Zapraszamy do zapoznania się z częścią II artykułu. Link do części I znajduje się pod artykułem.
Co wynika z wyroku TSUE
TSUE podkreślił w wyroku, że zakresem zastosowania RODO (art. 2 ust. 1 i 2) objęte jest przekazywanie danych osobowych przez podmiot mający siedzibę w UE innemu podmiotowi z siedzibą w państwie trzecim, niezależnie od faktu, że w trakcie tego przekazywania lub w jego następstwie dane te mogą być przetwarzane przez organy władzy danego państwa trzeciego w celach związanych z bezpieczeństwem publicznym, obronnością i bezpieczeństwem państwa.
Organy nadzorcze związane decyzją Komisji Europejskiej
Trybunał zauważył w wyroku, że art. 58 ust. 1 RODO przyznaje organom nadzorczym daleko idące uprawnienia w zakresie prowadzonych postępowań. W sytuacji, gdy po zakończeniu postępowania wyjaśniającego organ nadzorczy uzna, że osoba, której dane zostały przekazane do państwa trzeciego, nie korzysta w tym państwie z odpowiedniego stopnia ochrony, jest zobowiązany do podjęcia odpowiednich działań w celu zapewnienia stosownej ochrony takiej osobie, przy wykorzystaniu uprawnień naprawczych wynikających z art. 58 ust. 2 RODO. Zdaniem TSUE nieistotne w tym przypadku są przyczyny zaistnienia braku ochrony ani ich charakter.
TSUE podkreślił jednak, że organy nadzorcze nie mają uprawnienia do stosowania środków sprzecznych z odpowiednią decyzją Komisji Europejskiej stwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony, do czasu aż stwierdzona zostanie jej nieważność. Innymi słowy, w przypadku gdy brak jest ważnej decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych osobowych, a właściwy organ nadzorczy uzna, że standardowe klauzule umowne nie są lub nie mogą być przestrzegane w danym państwie trzecim, a ochrona gwarantowana w RODO (art. 45 i art. 46) oraz w Karcie nie może być zapewniona innymi środkami, organ ten jest zobowiązany do zawieszenia lub zakazania przekazywania danych osobowych do tego państwa trzeciego na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską.
Stopień ochrony w ramach przekazywania danych osobowych do państwa trzeciego na podstawie standardowych klauzul ochrony danych.
TSUE zwrócił uwagę, że w razie braku istnienia odpowiedniej decyzji Komisji Europejskiej, art. 46 ust. 1 RODO dopuszcza możliwość, aby administrator (lub podmiot przetwarzający) przekazywał dane osobowe do państwa trzeciego lub organizacji międzynarodowej. Takie uprawnienie przysługuje jednak wyłącznie w przypadku, gdy odbiorca danych (np. państwo trzecie) zapewnia odpowiednie zabezpieczenia oraz pod warunkiem, że obowiązują u niego skuteczne środki ochrony prawnej, w tym egzekwowalne prawa osób, których dane dotyczą. Odpowiednie zabezpieczenia mogą zostać zapewnione – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą np. standardowych klauzul umownych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO).
Standardowe klauzule umowne to w ogólnym uproszczeniu wzory umów. Co do zasady, jeżeli państwo trzecie nie zapewnia odpowiedniego poziomu ochrony danych osobowych, to nie można przekazywać do niego danych osobowych. W takiej sytuacji administrator może zastosować standardową klauzulę umowną. Innymi słowy, strony dokonują transferu danych osobowych wprost w oparciu o standardową klauzulę umowną, co może skutkować zalegalizowaniem takiego transferu. Z założenia, standardowe klauzule umowne zapewniają bowiem odpowiedni poziom ochrony danych.
TSUE wskazał w wyroku, że odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny gwarantować osobom, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul umownych, aby osoby te były chronione co najmniej w stopniu równoważnym do tego, gwarantowanego obywatelom z UE przez RODO (interpretowane w świetle postanowień Karty). Trybunał podkreślił, że przy ocenie tej kwestii należy jednak wziąć pod uwagę nie tylko konkretne postanowienia umowne zawarte pomiędzy administratorem z UE, a podmiotem z państwa trzeciego, ale także możliwość ewentualnego dostępu organów władzy publicznej tego państwa trzeciego – na podstawie jego właściwego dla nich prawa krajowego – do pozyskanych w ten sposób danych osobowych.
Ważność decyzji w sprawie standardowych klauzul umownych w świetle art. 7, 8 i 47 Karty.
Standardowe klauzule umowne przyjmowane przez Komisję Europejską na podstawie art. 46 ust. 2 lit. c) RODO mają na celu wyłącznie ustanowienie dla administratorów (podmiotów przetwarzających) z UE stosownych zabezpieczeń umownych, znajdujących jednolite zastosowanie we wszystkich państwach trzecich, a zatem niezależnie od stopnia ochrony gwarantowanego w każdym z tych państw. Komisja Europejska może podjąć taką decyzję w sytuacji, gdy stwierdzi, że ustawodawstwo danego państwa trzeciego przewiduje wszystkie wymagane zabezpieczenia pozwalające uznać ochronę danych osobowych w tym państwie za odpowiednią. W tym kontekście TSUE wskazał w wyroku, że z uwagi na to, że standardowe klauzule umowne – ze względu na swój charakter – nie mogą przewidywać zabezpieczeń wykraczających poza umowne zobowiązanie do monitorowania przestrzegania stopnia ochrony wymaganego przez prawo UE, to mogą zobowiązać administratora do podjęcia dodatkowych środków mających na celu zapewnienie przestrzegania stopnia ochrony w zależności od sytuacji panującej w danym państwie trzecim.
W konsekwencji – zdaniem TSUE – administrator (lub podmiot przetwarzający) mający siedzibę w UE ma obowiązek uprzedniego sprawdzenia, czy w danym państwie trzecim jest zagwarantowany stopień ochrony wymagany przez prawo UE (!). Z drugiej strony, podmiot będący odbiorcą danych jest zobowiązany na mocy tej samej klauzuli umownej do poinformowania administratora o ewentualnym braku możliwości zastosowania się do niej. To do niego należy zawieszenie przekazywania danych lub rozwiązanie umowy. W takiej sytuacji dane osobowe, które zostały już przekazane do tego państwa trzeciego, oraz ich kopie powinny zostać w całości zwrócone lub zniszczone (klauzula 12 załącznika do decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych). Trybunał podkreślił w wyroku, że klauzula 6 z przedmiotowego załącznika do ww. decyzji, przewiduje sankcję za uchybienie tym standardowym klauzulom, przyznając osobie, której dane dotyczą, prawo do uzyskania odszkodowania za poniesioną szkodę. Administrator posiadający siedzibę w UE jest zobowiązany poinformować o tym fakcie osobę, której dane dotyczą, jeszcze przed przekazaniem lub niezwłocznie po nim. Informacja ta w założeniu umożliwia tej osobie skorzystanie z prawa do wniesienia przeciwko administratorowi skargi o zawieszenie planowanego przekazania, rozwiązanie umowy zawartej z podmiotem odbierającym dane osobowe lub – gdy zachodzi taka konieczność – zażądanie od niego zwrotu lub zniszczenia przekazanych danych.
Jednocześnie – jak podkreślił TSUE – w sytuacji, jeśli administrator z UE zostanie poinformowany (klauzula 4 lit. g) ww. załącznika) przez podmiot odbierający dane w państwie trzecim o zmianie ustawodawstwa w państwie trzecim mogącym mieć istotne negatywne skutki dla zabezpieczeń i obowiązków określonych w standardowych klauzulach umownych i mimo to postanowi kontynuować przekazywanie danych lub zniesie zawieszenie przekazywania, jest on zobowiązany do poinformowania o tym fakcie właściwy organ nadzorczy. Wówczas organ nadzorczy ma możliwość przeprowadzenia kontroli w podmiocie odbierającym dane osobowe (na podstawie klauzuli 8 ust. 2 przedmiotowego załącznika) w celu ustalenia czy zapewniono odpowiedni stopień ochrony i czy należy ewentualnie dokonać zawieszenia lub zakazać planowanego przekazywania danych osobowych.
Należy zauważyć, że TSUE potwierdził co do zasady w omawianym wyroku ważność decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane osobowe mającym siedzibę w krajach trzecich. Zastrzegł on jednak, że w zakresie takiego transferu danych osobowych dane osobowe obywateli z UE muszą być chronione w stopniu równoważnym do tego gwarantowanego w UE przez RODO.
Treść części I artykułu znajduje się tutaj
Polecamy także: