W ostatni czwartek (16.07.2020 r.) Trybunał Sprawiedliwości UE wydał bardzo ważny wyrok. W ciągu najbliższych miesięcy może on mieć bardzo istotny wpływ na codzienny biznes wykorzystujący narzędzia IT. Za pośrednictwem tych narzędzi najczęściej dochodzi bowiem do przekazywania danych osobowych do Stanów Zjednoczonych, a więc poza Europejski Obszar Gospodarczy. Przykładami takich narzędzi są:

1. usługi chmurowe;
2. usługi poczty e-mail oraz komunikatory, w tym również narzędzia do tele- i wideokonferencji;
3. narzędzia analityczne i marketingowe;
4. profile w mediach społecznościowych i narzędzia marketingowe w tych mediach;
5. aplikacje funkcjonujące w modelu SaaS.

Zgodnie z RODO, przekazywanie danych poza EOG może odbywać się tylko na zasadzie wyjątku m.in. wówczas, jeśli dotyczy:

1. państw, wobec których Komisja Europejska wydała decyzję, że zapewniają one odpowiedni poziom ochrony danych osobowych;
2. sytuacji, gdy podmiot z UE zawarł z dostawcą spoza EOG specjalną umowę według wzoru zatwierdzonego przez Komisję Europejską, czyli standardowe klauzule umowne (z ang. „SCC”).

W przypadku transferowania danych do USA podstawę stanowiły dotychczas oba ww. rozwiązania. W pierwszej kolejności program Privacy Shield (Tarcza Prywatności), czyli decyzja Komisji Europejskiej oparta na umowie pomiędzy UE a USA ws. certyfikowania amerykańskich firm pod kątem zgodności z RODO. Jako dodatkowe zabezpieczenie stosowane były również SCC.

W tzw. sprawie Schrems II (C-311/18) TSUE orzekł, że:

1. decyzja ws. Privacy Shield jest nieważna i przez to nie może już stanowić podstawy przekazywania danych do USA, ponieważ na gruncie prawnym Stany Zjednoczone nie zapewniają wystarczającego poziomu ochrony danych osobowych – zwłaszcza wtedy, kiedy może dochodzić do ich przetwarzania przez służby specjalne i wywiadowcze;
2. standardowe klauzule umowne muszą być stosowane, ale za każdym razem bardzo uważnie i ostrożnie; państwo do którego miałyby trafiać dane na podstawie takich klauzul musi realnie zapewniać standardy ochrony danych osobowych zbliżone do europejskich.

Powyższy wyrok oznacza w praktyce, że od 16.07.2020 r. przekazywanie danych osobowych do USA jest generalnie zakazane. Wyrok formalnie nie ma żadnego „okresu przejściowego”. Dlatego TSUE stawia wszystkie podmioty przetwarzające dane osobowe w niełatwym położeniu. Z jednej strony przekazywanie danych do USA zostało formalnie zakazane, a z drugiej strony wykonanie tego zakazu może być często niewykonalne.

Ponadto, wyrok stawia wysoko poprzeczkę w zakresie używania standardowych klauzul umownych. Dla każdego przypadku, kiedy dane miałyby być przekazywane na tej podstawie, podmiot przekazujący dane z UE musi samodzielnie przeanalizować system prawny i sytuację faktyczną w państwie, do którego dane mają trafić. Zgodnie z regułą rozliczalności taka analiza powinna być udokumentowana. Ciężar przeprowadzenia tej analizy spoczywa na podmiocie, który chce przekazywać dane i musi ona obejmować m.in.:

• praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego
• dostęp organów publicznych do danych osobowych,
• to, czy osoby z UE będą mogły realnie dochodzić przed sądem swoich praw w danym państwie;
• to, czy istnieje niezależny i wyposażony w odpowiednie kompetencje organu nadzorczy w zakresie ochrony danych osobowych.

Poza decyzjami Komisji Europejskiej oraz standardowymi klauzulami umownymi RODO przewiduje wprawdzie dodatkowe wyjątki od zakazu przekazywania danych poza EOG, ale są one dużo bardziej skomplikowane proceduralnie albo mogą być stosowane jedynie wyjątkowo. Przykładowo: można przekazywać dane poza EOG jeśli jest to niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą. Przy czym musi to być rzeczywista niezbędność, tzn. nie ma innej alternatywy. Najlepszym przykładem są usługi turystyczne, w ramach których niezbędne jest np. przekazanie danych do rezerwacji hotelu w państwie trzecim.

Komentarz r. pr. Bartosza Pilca, partnera w kancelarii CORE Law Grzybowski & Pilc (członka SMB oraz Rady ds. Prawa Marketingu SMB):

Wyrok TSUE jest bardzo radykalny co do skutków. Trzeba jednak wyraźnie podkreślić, że jest oparty wyłącznie na kryteriach prawnych. Z natury rzeczy, nie bierze pod uwagę ani wyzwań biznesowych, ani szeroko pojętej polityki. Jeśli bowiem dosłownie potraktować czwartkowy wyrok, to mogłoby to oznaczać, że konieczna jest rezygnacja przez wszystkie podmioty funkcjonujące w UE z wszelkich narzędzi IT dostarczanych przez firmy z USA. Wszyscy oni bowiem albo wprost transferują dane do USA albo przewidują taką możliwość. A mówimy tu o narzędziach do codziennej pracy i komunikacji z klientem, np. w mediach społecznościowych. Owszem, brzmi to absurdalnie, natomiast sąd orzekał o kwestiach prawnych. Prawo było zdaniem TSUE złe i należy je zmienić. 

Dość oczywiste jest, że nie da się uciec od szerokiej wymiany danych osobowych pomiędzy UE a USA. Nie da się również uciec od współpracy z podmiotami z krajów spoza EOG. Dlatego naturalnie pojawia się pytanie: co teraz? Można powiedzieć, że teraźniejszość leży w rękach krajowych regulatorów w zakresie ochrony danych osobowych oraz Europejskiej Rady Ochrony Danych. Z kolei przyszłość leży w rękach Komisji Europejskiej i Stanów Zjednoczonych. Skutek wyroku TSUE jest taki, że albo musi się zmienić prawo UE albo prawo USA.

Na ten moment zalecamy spokój (mimo wszystko) i nie podejmowanie gwałtownych działań. Warto jednak:

1. wrócić do swoich rejestrów czynności przetwarzania (wymaganych przez art. 30 RODO) i uważnie przeanalizować, kiedy w ramach naszej działalności dochodzi do przekazywania danych poza EOG i – jeśli to konieczne i możliwe – wypracować nową podstawę prawną dla takich procesów albo zmienić warunki korzystania z usług;
2. skorygować swoje klauzule informacyjne i m.in. wyeliminować z nich wzmianki o Privacy Shield (Tarczy Prywatności) jako podstawie przekazywania danych do USA;
3. uważnie obserwować działania organów nadzorczych w zakresie ochrony danych osobowych (w przypadku Polski – Urzędu Ochrony Danych Osobowych), a także Europejskiej Rady Ochrony Danych. To one bowiem będą odpowiedzialne za stosowanie nowych przepisów w praktyce. Teoretycznie, mogą nakazywać zawieszenie albo zablokowanie przekazywania danych do USA oraz nakładać kary za przekazywanie danych poza EOG niezgodnie z przepisami;
4. uważnie obserwować działania dostawców usług IT z USA, którzy w pierwszej kolejności powinni być zainteresowani uregulowaniem na nowo transferu danych. W przeciwnym razie ich działalność w UE będzie na dłuższą metę w praktyce niemożliwa.

Doświadczenia z przeszłości podpowiadają, że organy nadzorcze mogą zastosować przyjazne podejście i „okres przejściowy” na dostosowanie się do nowej rzeczywistości (zapewne kilka miesięcy). Z drugiej jednak strony niektóre niemieckie organy ochrony danych osobowych publicznie komunikują już swoją bezkompromisowość (np. organ dla Berlina wprost wskazuje, że należy zaprzestać jakiegokolwiek przekazywania danych do USA). UODO jak na razie postuluje konieczność spójnego podejścia wszystkich organów nadzorczych UE działających w ramach Europejskiej Rady Ochrony Danych. Rada zapowiedziała dokonanie bardziej szczegółowej oceny wyroku i wydanie wytycznych dotyczących wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem.