczej wątpliwości prawne aniżeli groźby[39].
Podsumowanie
Na kanwie sporu toczącego się przed irlandzkim organem ochrony danych w związku z przetwarzaniem danych osobowych obywateli UE przez amerykańską spółkę TSUE wydał orzeczenie, które de facto wpływa nie tylko na amerykański, ale wręcz globalny strumień danych migrujących z EOG. Jednak zważywszy na skalę ekonomicznych powiązań Stanów Zjednoczonych z UE, to właśnie wątek amerykański tego orzeczenia wydaje się być najszerzej komentowany. Wyrok TSUE po raz kolejny podkreślił niekompatybilność systemu prawnego USA i UE w zakresie ochrony danych. Obecnie jest zbyt wcześnie, by mówić o konkretnych rozwiązaniach systemowych regulujących transatlantycki przepływ danych. Trudno też przewidzieć, czy zapowiedziana we wspólnym komunikacie prasowym unijnego komisarza ds. sprawiedliwości i amerykańskiego sekretarza handlu dalsza współpraca na rzecz wypracowania zadowalającego mechanizmu transferowego zaowocuje powstaniem Tarczy Prywatności 2.0. Nie mniej już teraz mówi się, że Kalifornia mogłaby wystąpić do Komisji Europejskiej o stwierdzenie odpowiedniego stopnia ochrony, co niewątpliwe udrożniłoby przepływ danych osobowych do podmiotów mających siedziby w Dolinie Krzemowej[40]. Z dniem 1 stycznia 2021 r. wszedł bowiem w życie California Consumer Privacy Act, opisywany jako amerykańskie RODO[41]. Ponadto coraz śmielej mówi się o konieczności przeniesienia centrów chmurowych do Europy[42]. W ramach UE ma powstać Europejska Federacja Chmur – inicjatywa wspierająca tworzenie zlokalizowanych na terenie UE bezpiecznych usług chmurowych nowej generacji dla sektora prywatnego i administracji publicznej[43].
Na razie pewna pozostaje jedynie konieczność zastąpienia dotychczasowej podstawy prawnej transferu danych do USA, jakim była Tarcza Prywatności, alternatywnym narzędziem transferowym. W pozostałym zakresie warto śledzić wskazówki EROD, krajowych organów nadzorczych oraz korzystać z pomocy profesjonalnych podmiotów. Posługiwanie się narzędziami przekazywania danych osobowych do państw trzecich, w razie braku decyzji o adekwatnym stopniu ochrony i w świetle wyroku Schrems II, wymaga wielowymiarowej i ciągłej oceny tego transferu w kontekście unijnego systemu ochrony danych osobowych.
Ewelina Roguska
legislator, absolwentka Centrum Prawa Amerykańskiego Uniwersytetu Warszawskiego
[5] Wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18, Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximilian Schrems.
[6] Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA (Dz. Urz. UE L 207 z 1.08.2016, s. 1).
[7]Motyw 101 preambuły RODO.
[8] Europejski Obszar Gospodarczy tworzą państwa członkowskie UE oraz Europejskiego Stowarzyszenia Wolnego Handlu (EFTA) – Islandia, Norwegia i Lichtenstein, z wyjątkiem Szwajcarii.
[9] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31.).
[10] Decyzja wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych (Dz. Urz. UE L 76 z 19.3.2019, s. 1.).
[11] RODO jednak chroni, https://ec.europa.eu/poland/news/190724_RODO_pl (dostęp: 12.09.2020).
[12] Wyrok TSUE z 6 października 2015 r. w sprawie C-362/14, Maximillian Schrems przeciwko Data Protection Commissioner.
[13] Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz. Urz. WE L 215 z 25.08.2000, s. 7).
[14] Decyzja Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L 39 z 12.2.2010, s. 5).
[15] Pkt I ust. 5 załącznika II do decyzji w sprawie Tarczy Prywatności.
[16] Foreign Intelligence Surveillance Act (FISA) z 1978 r.
[17] Executive Order 12333 z 1981 r.
[18] Zob. pkt 86 i 101 wyroku Schrems II.
[19] Pkt 180 wyroku Schrems II.
[20] Pkt 196 wyroku Schrems II.
[21] Dokument roboczy WP 12 „Przekazywanie danych osobowych do państw trzecich: stosowanie art. 25 i 26 dyrektywy UE o ochronie danych”, przyjęty przez Grupę Roboczą Art. 29 dnia 24 lipca 1998 r., s. 16.
[22] Przeglądy Tarczy Prywatności wskazywały na szereg problemów i zastrzeżeń w zakresie jej funkcjonowania, sprawozdania z dorocznych przeglądów dostępne są pod adresem: https://uodo.gov.pl/75 (dostęp: 20.10.2020).
[23] Oświadczenie Grupy Roboczej Art. 29 z 16 października 2015 r., dostępne w języku polskim pod adresem: https://archiwum.giodo.gov.pl/pl/1520123/8964 (dostęp: 20.10.2020).
[24] Czy wyrok TSUE w sprawie Schrems II jeszcze bardziej przyspieszy powstanie „polskiej chmury”?https://nowymarketing.pl/a/28399,czy-wyrok-tsue-w-sprawie-schrems-ii-jeszcze-bardziej-przyspieszy-powstanie-polskiej-chmury (dostęp: 22.10.2020).
[25] Pkt 92 wyroku Schrems II.
[26] Najczęściej zadawane pytania dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej wydanego w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland i Maximilianowi Schremsowi, przyjęte przez EROD 23 lipca 2020 r., https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_pl.pdf (dostęp: 22.10.2020).
[27] Pkt 147 wyroku Schrems II.
[28] Zalecenia 01/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych, przyjęte w dniu 10 listopada 2020 r., https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_pl.pdf (dostęp: 8.02.2021).
[29] https://edpb.europa.eu/our-work-tools/public-consultations-art-704_pl (dostęp: 5.01.2021).
[30] Zalecenia 02/2020 dotyczące niezbędnych gwarancji europejskich dla środków nadzoru, przyjęte w dniu 10 listopada 2020 r., https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_pl.pdf (dostęp: 8.02.2021).
[31] U.S. Secretary of Commerce Wilbur Ross Statement on Schrems II Ruling and the Importance of EU – U.S. Data Flows, https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and (dostęp: 3.10.2020).
[32] Ibidem.
[33] Joint Press Statement from European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Wilbur Ross, https://ec.europa.eu/info/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en (dostęp:4.10.2020).
[34] Amerykańskie echa wyroku TSUE, https://gdpr.pl/amerykanskie-echa-wyroku-tsue (dostęp: 4.10.2020).
[35] Ibidem.
[36] How Can the U.S. Respond to Schrems II?, https://www.lawfareblog.com/how-can-us-respond-schrems-ii (dostęp: 4.10.2020).
[37] Will the EU become an information island?,https://iapp.org/news/a/will-the-eu-become-an-information-island/ (dostęp:4.10.2020).
[38] The Schrems II judgment of the Court of Justice and the future of data transfer regulation, https://europeanlawblog.eu/2020/07/17/the-schrems-ii-judgment-of-the-court-of-justice-and-the-future-of-data-transfer-regulation/ (dostęp: 4.10.2020).
[39] Problemy z legalnym transferem danych do USA. Facebook grozi zablokowaniem dostępu,https://www.dziennik.pl/artykuly/7834533,facebook-dane-osobowe-ochrona-danych-europa-usa.html (dostęp: 4.01.2021).
[40] Amerykańskie echa wyroku…, (dostęp: 4.10.2020).
[41] Amerykanie na drodze do RODO. Kalifornia pierwsza reguluje ochronę prywatności w sieci, https://www.gazetaprawna.pl/artykuly/1447395,kalifornia-usa-reguluje-ochrone-prywatnosci-w-sieci-rodo.html (dostęp: 4.10.2020).
[42] B. Marcinkowski, Po wyroku TSUE może się okazać, że trzeba przenieść centra chmurowe na terytorium UE, https://www.rp.pl/Rzecz-o-prawie/308119994-Bartosz-Marcinkowski-Po-wyroku-TSUE-moze-sie-okazac-ze-trzeba-przeniesc-centra-chmurowe-na-terytorium-UE.html (dostęp: 4.10.2020).
[43] Polska będzie współtworzyć Europejską Federację Chmur, https://www.gov.pl/web/cyfryzacja/polska-bedzie-wspoltworzyc-europejska-federacje-chmur (dostęp: 7.01.2021).