W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) ogłosił wyrok w sprawie C-311/18, w którym:
- stwierdził, iż Tarcza Prywatności UE-USA nie zapewnia adekwatnej ochrony danych przekazywanych do USA; oraz
- potwierdził ważność standardowych klauzul umownych („SKU”) dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mających siedzibę w państwach trzecich oraz określił wymogi wobec podmiotów korzystających z tych klauzul.
W konsekwencji, podmioty wysyłające dane osobowe poza Europejski Obszar Gospodarczy („EOG”) powinny zweryfikować podstawy na których oparte są powyższe procesy i sprawdzić ich zgodność z Ogólnym Rozporządzeniem o Ochronie Danych („RODO”) w świetle najnowszych wytycznych TSUE.
TARCZA PRYWATNOŚCI
Do tej pory, na podstawie decyzji KE (Decyzja 2016/1250), możliwe było wysyłanie danych do podmiotów w Stanach Zjednoczonych, które są objęte Tarczą Prywatności, na takich samych zasadach jak do podmiotów znajdujących się na terenie EOG. Decyzje KE stwierdzające adekwatność ochrony (tzw. decyzje o adekwatności) są bowiem jedną ze wskazanych w RODO podstaw przekazywania danych osobowych do państwa trzeciego.
W swoim wyroku z 16 lipca 2020 r., TSUE wskazał, że przyjęta w 2016 r. Tarcza Prywatności nie jest zgodna z unijnymi zasadami dotyczącymi ochrony danych osobowych. TSUE podkreślił m.in. że prawo Stanów Zjednoczonych umożliwia władzy publicznej dostęp do danych w stopniu większym, niż jest to konieczne, a więc w sposób niezgodny z ustanowioną w prawie unijnym zasadą proporcjonalności. TSUE stwierdził również, że osoby, których dane są przekazywane do Stanów Zjednoczonych nie mają zapewnionej dostatecznej ochrony sądowej.
Powyższy wyrok został wydany w wyniku skargi złożonej przeciwko Facebookowi przez Maximiliana Schremsa. Żądał on zaprzestania przekazywania jego danych osobowych do Stanów Zjednoczonych ze względu na brak zapewnienia wystarczającej ochrony danych osobowych przez ten kraj. W ramach przypomnienia warto wskazać, że wskutek skargi M. Schremsa TSUE orzekł już o nieważności poprzedniej decyzji KE dotyczącej zapewnienia odpowiedniego stopnia ochrony przez Stany Zjednoczone, tzw. „Safe Harbour” (wyrok Trybunału z dnia 6 października 2015 r. w sprawie C‑362/14).
STANDARDOWE KLAUZULE UMOWNE
W przypadku braku decyzji o adekwatności RODO dopuszcza inne odpowiednie zabezpieczenia transferu poza EOG, których przykładem są SKU. W dzisiejszym wyroku, TSUE potwierdził ważność Decyzji KE 2010/87 w sprawie SKU stosowanych w relacji administrator – podmiot przetwarzający.
Niemniej jednak TSUE wskazał, że podmioty opierające się na SKU powinny wpierw zweryfikować poziom ochrony w państwie trzecim do którego dane mają zostać przekazane, w tym znajdujące zastosowanie przepisy prawa. Warunkiem zastosowania SKU jest bowiem obowiązywanie egzekwowalnych praw osób, których dane dotyczą oraz skutecznych środków ochrony prawnych.
Jak tłumaczy TSUE, należy zagwarantować by osoby, których dane są przekazywane na podstawie SKU, korzystały ze stopnia ochrony merytorycznie równoważnego temu gwarantowanemu w Unii. TSUE wskazał, że wpływ na ocenę powyższego mogą mieć zarówno postanowienia umowne pomiędzy podmiotem wysyłającym dane a podmiotem odbierającym je, jak i – w przypadku ewentualnego dostępu władzy publicznej do danych osobowych – system prawny danego państwa.
Powyższe pokazuje, że każdy transfer danych osobowych poza EOG, w tym w szczególności do Stanów Zjednoczonych, powinien być ponownie przeanalizowany. Przekazywanie danych osobowych poza EOG bez zapewnienia odpowiednich zabezpieczeń stanowi naruszenie RODO, a tym samym grozić może m.in. nałożeniem kar administracyjnych wynikających
z tego rozporządzenia.