Gdy 6 października 2015 r. zapadł wyrok Trybunału Sprawiedliwości UE w sprawie Maxa Schremsa – trybunał stwierdził nieważność decyzji Komisji Europejskiej odnoszącej się do porozumienia Safe Harbor, które dotyczyło przekazywania danych osobowych do USA – w mediach rozpętała się istna burza.
Dominowało stanowisko, zgodnie z którym wyrok TSUE miał mieć przełomowe znaczenie dla transferów danych osobowych. Tymczasem od wyroku minęły dwa miesiące, a popularne portale społecznościowe i usługi przetwarzania informacji w chmurze świadczone przez podmioty z USA działają nadal. Jak to możliwe?
Wyrok w sprawie C-362/14 zapadł w odniesieniu do działalności portalu Facebook i przekazywania przez niego danych osobowych do USA. Sam w sobie nie zatrzymał jednak działalności Facebooka na rynku europejskim. Jak bowiem można było przeczytać w komunikacie prasowym trybunału: „w następstwie wydania tego wyroku irlandzki organ nadzorczy jest zobowiązany do zbadania skargi M. Schremsa z wszelką wymaganą starannością i (...) wydania decyzji, czy należy zawiesić, na mocy dyrektywy, przekazywanie danych europejskich użytkowników Facebooka do USA”. Piłeczka jest więc po stronie irlandzkiego organu ochrony danych, który postępowania jeszcze nie zakończył i nie wydał decyzji, o której mowa w komunikacie.
W tym świetle ciekawie przedstawiają się reakcje europejskich inspektorów ochrony danych osobowych. Z jednej strony brytyjski Information Commissioner sugeruje, aby nie panikować i nie zwracać się w stronę innych mechanizmów niż Safe Harbor, jako że mogą się okazać niedoskonałe. Na drugim biegunie lokuje się szwajcarski organ, który wprost uznał, że porozumienie Safe Harbor nie stanowi wystarczającej podstawy prawnej dla przekazywania danych osobowych do USA w zgodzie ze szwajcarskim prawem. Niezależnie natomiast od poszczególnych inspektorów krajowych, już 10 dni po wydaniu wyroku Grupa Robocza Artykułu 29 ds. Ochrony Danych wydała oświadczenie, w którym znalazły się trzy zasadnicze elementy. Po pierwsze, grupa podkreśliła, że „w każdym przypadku operacje przekazywania nadal mające miejsce na podstawie decyzji w sprawie bezpiecznej przystani po wydaniu orzeczenia TSUE są niezgodne z prawem”. Po drugie, grupa wezwała państwa członkowskie i instytucje unijne do rozpoczęcia dyskusji z władzami USA celem znalezienia nowych rozwiązań umożliwiających przekazywanie danych za Atlantyk z poszanowaniem zasad prawa europejskiego. Po trzecie, grupa wyznaczyła swoistą cezurę czasową w postaci 1 lutego 2016 r. – jeżeli do tego czasu nie zostanie wypracowane nowe rozwiązanie, wówczas „organy ochrony danych UE będą zobowiązane do podjęcia wszelkich koniecznych i właściwych działań, które mogą obejmować skoordynowane działania w zakresie egzekwowania prawa”.
Stanowisko grupy w zakresie skutków wyroku jest jednoznaczne i nie budzi wątpliwości – porozumienie Safe Harbor nie może obecnie stanowić przesłanki legalizującej transfer danych do USA. Jeżeli ma on być kontynuowany, należy znaleźć dla niego inną podstawę – mogą to być w szczególności standardowe klauzule umowne. Potencjalnie więc na masową skalę powinny być obecnie zawierane umowy transferowe oparte na tych właśnie klauzulach. Jednocześnie jednak grupa nie jest władna, aby odroczyć wejście w życie wyroku trybunału. Nie może też wpłynąć na decyzje podejmowane przez poszczególnych inspektorów ochrony danych – stąd właśnie stanowisko polskiego GIODO, który w komunikacie prasowym podkreślił, że nie jest związany terminem 1 lutego 2016 r.
Data 1 lutego 2016 r. ma ścisły związek z zawartym w oświadczeniu grupy wezwaniem do znalezienia nowych rozwiązań w zakresie przekazywania danych osobowych do USA. Już bezpośrednio po wyroku TSUE część autorów, w tym i autor tego tekstu, zwracała uwagę na możliwość zawarcia przez Unię Europejską i USA nowego porozumienia. Takie Safe Harbor II jest już zresztą negocjowane – jak ujawniła Věra Jourová, komisarz ds. sprawiedliwości, spraw konsumenckich i równości płci, ma zostać zawarte do 31 stycznia 2016 r.
Pomijając więc kwestie polityczne, powołanie się w grudniu 2015 r. na porozumienie Safe Harbor nie może stanowić podstawy prawnej dla przekazywania danych osobowych do USA. Niezależnie też od wątpliwej daty 1 lutego 2016 r. krajowi inspektorzy ochrony danych osobowych są uprawnieni do zakazania tego transferu w sytuacji, gdy odbywał się on przed 6 października na zasadzie Safe Harbor i po tej dacie ma się odbywać nadal, a nie została znaleziona dla niego inna podstawa legalizująca.