Odpowiednicy polskiego Urzędu Ochrony Danych Osobowych otrzymali właśnie 101 skarg na bezprawne przesyłanie danych do Stanów Zjednoczonych, a konkretnie na przekazywanie ich korporacjom Google i Facebook. Na cenzurowanym są znane firmy z 30 państw europejskich, jak Ikea, Leroy Merlin, MTV, Sephora czy Tele2, a z polskich Interia, Onet-RAS i PKO BP, TVN i TVP.
To kolejna, nie tylko prawna, ale i medialna akcja organizacji non profit NOYB (jej nazwa nawiązuje do skrótu angielskiego powiedzenia „nie twój interes”). Założył ją austriacki prawnik i aktywista Max Schrems, który od lat walczy o zablokowanie transferu danych do USA. Walczy nadzwyczaj skutecznie, bo udało mu się przed Trybunałem Sprawiedliwości UE zablokować dwie decyzje Komisji Europejskiej, które legalizowały przesył informacji.
Chodzi o programy „Safe Harbour” (Bezpieczna Przystań) i jego następcę „Privacy Shield” (Tarcza Prywatności). Oba miały gwarantować, że nasze dane w USA mają zapewnioną ochronę adekwatną do ochrony w UE. Luksemburski Trybunał uznał jednak, że to nieprawda. Główny zarzut nawiązuje jeszcze do afery ujawnionej przez Edwarda Snowdena, czyli inwigilacji przez Agencję Bezpieczeństwa Narodowego. Mówiąc wprost – amerykańskie służby bez jakiejkolwiek kontroli mogą sięgać po nasze dane, o ile trafią one do USA.
Ostatni wyrok, stwierdzający nieważność Tarczy Prywatności, zapadł w lipcu. Jego konsekwencje mogą być daleko idące, gdyż w uzasadnieniu poniekąd zakwestionowano również inną podstawę prawną do transatlantyckiego transferu, czyli standardowe klauzule umowne. A to oznacza coraz poważniejszy problem z legalizacją przepływu danych. Mimo to nad tą trumną zapanowała dziwna cisza. KE schowała głowę w piasek, udając, że w ogóle nie ma problemu. Organy ochrony danych osobowych z różnych państw wydały dość oględne stanowiska, z których trudno się zorientować, kiedy można przesyłać dane do USA.
Sami przedsiębiorcy, w tym globalne korporacje, po prostu zmieniły w regulaminach podstawę prawną, wskazując na wspomniane standardowe klauzule umowne. Czy te klauzule mogą legalizować transfer do USA? Tego właśnie dowiemy się na skutek skarg skierowanych przez Schremsa. Swą medialną akcją zmusza on organy ochrony danych osobowych do zajęcia stanowiska. Co więcej, paneuropejski wymiar akcji powinien skłonić różne organy do współpracy i wypracowania jednolitego podejścia.
Być może stanie się to w ramach Europejskiej Rady Ochrony Danych, w której skład wchodzą przedstawiciele organów ochrony danych z 27 państw członkowskich UE i trzech państw Europejskiego Obszaru Gospodarczego. Jakiekolwiek rozstrzygnięcia zapadną, administratorzy będą przynajmniej wiedzieć, na czym stoją. Gdyby porównać lipcowy wyrok TSUE do postawienia na stole granatu, to Schrems właśnie wyciągnął z niego zawleczkę. Ktoś chyba jednak musiał to zrobić. Dalsze chowanie głowy w piasek nie służyłoby nikomu.