Dziennik Gazeta Prawna
Analiza DGP
Niedawne orzeczenie w sprawie Safe Harbour wywołało zrozumiałe zaniepokojenie wśród podmiotów korzystających z tej decyzji jako formy legalizacji przesyłu danych do USA. Rozwiązaniem rekomendowanym stało się oparcie transferu na tzw. standardowych klauzulach umownych i wiążących regułach korporacyjnych. Czy to jednak całkowicie bezpieczne na dłuższą metę?
Sceptyczni Niemcy
16 października Grupa Robocza Artykułu 29 (w jej skład wchodzą przedstawiciele krajowych organów ochrony danych z państw członkowskich UE, Europejskiego Inspektora Ochrony Danych oraz Komisji Europejskiej) opublikowała stanowisko dotyczące przełomowego orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 6 października w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14). Jak podaje GIODO na swojej stronie internetowej, esencją tego stanowiska jest (obok swoistego „okresu przejściowego” do końca stycznia 2016 r.) stwierdzenie: „Organy ochrony danych osobowych uważają, że w tym czasie nadal mogą być wykorzystywane standardowe klauzule umowne i Wiążące Reguły Korporacyjne”.
Sytuacja jest zatem na pozór prosta: w obliczu podważenia Safe Harbour wciąż istnieją niejako zastępcze, przy tym względnie proste sposoby legalizacji transferu danych osobowych do USA. Nie można się jednak oprzeć wrażeniu, że przesłanki zakwestionowania decyzji Komisji 2000/520/EC z 26 czerwca 2000 r. (dotyczącej właśnie Safe Harbour) mogą mieć dalej idące konsekwencje niż tylko podważenie jednej z dróg dostępnych dla zainteresowanych podmiotów. Należy bowiem zwrócić uwagę, że u podłoża podważenia powyższej decyzji stała obawa, że importerzy danych nie są w stanie zapewnić im ochrony wobec organów władzy państwowej. „Jak już stwierdzono, w przypadku przekazywania danych do państw trzecich, w których uprawnienia władz państwowych w zakresie dostępu do informacji wykraczają poza to, co jest konieczne w demokratycznym społeczeństwie, państwa takie nie będą uznawane za bezpieczne miejsca docelowe przekazywania danych” – stwierdził TSUE.
Ten tok rozumowania poprowadził urząd ochrony danych osobowych w Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz) do wydania stanowiska, w którym zakwestionowano także wykorzystanie standardowych klauzul umownych ochrony danych osobowych (tzw. Model Clauses). Jak twierdzi bowiem urząd, importer danych osobowych gwarantuje m.in., że nie jest przedmiotem prawa, które uniemożliwiałoby mu skuteczną realizację instrukcji eksportera danych oraz zachowanie wymogów kontraktowych. W ocenie urzędu nie jest to jednak możliwe dla podmiotów z siedzibą w Stanach Zjednoczonych. Co za tym idzie, eksporter danych powinien rozważyć rozwiązanie takiej umowy lub przynajmniej zawieszenie transferu danych do USA. Stanowisko to wydaje się być podzielane też przez niektóre inne urzędy ochrony danych w Niemczech – jakkolwiek jak na razie nieoficjalnie.
Ufni Polacy
Czy to oznacza, że możemy się spodziewać analogicznego podejścia polskiego GIODO? Wydaje się, że nie byłoby to aż takie proste. Polska ustawa o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182) w art. 48 ust. 2 pkt 1 ustanawia klauzule umowne jako samodzielną podstawę do transferu danych za granicę. Podważenie tej zasady poprzez samodzielne rozstrzygnięcie GIODO jest raczej wykluczone – ewentualna decyzja w jednostkowej sprawie najpewniej by się nie ostała w świetle przepisów ustawy. Niewątpliwie jednak odmienna sytuacja powstałaby, gdyby któraś – lub obie – decyzje Komisji Europejskiej odnośnie stosowania klauzul umownych zostały podważone. Polska regulacja bowiem wprost odwołuje się do obecnie wciąż niewątpliwie funkcjonujących w obrocie prawnym decyzji KE.
Nie bez znaczenia jest również kwestia okresu przejściowego, jaki de facto zaproponowała Grupa Robocza Artykułu 29. Stwierdziła, że „organy ochrony danych UE będą zobowiązane do podjęcia wszelkich koniecznych i właściwych działań, które mogą obejmować skoordynowane działania w zakresie egzekwowania prawa”, jeśli do końca stycznia 2016 r. nie znajdzie się odpowiednie rozwiązanie. Niewątpliwie kwestia globalnego podejścia do sfery transferu danych osobowych do Stanów Zjednoczonych takiego rozwiązania obecnie wymaga. ©?
Ważne
Zatwierdzony przez KE w 2000 r. program Safe Harbour umożliwiał przez 15 lat legalne przekazywanie danych osobowych Europejczyków za Atlantyk, mimo istniejących między UE i USA różnic w obszarze ochrony danych osobowych