Przekazywanie danych osobowych z UE do USA w świetle wyroku z 6 października 2015 r. w sprawie nr C-362/14

Pięć dni temu Trybunał Sprawiedliwości Unii Europejskiej wydał ważny wyrok dotyczący transferu danych osobowych z Europy do USA. Tytuły prasowe w Internecie od tego czasu alarmują znaczącymi tytułami w rodzaju: „Safe Harbour wcale nie taka bezpieczna” czy „To koniec dla fb”. O co chodzi w tym zamieszaniu i czy rzeczywiście będzie ono miało jakiekolwiek konsekwencje?

Wyrok dotyczy tzw. programu „Safe Harbour” opracowanego przez Komisję Europejską we współpracy z Departamentem Handlu USA i zatwierdzonego decyzją KE w 2000 roku. TSUE unieważnił decyzję Komisji Europejskiej, co sprawia, że cała podstawa programu Safe Harbour została unicestwiona.

 

Czym jest program Safe Harbor?

Mówiąc najogólniej jest to porozumienie opracowane na potrzeby usprawnienia wymiany danych osobowych między Europą a USA. Jako że Stany nie posiadają jednolitej regulacji w zakresie danych osobowych, nie były też w stanie potwierdzić, że spełniają wymogi w zakresie bezpieczeństwa konieczne podczas przekazania danych z Europy i wynikające z przepisów europejskich. W porozumieniu z KE stworzono więc program „bezpiecznej przystani”. Przystąpienie do niego przez jakąkolwiek firmę amerykańską dawało domniemanie, że zapewnia ona odpowiedni poziom ochrony danych osobowych, taki jak w Europie. Ten tok rozumowania miał sprawiać, że firmy z Europy mogły bez obaw przekazywać dane do USA.

 

Który z elementów tej układanki sprawił, że TSUE unieważnił decyzję KE zatwierdzającą program?

Nie jest tajemnicą, że od dobrych kilku lat toczyła się dyskusja, że prawo amerykańskie nie zapewnia ochrony danych na równi z prawem europejskim, zaś sama idea „bezpiecznej przystani” jest co najmniej wątpliwa. Obawy zgłaszał także niezależny organ doradczy zrzeszający m.in. przedstawicieli krajowych organów ochrony danych z państw członkowskich UE, tj. tzw. Grupa Robocza Artykułu 29.

 

Co dalej?

Statystyki wskazują, że do programu Safe Harbour przystąpiło ponad 5 tysięcy form amerykańskich. Polskie firmy, które kooperują z USA muszą zrewidować swoje umowy i sprawdzić, na jaką podstawę prawną powoływały się przekazując dane do Stanów. Jeśli było to porozumienie Safe Harbour, należałoby ustalić nowe zasady współpracy. Przedsiębiorcy będą mieli do wyboru: albo uzyskiwać zgodę GIODO na transfer albo zadbać o odpowiednie brzmienie umów z kontrahentami z USA, dbając o to, aby znajdywały się w nich zapisy zapewniające odpowiednie zabezpieczenie prywatności osób, których dane są przekazywane. Zapisy takie powinny nakładać na kontrahentów z USA wymagania w zakresie ochrony danych osobowych takie, jak wynikają z prawa UE.

W obliczu nowej sytuacji, do umów można byłoby wprowadzać tzw. SCC (standardowe klauzule umowne), które do tej pory były stosowane w transferze danych osobowych poza EOG. SCC zostały wprowadzone odpowiednimi decyzjami Komisji Europejskiej, a ich wpisanie do umów gwarantowałoby zabezpieczenie interesów osób, których dane byłyby przekazywane do Stanów. Zastosowanie mogłyby znaleźć również tzw. wiążące reguły korporacyjne, zatwierdzone przez GIODO.

Wyrok wymusza zmianę zasad współpraca polskich firm współpracujących z podmiotami zza oceanu. Dobrze byłoby być przygotowanym na ewentualne kontrole GIODO, podczas których firmy byłyby w stanie wykazać, że przekazując dane zawarły odpowiednie zapisy w umowie z kontrahentem amerykańskim, gwarantujące bezpieczeństwo danych. Brak takich zapisów w razie kontroli może skutkować zakazem przekazywania danych. Nie można również zapominać, że unijna dyrektywa daje podstawy do tego, aby transfer danych realizować w oparciu o konieczność wykonania umowy, wymogu wynikającego z prawa czy zgody osoby, której dane dotyczą.

Podsumowanie

Na pierwszy rzut oka, orzeczenie TSUE można byłoby skwitować słowami, że wreszcie ktoś odważył się ujawnić, że „król jest nagi”.  Od dawna co najmniej wątpliwe było, że Stany zachowują poziom bezpieczeństwa co do danych na tak wysokim poziomie jak iluzorycznie wynikało to z Safe Harbour. Afera PRISM i działania E. Snowdena jedynie przypieczętowały te fakty.

Jednak, jak powszechnie wiadomo, punkt widzenia zależy od punktu siedzenia i nie każdy będzie usatysfakcjonowany z treści wyroku. Co więcej, wyobrażam sobie, że ten sam Jan Kowalski będzie oburzony jako prezes dużej spółki e-commerce „dodatkowymi utrudnieniami” czy „przecinaniem wygodnego kabla transferującego dane do USA”, zaś w zaciszu domowym jako przeciętny użytkownik Sieci może stwierdzić, że ryzyko skanowania choćby jego prywatnych postów na facebooku przez bliżej nieznane służby przemawia za słusznością wyroku TSUE.

Nie można wykluczyć, że UE zawrze w najbliższym czasie kolejne porozumienie, podobne do Safe Harbour. Niedawno podpisano np. tzw. Umbrella Agreement (dotyczącą przekazywania danych osobowych dla celów związanych ze zwalczaniem przestępczości). Co więcej, Věra Jourová, komisarz UE ds. sprawiedliwości, spraw konsumenckich i równości płci, czeska polityk po wydaniu wyroku zapowiedziała, że zamierza skontaktować się ze swoim amerykańskim odpowiednikiem by podjąć kolejne kroki w świetle tego wyroku.

 

Ciąg dalszy w tej materii nastąpi.