Standardowe klauzule umowne, na podstawie których wiele serwisów internetowych transferuje dane Europejczyków do innych państw są ważne – uznał rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.

Wbrew pozorom opinia Henrika Saugmandsgaarda Øego nie musi jednak być korzystna dla Facebooka. Rzecznik generalny TSUE uznał co prawda, że nie ma powodów, by generalnie podważyć klauzule, na których opiera się przesyłanie danych osobowych Europejczyków poza UE. Zastrzegł jednak, że jeśli służby kraju, do którego dane te trafiają mają zbyt łatwy do nich dostęp, to transfer na podstawie standardowych klauzul umownych powinien zostać zawieszony.

Przypomnijmy - w 2015 r. Austriak Maximillian Schrems doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. TSUE uznał, że amerykańskie służby mają zbyt łatwy dostęp do informacji przetwarzanych przez tamtejsze firmy, w tym serwisy takie jak Facebook.

Od sześciu lat Austriak próbuje przed irlandzkim organem ochrony danych i sądami podważyć inną podstawę prawą do przesyłania danych przez Facebooka czyli wspomniane standardowe klauzule umowne. To pakiet klauzul określonych w decyzji Komisji Europejskiej 2010/87/UE. Przyjmuje się, że jeśli zostaną one wpisane do umowy między firmą z UE i spoza UE (w tym przypadku między irlandzką spółką Facebooka, a jej amerykańską spółką-matką), to zagwarantowana jest ochrona równa tej, jaką daje RODO. Schrems kwestionuje to dowodząc, że klauzule umowne wiążą jedynie same firmy, a nie mają znaczenia dla amerykańskich służb. Z informacji udostępnionych przed laty przez Edwarda Snowdena wynika, że w każdej chwili mogą one zażądać od amerykańskich przedsiębiorstw dostępu do danych Europejczyków.

Rzecznik generalny TSUE w swej opinii uznał, że nie wpływa to jednak na ważność samej decyzji KE o standardowych klauzulach umownych. Te bowiem gwarantują odpowiednią ochronę danych, o ile nie zostaje ona zakłócona przez inne czynniki. Jednym z takich czynników może być zbyt łatwy dostęp służb danego państwa do danych. Taka sytuacja nie oznacza jednak nieważności samych klauzul, tylko to, że nie mogą one być stosowane. W konsekwencji nie można na nich oprzeć przesyłu danych poza UE.

Opinia rzecznika nie wiąże TSUE. Jeśli jednak podzieli on stanowisko Henrika Saugmandsgaarda Øego to sąd irlandzki będzie musiał rozstrzygnąć, czy transfer danych do USA jest możliwy w oparciu o standardowe klauzule umowne, a więc w praktyce czy administracja amerykańska nie ma do nich zbyt łatwego dostępu.

- Formalna ważność klauzul to jedno, a zakaz transferu danych na ich podstawie tam, gdzie służby mają zbyt łatwy do nich dostęp, to drugie. Zgadzam się z tym podejściem - nie powinno się zabraniać produkcji noży tylko dlatego, że można nimi zabić – komentuje opinię dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.