W październiku 2015 r. dużo mówiło się o wydanym przez Trybunał Sprawiedliwości UE wyroku w sprawie Schrems. Orzeczenie wbrew wielu przekazom medialnym dotknęło nie tylko Facebooka czy Google, lecz także pozostałe podmioty sektora prywatnego transferujące dane osobowe do USA.
Trybunał unieważnił bowiem decyzję Komisji Europejskiej stanowiącą podstawę prawną uprawniającą do przekazywania takich danych pod warunkiem uprzedniego uzyskania certyfikatu bezpieczeństwa Departamentu Handlu USA. Była to jak dotąd najprostsza i najczęściej wykorzystywana droga do zalegalizowania takich transferów, certyfikat można uzyskać szybko, a procedura jego otrzymania nie jest skomplikowana. Trybunał nie wypowiedział się jednak w żadnym zakresie co do pozostałych przesłanek legalizujących przekazywanie danych do USA, jak chociażby przyjęcie pomiędzy spółkami wiążących reguł korporacyjnych bądź standardowych klauzul umownych. Z uwagi na to oraz na formalny wymóg niezwłocznego dostosowania się administratorów danych do nowych zasad przekazywania danych, Grupa Robocza art. 29 jako unijne forum współpracy organów ochrony danych wyznaczyła sobie termin do końca stycznia 2016 r. na doprecyzowanie wszelkich wątpliwości. Zgodnie z zapowiedziami wydana przez Grupę Roboczą opinia zawierać miała ocenę narzędzi wykorzystywanych przy przekazywaniu danych do USA i rekomendowane rozwiązania w tym zakresie.
W ostatnich dniach Grupa Robocza art. 29 podejmowała aktywne działania zmierzające w kierunku wydania zapowiadanej oceny skutków wyroku Trybunału Sprawiedliwości. Zaskoczeniem okazało się jednak wydanie 2 lutego przez Komisję Europejską komunikatu, w którym poinformowała ona o finalizacji negocjacji prowadzonych od miesięcy z USA mających na celu wypracowanie „silnych i bezpiecznych ram dla przyszłych transatlantyckich transferów danych” zastępujących uprzedni mechanizm Safe Harbour. Jednym z głównych zastrzeżeń formułowanych w ostatnich miesiącach względem ochrony danych osobowych w USA było przewidywanie przez tamtejszy system prawny zakrojonego na szeroką skalę dostępu różnych służb do przetwarzanych na terytorium Stanów Zjednoczonych danych. Komunikat komisji zauważa również brak w USA na szczeblu federalnym organu zajmującego się nadzorem nad ochroną danych udostępnianych w związku z takim działaniem. Brak jest też w wielu przypadkach wystarczających instrumentów zapewniających sądową ochronę przed nieuprawnionym dostępem do danych osobowych. O ile po zapoznaniu się z komunikatem komisji możemy stwierdzić, że nie jest on bardzo szczegółowy, o tyle zauważyć trzeba, że zawiera dwie rewolucyjne wręcz informacje. Otóż po raz pierwszy udało się przekonać władze USA do konieczności zmiany ich wewnętrznego ustawodawstwa w kierunku ograniczenia działań inwigilacyjnych służb publicznych. Po raz pierwszy również organowi na szczeblu federalnym ma zostać przyznana wyraźna kompetencja do wykonywania nadzoru nad takim działaniem i przetwarzaniem danych osobowych. To olbrzymi krok na przód nie tylko na płaszczyźnie ochrony danych osobowych, lecz także w relacjach pomiędzy UE a USA w ogóle.
W świetle działań Komisji Europejskiej Grupa Robocza art. 29 3 lutego zdecydowała się wyłącznie na udostępnienie krótkiego oświadczenia. Wzywa w nim komisję do przekazania jej stosownych szczegółowych informacji dotyczących wyników prowadzonych ze Stanami Zjednoczonymi negocjacji, na podstawie których dokona oceny prawnej ich faktycznego wpływu na poziom ochrony danych osobowych.
Co to oznacza dla przedsiębiorców transferujących obecnie dane osobowe do USA? W mojej ocenie nic się nie zmienia. Do momentu podjęcia przez Grupę Roboczą art. 29 oceny rozwiązań wypracowanych przez komisję dane powinny być więc transferowane na podstawie pozostałych przesłanek legalizujących, w tym standardowych klauzul umownych oraz zatwierdzonych przez GIODO wiążących reguł korporacyjnych. Można przypuszczać, że dopiero na podstawie uzyskanych od komisji przez Grupę Roboczą szczegółowych informacji wypowie się ona co do możliwości dalszego powoływania się na pozostałe przesłanki przekazywania danych do USA. Uwzględniając jednak czas konieczny do wypracowania właściwych rozwiązań, można przypuszczać, że wydanie stanowiska nastąpi nie wcześniej niż w marcu 2016 r. Co jednak bardzo ważne, aktualne wydarzenia rodzą poważną nadzieję, że unieważniona przez Trybunał Sprawiedliwości decyzja zostanie zastąpiona nową, stwierdzającą adekwatność wypracowanych zasad ochrony danych ze standardami unijnymi. Nie mamy więc może rewolucji, nie wypracowano bowiem jeszcze ostatecznego rozwiązania. Jest jednak zdecydowany postęp. Być może okażę się idealistą, ale wierzę, że w ciągu nadchodzących tygodni dojdzie do wypracowania jasnych zasad transferów danych do USA, czego wszyscy oczekują.
Niniejszy artykuł zawiera wyłącznie opis faktów oraz stanowisko autora wyrażone w związku z jego działalnością naukowo-dydaktyczną