Luksemburski trybunał rozstrzygnie dzisiaj, czy transfer danych Europejczyków do USA, a być może także do innych państw, jest legalny. Globalne korporacje wstrzymały oddech
Rozpoznawana przez Trybunał Sprawiedliwości Unii Europejskiej sprawa jest potocznie nazywana „Schrems II” od nazwiska austriackiego prawnika Maximiliana Schremsa. W 2015 r. doprowadził on do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. Teraz konsekwencje mogą być nawet jeszcze dalej idące. Podważa on bowiem nie tylko porozumienie „Privacy Shield” (tarcza prywatności), które zastąpiło „Safe Harbour”, lecz także standardowe klauzule umowne. Te ostatnie stanowią zaś podstawę transferu danych do większości państw na świecie.
– Jeżeli TSUE podważy legalność standardowych klauzul modelowych lub Tarczy Prywatności, to wiele transferów danych osobowych z dnia na dzień może stać się nielegalnymi. Olbrzymia liczba firm zmuszona będzie do błyskawicznego szukania innej podstawy prawnej, co nie byłoby łatwe. W szczególności w kłopotach znajdzie się sam Facebook, który przekazuje masowo dane swoich użytkowników właśnie w oparciu o podstawy zagrożone unieważnieniem i przy niekorzystnym obrocie sprawy dla siebie może być zmuszony natychmiast wstrzymać obecne transfery danych – zwraca uwagę Ewa Kurowska-Tober, radca prawny i partner w kancelarii DLA Piper.
Wojciech Klicki z Fundacji Panoptykon, która kibicuje w tej sprawie Schremsowi, podkreśla jednak, że mówienie o końcu internetu jest oczywistą przesadą.
– Nie ma problemu z przekazywaniem do USA danych niezbędnych do świadczenia usługi lub tych, które nie są objęte amerykańskimi przepisami pozwalającymi na szerokie działanie amerykańskiej Agencji Bezpieczeństwa Narodowego. Natomiast powstrzymany powinien być outsourcing danych, które równie dobrze mogą być przetwarzane na terenie UE lub innego państwa zapewniającego odpowiedni standard ochrony – zauważa.

Efekt Snowdena

Zarzuty stawiane przez Schremsa są w zasadzie takie same jak w pierwszej sprawie – amerykańskie służby mają zbyt łatwy dostęp do danych Europejczyków. Nowe porozumienie „Privacy Shield” jego zdaniem nic nie zmieniło. Amerykańskie służby, co ujawnił Edward Snowden, mają w zasadzie nieograniczony dostęp do danych przetwarzanych przez tamtejsze firmy. Sprawa dotyczy Facebooka i transferów dokonywanych przez ten serwis, ale podważany jest mechanizm, na którym opiera się przesyłanie danych poza Europejski Obszar Gospodarczy (EOG). Chodzi bowiem nie tylko o „Privacy Shield”, ale też standardowe klauzule umowne.
Olbrzymia liczba firm może zostać zmuszona do błyskawicznego szukania innej podstawy prawnej, co nie byłoby łatwe
– Standardowe klauzule umowne to po prostu wzór, według którego zawiera się umowy związane z przekazaniem danych osobowych do krajów trzecich. Ich popularność wzrosła znacznie po wyroku w pierwszej sprawie Schremsa, kiedy zaczęły być używane do transferów danych do USA, w miejsce umowy „Safe Harbour” – tłumaczy dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Klauzule zostały określone w decyzji Komisji Europejskiej 2010/87/UE. Przyjmuje się, że jeśli zostaną wpisane do umowy między firmą z UE i spoza UE (w tym przypadku między irlandzką spółką Facebooka a jej amerykańską spółką matką), to zagwarantowana jest ochrona równa tej, jaką daje RODO. Zarzuty Schremsa opierają się na prostym fakcie, że standardowe klauzule umowne są wiążące jedynie dla stron umowy. W żaden sposób nie krępują natomiast amerykańskich służb. Co z tego, że Facebook zapewni należytą ochronę, skoro na żądanie odpowiednich organów będzie musiał przekazać wszystkie posiadane informacje?

Ocenią krajowe organy

Zdaniem rzecznika generalnego Henrika Saugmandsgaarda Øego, który w grudniu 2019 r. przedstawił opinię w tej sprawie, argument ten nie podważa legalności samych klauzul. Jednocześnie jednak może prowadzić do zawieszenia transferu na ich podstawie do danego kraju. Na czym polega różnica? Sam mechanizm klauzul pozostaje zgodny z prawem unijnym, bo gwarantują one odpowiednią ochronę danych, o ile nie zostaje ona zakłócona przez inne czynniki. Jednym z takich czynników może być zbyt łatwy dostęp służb danego państwa do danych. Taka sytuacja nie oznacza jednak nieważności samych klauzul, tylko to, że nie mogą one być stosowane. W konsekwencji nie można na nich oprzeć przesyłu danych poza EOG.
Wyrok zgodny z opinią rzecznika pozwoli uniknąć natychmiastowej blokady transferu. Jednocześnie irlandzki sąd będzie musiał ocenić, czy administracja amerykańska nie ma zbyt łatwego dostępu do danych, co uniemożliwiłoby dalsze ich przekazywanie w oparciu o standardowe klauzule.
– Wyrok może doprowadzić do tego, że wreszcie przestanie się przymykać oko na to, co dzieje się z danymi Europejczyków. Może zwiększyć kompetencje i obowiązki organów ochrony danych (w tym polskiego UODO), ponieważ będą one weryfikować, czy dane Europejczyków przesyłane poza UE są w państwach trzecich bezpieczne, a przede wszystkim, czy dostęp do nich mają tamtejsze służby. Co ważne, wyrok zwiększy też presję na państwa poza EOG, by dostosowywały się do europejskich standardów, będzie to istotne już nie tylko z perspektywy tamtejszych obywateli, ale też firm, które chcą świadczyć usługi w Europie, a jednocześnie przechowywać dane poza UE – komentuje Wojciech Klicki.
DGP