W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000 r., na mocy której podmioty amerykańskie, które przystąpiły do programu „Safe Harbor”, były traktowane jako zapewniające adekwatny poziom ochrony danych osobowych w rozumieniu przepisów dyrektywy 95/46/WE.
[Wyrok TSUE w sprawie Maximillian Schrems vs. Data Protection Commissioner (C 362/14)]
TSUE orzekł, iż istnienie decyzji stwierdzającej, że dane państwo trzecie zapewnia adekwatny poziom ochrony danych osobowych, nie wyłącza uprawnienia krajowych urzędów ochrony danych osobowych do kontrolowania, na jakich zasadach transferowane są dane osobowe obywateli Europy. TSUE zwrócił uwagę nie tylko na uprawnienie, ale i na obowiązek krajowych urzędów ochrony danych osobowych w zakresie zgodności przekazywania danych ze standardami przewidzianymi przez Dyrektywę 95/46/WE, oraz Kartę Praw Podstawowych Unii Europejskiej. TSUE zwrócił również uwagę, iż zasady ochrony danych osobowych, przewidziane przez program „Safe Harbor”, nie odpowiadają standardom przewidzianym przez ustawodawstwo UE (w szczególności w odniesieniu do dostępu do danych osobowych Europejczyków przez amerykańskie władze państwowe). W konsekwencji TSUE uznał decyzję Komisji za nieważną.
[Stanowisko Grupy Roboczej Artykułu 29 ds. Ochrony Danych i GIODO]
W odpowiedzi na Wyrok, Grupa Robocza Artykułu 29 ds. Ochrony Danych dnia 16 października 2015 r. wydała oświadczenie, w którym:
- zaznaczyła, że przesyłanie danych osobowych, które nadal odbywa się w ramach programu „Safe Harbor”, jest „bezprawne” i wezwała firmy, by „zastanowiły się nad ryzykiem, które podejmują”,
- stwierdziła, że do czasu zakończenia przez Grupę Roboczą analizy wpływu Wyroku na inne instrumenty służące przekazywaniu danych, można stosować takie instrumenty jak „standardowe klauzule umowne” czy „wiążące reguły korporacyjne”;
- zapowiedziała ponad trzymiesięczny okres „karencji” (do końca stycznia 2016 r.) w sprawie egzekwowania Wyroku przez europejskie organy ochrony danych osobowych;
- wezwała państwa członkowskie oraz unijne instytucje do podjęcia negocjacji z USA celem znalezienia „politycznych, prawnych i technicznych rozwiązań” umożliwiających przekazywanie danych osobowych na terytorium USA z poszanowaniem praw podstawowych (również w ramach obecnie prowadzonych negocjacji dot. nowego programu „Safe Harbor”).
Stanowisko GIODO pokrywa się ze stanowiskiem Grupy Roboczej i według ostatnich informacji GIODO nie przewiduje wydania odrębnego stanowiska.
[Konsekwencje]
W następstwie wydania Wyroku przestała istnieć jedna przesłanka legalizująca transfer danych osobowych do USA. Oznacza to, że administratorzy danych osobowych będą musieli skorzystać z innych przesłanek przewidzianych przez ustawę o ochronie danych osobowych dla dalszego przekazywania danych osobowych do USA, takich jak konieczność realizacji umowy czy zgoda zainteresowanej osoby. Przekazywanie danych może również nastąpić poprzez:
- zawarcie umowy opartej o standardowe klauzule umowne UE (nie wymaga zgody GIODO) lub
- wiążące reguły korporacyjne, zatwierdzone przez GIODO.
Ponadto oznacza to, że transfer do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, będzie przedmiotem badania ze strony GIODO i sądów, z perspektywy praw podstawowych podmiotów danych osobowych i szczegółowych przepisów o ochronie danych osobowych.