Podmioty wysyłające dane osobowe do Stanów Zjednoczonych muszą ocenić, z jakiej podstawy tego transferu powinny korzystać w miejsce unieważnionego Safe Harbour - wyjaśnia dr Wojciech Wiewiórowski.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Facebooka podważył system Safe Harbour - podstawę, na jakiej ten gigant przekazywał dane osobowe Europejczyków za Atlantyk (C-362/14). Pod koniec ubiegłego tygodnia grupa robocza art. 29 spotkała się, by omówić skutki wyroku. Do jakich wniosków doszła?
Rzecznicy ochrony danych uczestniczący w pracach grupy roboczej uznają rozstrzygnięcie za wyjątkowo istotne, ważniejsze nawet niż orzeczenia TSUE z 2014 r. w sprawach dyrektywy retencyjnej (Digital Rights Ireland) czy tzw. prawa do bycia zapomnianym (Google Spain). Wskazują, że tworząc jakiekolwiek narzędzie prawne umożliwiające transfer danych osobowych poza Unię Europejską (takie jak Safe Harbour, decyzja o adekwatności ochrony w danym kraju, standardowe klauzule umowne, wiążące reguły korporacyjne itp.) należy całościowo oceniać adekwatność ochrony danych w miejscach, gdzie dane te będą przetwarzane. Co więcej, należy czynić to nie tylko przed stworzeniem takiego narzędzia, ale i w trakcie jego działania. Wszystkie organy uczestniczące w tworzeniu tego typu narzędzi, w tym i sami rzecznicy ochrony danych, powinny brać stale pod uwagę test zaproponowany przez trybunał.