Zapraszamy na część III artykułu. Linki do poprzednich części znajdują się na końcu treści.
Tarcza Prywatności wiąże organy nadzorcze
TSUE podkreślił w wyroku, że decyzja Komisji w sprawie Tarczy Prywatności miała charakter wiążący dla organów nadzorczych ds. ochrony danych osobowych w zakresie, w jakim stwierdzała, że USA gwarantuje odpowiedni stopień ochrony. Oznacza to, że decyzja ta legalizowała transfery danych osobowych do i z USA w oparciu o Tarczę Prywatności UE-USA.
Do czasu stwierdzenia przez TSUE w omawianym wyroku nieważności tej decyzji, określony organ nadzorczy nie mógł zawiesić ani zakazać przekazywania danych osobowych w ramach Tarczy Prywatności ze względu na fakt, że – wbrew ocenie przyjętej przez Komisję we wspomnianej decyzji – uważał on, że ustawodawstwo USA regulujące dostęp do danych osobowych przekazywanych w ramach Tarczy Prywatności i ich wykorzystywanie przez organy władzy publicznej tego państwa trzeciego do celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów leżących w interesie publicznym nie zapewnia tej ochrony w odpowiednim stopniu.
High Court we wniosku o wydanie przez TSUE orzeczenia prejudycjalnego poddał w wątpliwość czy zawarte w decyzji Komisji Europejskiej w sprawie Tarczy Prywatności stwierdzenia, zgodnie z którymi USA zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych z UE są słuszne, a tym samym podważył ważność tej decyzji.
Warto wskazać, że Komisja Europejska wydając przedmiotową decyzję dokonała oceny ograniczeń i gwarancji przewidzianych w prawie USA (w tym m.in. we wspomnianym wcześniej PPD-28) w zakresie dostępu do danych osobowych przekazywanych w ramach Tarczy Prywatności UE–USA i korzystania przez amerykańskie organy publiczne z tych danych do celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów leżących w interesie publicznym. Po dokonaniu tej oceny, Komisja Europejska wskazała w tej decyzji, że „Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do samocertyfikowanych podmiotów w Stanach Zjednoczonych” (motyw 136 decyzji) oraz, że „na podstawie dostępnych informacji na temat amerykańskiego porządku prawnego, […] wszelkie ingerencje amerykańskich organów publicznych w prawa podstawowe osób, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych w ramach Tarczy Prywatności UE–USA do celów bezpieczeństwa narodowego, egzekwowania prawa lub innych celów interesu publicznego, a także wiążące się z nimi ograniczenia nałożone na samocertyfikowane podmioty w odniesieniu do przestrzegania przez nie zasad, będą ograniczać się do tego, co jest ściśle niezbędne, aby osiągnąć dany uzasadniony cel, oraz że istnieje skuteczna ochrona prawna przed taką ingerencją” (motyw 140 decyzji).
TSUE stwierdza nieważność decyzji w sprawie Tarczy Prywatności
Irlandzki High Court podkreślił we wniosku o wydanie orzeczenia w trybie prejudycjalnym, że ma wątpliwości co do tego, czy prawo USA zapewnia odpowiedni stopień ochrony wymagany w art. 45 RODO w świetle praw podstawowych gwarantowanych w art. 7, 8 i 47 Karty. TSUE w wyroku podważył istnienie w amerykańskim ustawodawstwie niezbędnych ograniczeń i zabezpieczeń w odniesieniu do ingerencji w prawo do ochrony danych osobowych dozwolonych w amerykańskich przepisach krajowych oraz zwrócił uwagę na wątpliwości w zakresie zapewnienia skutecznej ochrony sądowej przed tego rodzaju ingerencją. Dodatkowo TSUE wskazał, że ustanowienie Rzecznika ds. Tarczy Prywatności nie może rekompensować ich braku, ponieważ nie można utożsamiać instytucji Rzecznika ds. Tarczy Prywatności z sądem w rozumieniu art. 47 Karty.
Trybunał orzekł, że skoro art. 1 decyzji w sprawie Tarczy Prywatności jest nierozerwalnie związany z jej art. 2–6, a także z załącznikami do tej decyzji, nieważność art. 1 ma wpływ na ważność tej decyzji w całości. W świetle wszystkich powyższych rozważań TSUE orzekł, że decyzja w sprawie Tarczy Prywatności jest nieważna.
Możliwa luka w prawie
TSUE odniósł się w swoich rozważaniach do problemu powstania ewentualnej luki prawnej w związku z zapadłym wyrokiem. Wskazał on, że w świetle art. 49 RODO, stwierdzenie nieważności decyzji o odpowiednim stopniu ochrony – takiej jak decyzja w sprawie Tarczy Prywatności – nie może powodować powstania luki prawnej. W przepisie tym wskazane są bowiem w sposób precyzyjny określone warunki, na jakich może nastąpić transfer danych osobowych do państw trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony na zasadach przewidzianych art. 45 ust. 3 RODO lub właściwych zabezpieczeń na zasadach przewidzianych w art. 46 RODO.
Poruszenie wśród rządów państw członkowskich i organów nadzorczych
Urząd Ochrony Danych Osobowych (UODO) w komunikacie zamieszczonym na swojej stronie internetowej wskazał, że najważniejszą konsekwencją wyroku TSUE jest niemożność od dnia jego ogłoszenia tj. od 16 lipca 2020 r., przekazywania danych do importerów w USA na podstawie Tarczy Prywatności. Jednocześnie organ nadzorczy zwrócił uwagę, że TSUE potwierdził w tym wyroku dalsze obowiązywanie decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich.
UODO dość enigmatycznie wskazał jedynie na konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE w całej UE, nie wskazując swojego stanowiska w sprawie wyroku. W jego ocenie, niezbędne jest podjęcie wspólnych działań krajowych organów nadzorczych współpracujących w ramach Europejskiej Rady Ochrony Danych (EROD).
Wyrok TSUE został bardzo krytycznie przyjęty przez rząd brytyjski. W komunikacie opublikowanym na swojej stronie internetowej wskazał on, że międzynarodowe transfery danych osobowych są niezwykle ważne dla napędzania globalnych gospodarek i funkcjonowania społeczeństw. Rząd brytyjski – jak czytamy w komunikacie – zobowiązał się do zapewnienia wysokich standardów ochrony danych i wspierania organizacji brytyjskich w kwestiach związanych z międzynarodowym transferem danych. W toku postępowania o wydanie orzeczenia prejudycjalnego w przedmiotowej sprawie, rząd Wielkiej Brytanii wskazywał na ważność standardowych klauzul umownych (SCC), dlatego wyraził zadowolenie, że ten – jak podkreślił – ważny mechanizm międzynarodowego przekazywania danych nadal obowiązuje. W komunikacie wskazane zostało, że aktualnie w UK rozważane są wszelkie dalsze konsekwencje, jakie mogą wyniknąć z orzeczenia TSUE w tej sprawie. Wskazano tam również, że brytyjski rząd aktualnie współpracuje z ICO (brytyjskim organem ds. ochrony danych osobowych), aby przeciwdziałać negatywnym skutkom orzeczenia TSUE.
Komunikat w sprawie orzeczenia TSUE wydał również CNIL (francuski organ nadzorczy). Nie odniósł się on do tego orzeczenia w sposób, w jaki można by się tego spodziewać, znając jego twarde podejście w wielu kwestiach dotyczących interpretacji przepisów o ochronie danych osobowych. Wskazał on jedynie, że obecnie przeprowadza dokładna analizę wyroku wraz z innymi organami nadzorczymi w ramach prac EROD w celu umożliwienia jak najszybszego rozwiązania problemu związanego z transferem danych z Unii Europejskiej do Stanów Zjednoczonych.
EROD zadowolony z wyroku TSUE
EROD nie ukrywa zadowolenia z wyroku TSUE, w którym – jej zdaniem – Trybunał podkreślił podstawowe prawo do prywatności w kontekście przekazywania danych osobowych do państw trzecich. Decyzja TSUE – zdaniem EROD – ma ogromne znaczenie. Rada zwróciła uwagę, że UE i USA powinny osiągnąć kompletne i skuteczne ramy gwarantujące, żeby poziom ochrony danych osobowych w USA był zasadniczo równoważny z poziomem gwarantowanym w UE, zgodnie z orzeczeniem TSUE.
EROD podkreśliła, że już w przeszłości sygnalizowała w swoich sprawozdaniach z corocznych wspólnych przeglądów Tarczy Prywatności główne wady Tarczy Prywatności, na podstawie których teraz TSUE wydał wyrok o jej nieważności. EROD zamierza nadal odgrywać przodującą rolę w zapewnianiu bezpiecznego transatlantyckiego transferu danych osobowych. Wyraziła ona gotowość do udzielenia Komisji Europejskiej pomocy i wskazówek, aby pomóc w utworzeniu wraz z USA nowych ram współpracy, w pełni zgodnych z unijnym prawem o ochronie danych.
Rada przyjęła do wiadomości obowiązki właściwych organów nadzorczych wskazane w wyroku TSUE w zakresie zawieszenia lub zakazu przekazywania danych do państwa trzeciego na podstawie standardowych klauzul umownych, jeżeli – w opinii właściwego organu i w świetle wszystkich okoliczności danego transferu – klauzule te nie są lub nie mogą być przestrzegane we wskazanym państwie trzecim, a ochrony przekazywanych danych nie można zapewnić w inny sposób, w szczególności w przypadku gdy administrator (lub podmiot przetwarzający) nie zawiesił ani nie zaprzestał przekazywania danych.
Co ciekawe, EROD zobowiązała się do dokonania bardziej szczegółowej oceny wyroku i zapewnienia dalszych wskazówek oraz wytycznych w zakresie wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem TSUE.
Jak dalej żyć?
Wyrok TSUE w tej sprawie co prawda nie jest precedensowy (w 2015 r. TSUE stwierdził nieważność decyzji Komisji Europejskiej z 2000 r. w sprawie Safe Harbour), niemniej z pewnością jest on przełomowy i może być on dotkliwy dla wielu podmiotów przekazujących dane osobowe do USA. Po jego wydaniu, przekazywanie danych osobowych w oparciu o Tarczę Prywatności UE-USA nie jest już możliwe. TSUE orzekł, że dalszy transfer danych osobowych do USA może co prawda odbywać się w oparciu o standardowe klauzule umowne (decyzja Komisji Europejskiej w tej sprawie nie została unieważniona przez Trybunał), niemniej w praktyce dla setek, jak nie tysięcy administratorów szybkie wdrożenie nowych rozwiązań organizacyjnych może okazać się bardzo uciążliwe i kosztowne. Z niecierpliwością czekamy – jak zapewne również administratorzy – na zapowiedziane wskazówki oraz wytyczne EROD dotyczące korzystania przez administratorów z dostępnych instrumentów umożliwiających transfer danych osobowych do państw trzecich (w tym do USA), w świetle orzeczenia TSUE. Jesteśmy również bardzo ciekawi, czy za unieważnieniem decyzji w sprawie Tarczy Prywatności pójdą prace Komisji Europejskiej nad przyjęciem nowych rozwiązań umożliwiających sprawny transfer danych osobowych do USA. Decyzja Komisji Europejskiej w sprawie Tarczy Prywatności została przyjęta niespełna w rok po unieważnieniu przez TSUE decyzji w sprawie Safe Harbour. Czy teraz tempo i kierunek prac Komisji Europejskiej w tym zakresie będzie podobny? Czas pokaże.
Póki co widać, że EROD wyraźnie podkreśla rolę standardowych klauzul, co wybrzmiewa w treści jej oświadczenia. Należy się również spodziewać, że znaczenia nabiorą certyfikaty i kodeksy postępowania (wyrok może stać się impulsem do przyspieszenia prac nad nimi), są bowiem bardzo niedocenianą (bo nie stosowaną) gwarancją bezpieczeństwa danych. Na popularności będą zyskiwać także serwery umiejscawiane na terenie UE.
Administratorzy danych, jako pośredni adresaci orzeczenia powinni rozpocząć od przeglądu procesów oraz pilnej weryfikacji w których z nich dochodzi do transferu danych do USA oraz ustalić na jakiej podstawie się on odbywa. Jeśli podstawą jest korzystanie z unieważnionej Tarczy Prywatności należy poszukać innych rozwiązań. Dodatkowo należy śledzić jak organy nadzoru będą oceniać bezpieczeństwo transferów do poszczególnych państw opartych o standardowe klauzule umowne i uzupełniać je o dodatkowe środki o których wspomina EROD.
Pełna treść wyroku TSUE dostępna jest tutaj: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=10556672
Źródła:
https://uodo.gov.pl/pl/138/1603
Link do część I artykułu znajduje się tutaj
Link do części II artykułu znajduje się tutaj
Polecamy także:
Przekazywanie danych do USA ponownie pod znakiem zapytania
Wytyczne EROD w sprawie przesyłania danych do państw trzecich