W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyrokiem w sprawie C-311/81 orzekł o nieważności tzw. Tarczy Prywatności. Regulacja ta pozwalała do tej pory na stosunkowo łatwą wymianę danych między firmami z Unii Europejskiej (w tym Polski) z kontrahentami ze Stanów Zjednoczonych., mimo Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO), które wprowadziło stosunkowo surowe wymogi dotyczące przekazywania danych między Unią Europejską a krajami nienależącymi do Europejskiego Obszaru Gospodarczego. Po wyroku TSUE przekazywanie danych będzie trudniejsze.

Czytaj: TSUE: Nie można przekazywać danych osobowych do USA, bo nie są dobrze chronione>>
 

Jak działał transfer przed wyrokiem TSUE

Transfer taki jest zdecydowanie najłatwiejszy, w przypadku przekazywania danych osobowych do krajów, w stosunku do których Komisja Europejska podjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych (art. 45 RODO). Decyzja taka jest wydawana, jeżeli dany kraj zapewnia realne mechanizmy chroniące dane osobowe. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności praworządność, poszanowanie praw człowieka i podstawowych wolności i związane z tym ustawodawstwo i orzecznictwo, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo w dziedzinie ochrony danych osobowych.

Decyzje takie zostały do tej pory wydane wobec szeregu krajów, w tym Japonii, Kanady, Szwajcarii, Nowej Zelandii, Argentyny, Urugwaju, Izraela, czy Wysp Owczych, Guernsey i Man czy Andory. Również w przypadku transferu danych do Stanów Zjednoczonych, do czasu wydania komentowanego orzeczenia TSUE, przekazywanie danych nie wymagało uzyskania dodatkowego zezwolenia lub spełnienia dodatkowych, rygorystycznych przesłanek określonych w art. 46-49 RODO. W stosunku do USA obowiązywała bowiem decyzja wykonawcza Komisji (UE) 2016/1250 z 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA.

Czytaj: Po wyroku TSUE Facebook ma ograniczone możliwości przekazywania danych do USA>>
 

Przyjęcie tej decyzji pozwoliło na liberalizację zasad transferu danych między Unią Europejską a USA i stworzenie mechanizmu wewnętrznej certyfikacji dla amerykańskich przedsiębiorców przy odpowiednim poziomie ochrony danych osobowych. Tarcza Prywatności zapewniała także podstawowe gwarancje prawne dla osób fizycznych, w przypadku przekazywania ich danych na terytorium USA.

Co orzekł TSUE w sprawie przeciwko Facebookowi

Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 zapadł w ramach postępowania wywołanego skargą obywatela Austrii przeciwko Facebook Ireland Ltd. W skardze tej kwestionowano m.in. legalność przekazywania danych osobowych skarżącego przez powoływaną spółkę na rzecz spółki Facebook Inc. z siedzibą w Stanach Zjednoczonych. Zarzuty zawarte w skardze w tym zakresie dotyczyły przede wszystkim przekazywania danych przez amerykańską spółkę na rzecz federalnych organów państwowych, w ramach środków kontroli treści internetowych. W przypadku bowiem takiego przekazania na rzecz władz państwowych, w prawie amerykańskim brak jest środków prawnych umożliwiających obywatelowi wniesienie środka zaskarżenia.

W analizowanym wyroku TSUE potwierdził zastosowanie przepisów RODO w przypadku przekazywania danych osobowych między przedsiębiorcami w celach handlowych, również w przypadku późniejszego udostępnienia takich danych na rzecz organów administracji publicznej państwa, w którym siedzibę ma podmiot, któremu udostępniono dane (w przedmiotowym przypadku – Stanów Zjednoczonych). Udostępnienie danych osobowych podmiotowi w państwie spoza Europejskiego Obszaru Gospodarczego na podstawie art. 45 RODO wymaga zachowania odpowiednich zabezpieczeń, egzekwowalnych w praktyce praw osób fizycznych oraz skutecznych środków ochrony prawnej. Instytucje te powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego, były chronione w stopniu zbliżonym do tego obowiązującego w Unii Europejskiej.

Czytaj: Wyrok TSUE zmienia praktykę przekazywania danych m.in. do USA>>
 

W ramach oceny stopnia ochrony danych osobowych, zapewnianego w kontekście takiego transgranicznego przetwarzania danych osobowych, TSUE nakazał uwzględniać zarówno postanowienia umowne uzgodnione między przedsiębiorcami, jak i normy prawne obowiązujące w państwie trzecim, w tym w odniesieniu do ewentualnego dostępu organów państwowych tego państwa do przekazywanych w ten sposób danych osobowych i istotne elementy składające się na jego system prawny. Trybunał przesądził jednocześnie, że w przypadku transferu danych do państwa spoza Europejskiego Obszaru Gospodarczego, w przypadku braku decyzji KE o odpowiednim stopniu ochrony danych osobowych, właściwy organ nadzorczy (w Polsce - Prezes Urzędu Ochrony Danych Osobowych) jest zobowiązany do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych przyjętych przez Komisję, jeżeli w świetle całokształtu okoliczności towarzyszących temu przekazywaniu uzna, że klauzule te nie są lub nie mogą być przestrzegane w państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo unijne nie może być zapewniona za pomocą innych środków.

TSUE, badając przypadek Stanów Zjednoczonych uznał ostatecznie, że przesądzające znaczenie dla rozpoznania sprawy ma fakt, że amerykańskie przepisy prawa nie przewidują możliwości podniesienia przez osobę fizyczną, której dane zostaną udostępnione środka odwoławczego przed odpowiednim organem nadzorczym. Sprawa to, że art. 1 tzw. Tarczy Prywatności, a w konsekwencji cała decyzja wykonawcza Komisji (UE) 2016/1250 z 12 lipca 2016 r. są nieważne.

Konsekwencje wyroku dla polskich przedsiębiorców

Wydane orzeczenie TSUE będzie miało niewątpliwie olbrzymi wpływ na krajowych przedsiębiorców. Dotyczyć to będzie nie tylko firm, których kontrahentami czy klientami są partnerzy amerykańscy. Administratorzy danych mogą bowiem ponosić odpowiedzialność w przypadku współpracy z kontrahentami z Polski czy innego kraju Unii Europejskiej, gdy kontrahenci ci przekażą dane do Stanów Zjednoczonych. Wszystkie te podmioty powinny dokonać ponownej analizy ryzyka i oceny, czy (bezpośredni lub pośredni) transfer danych do USA jest zgodny z przepisami dotyczącymi ochrony danych osobowych. 

Zgodność taką przedsiębiorcy mogą uzyskać na wiele sposobów, w tym poprzez tzw. wiążące reguły korporacyjne (art. 47 RODO), standardowe klauzule ochrony danych przyjęte lub zatwierdzone przez Komisję Europejską, stosowanie zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO, czy wreszcie poprzez stosowanie zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO. W ostateczności, jeżeli nie uda się spełnić powyższych wymogów i nie zachodzą przesłanki określone w art. 49 RODO, przedsiębiorca zmuszony będzie do uzyskania specjalnego zezwolenia ze strony organu nadzorczego, co w praktyce może okazać się skomplikowane i kosztowne.

Wobec wydania komentowanego wyroku TSUE, każdorazowe przekazanie danych od Stanów Zjednoczonych będzie wymagało teraz od przedsiębiorcy zweryfikowania istnienia przesłanek dopuszczających taki transfer. Ocena taka powinna być przeprowadzona z uwzględnieniem ogólnych wytycznych zawartych w art. 44 RODO, aby stosowanie przepisów rozporządzenia zapewniało wysoki stopień ochrony osób fizycznych, których dane będą przetwarzane transgranicznie.