W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (Trybunał, TSUE) wydał długo oczekiwane orzeczenie dotyczące dopuszczalności transferu danych osobowych do Stanów Zjednoczonych. Zapadło ono w tzw. sprawie Schrems II (C‑311/18), będącej kontynuacją wcześniej już rozstrzyganego przez TSUE sporu pomiędzy Maximilianem Schremsem, Facebook Ireland Ltd. oraz irlandzkim organem ds. ochrony danych osobowych (Schrems I, C‑362/14). W pierwszym wyroku, wydanym w dniu 6 października 2015 r., Trybunał stwierdził nieważność decyzji Komisji Europejskiej nr 2000/520, dotyczącej tzw. Bezpiecznej Przystani (Safe Harbour) jako mechanizmu zapewniającego adekwatność ochrony danych osobowych po ich transferze z terytorium Unii Europejskiej (Facebook Ireland) do Stanów Zjednoczonych (Facebook Inc.). W konsekwencji tego wyroku sąd irlandzki uchylił decyzję organu irlandzkiego, a Maximilian Schrems został wezwany do przeformułowania swojej skargi. Podtrzymał on w niej żądanie zakazania transferu danych do Stanów Zjednoczonych, kwestionując możliwość jego dokonania na innych niż Bezpieczna Przystań podstawach prawnych transferu danych, określonych w dyrektywie Unii Europejskiej nr 95/46/WE, zastąpionej następnie przepisami RODO. Skarżący w szczególności argumentował, że wewnętrzne prawo Stanów Zjednoczonych nakazuje Facebook Inc. udostępnienie danych osobowych obywateli innych państw do takich agend rządowych jak National Security Agency (NSA) czy Federal Bureau of Investigation (FBI), m.in. w ramach programów wywiadowczych PRISM i Upstream.

W ramach prowadzonego postępowania sąd irlandzki ponownie zwrócił się do TSUE z pytaniem prejudycjalnym, w którego wyniku doszło do wydania przez Trybunał wyroku w dnia 16 lipca 2020 r.

Wyrok w sprawie Schrems II – istota rozstrzygnięcia TSUE

Orzeczenie w sprawie Schrems II dotyczy oceny dopuszczalności transferów danych osobowych do Stanów Zjednoczonych, wykonywanych na podstawie dwóch mechanizmów, określonych w RODO:

  1. Po pierwsze – tzw. Tarczy Prywatności, a więc porozumienia pomiędzy UE i USA, zastępującego Bezpieczną Przystań. Zgodnie z decyzją Komisji Europejskiej nr 2016/1250 transfer danych do podmiotów dobrowolnie przyjmujących zasady ochrony danych osobowych zapisanych w Tarczy Prywatności był traktowany jako spełniający wymóg adekwatności ochrony w rozumieniu art. 45 ust. 1 RODO[1] (poprzednio art. 25 ust. 6 dyrektywy 95/46/WE). W wyroku z dnia 16 lipca 2020 r. Trybunał stwierdził nieważność tej decyzji. Dokonywanie transferów na tej podstawie jest, od daty wydania orzeczenia, niedopuszczalne.
  2. Po drugie – standardowych klauzul umownych, zawartych w załączniku do decyzji Komisji Europejskiej nr 2010/87, zmienionej następnie decyzją Komisji nr 2016/2297. Ten mechanizm transferowy jest z kolei wskazany jako podstawa przekazywania danych osobowych do państwa trzeciego w art. 46 ust. 2 lit. c RODO (poprzednio art. 26 ust. 2 dyrektywy 95/46/WE). Trybunał potwierdził ważność decyzji Komisji. Standardowe klauzule umowne nadal więc stanowią ważny instrument transferu danych, na podstawie którego można dokonywać transferu danych do państwa trzeciego, w tym do Stanów Zjednoczonych. Równocześnie jednak Trybunał podkreślił, że stosowanie standardowych klauzul może okazać się niewystarczającym mechanizmem transferowym. Będzie tak w szczególności wówczas, gdy ustawodawstwo państwa, w którym znajduje się importer danych, nie zapewnia poziomu ochrony równoważnego poziomowi wyznaczonemu przez przepisy RODO (więcej na ten temat – w dalszej części artykułu).

Nieważność decyzji Komisji dotyczącej Tarczy Prywatności

W wyroku z dnia 16 lipca 2020 r. Trybunał stwierdził, że Tarcza Prywatności nie zapewnia odpowiedniej ochrony danych osobowych w państwie trzecim, o której mowa w art. 45 ust. 2 RODO. Ocena odpowiedniości ochrony powinna być rozstrzygana pod kątem zgodności z treścią art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej (KPP). W przepisach tych zagwarantowano prawo do poszanowania życia prywatnego, prawo do ochrony danych osobowych oraz prawo do skutecznego środka prawnego przed sądem, w sytuacji gdy prawa te (wolności) zostały naruszone. Zdaniem TSUE w decyzji nr 2016/1250 doszło do naruszenia tych przepisów z podanych niżej powodów.

Po pierwsze, mimo że prawa do prywatności i ochrony danych osobowych nie są prawami absolutnymi i mogą ulec ograniczeniu, np. z uwagi na interes bezpieczeństwa narodowego, to jednak ograniczenia takie muszą być zawężone do przypadków bezwzględnie koniecznych. Zgodnie z zasadą proporcjonalności oznacza to, że „ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię Europejską lub potrzebom ochrony praw i wolności innych osób” (art. 52 ust. 2 KPP). Wymogu tego nie spełniają obowiązujące w Stanach Zjednoczonych przepisy, na podstawie których funkcjonują programy nadzoru wywiadowczego (surveillance programs), tj. Foreign Intelligence Sureveillance Act (FISA), Executive Order 12333 oraz Presidential Policy Directive 28 (PPD-28). Przepisy te nie zawierają bowiem jasnych i precyzyjnych zasad regulujących zakres stosowania ustanowionych ograniczeń praw podmiotów danych osobowych, w szczególności nie wskazują zakresu tego ograniczenia, a także w jakich okolicznościach i na jakich warunkach można przetwarzać dane w celach wywiadowczych. Niespełniony jest więc warunek ograniczenia ingerencji w prawo do prywatności i ochrony danych do sytuacji absolutnie niezbędnych.

Po drugie, wewnętrzne ustawodawstwo amerykańskie, regulujące wykorzystywanie danych osobowych na cele wywiadowcze, nie gwarantuje podmiotom danych odpowiedniej możliwości zaskarżenia do sądów podejmowanych w tym względzie decyzji. Nie w każdym bowiem przypadku dokonywania przez organy amerykańskie elektronicznej inwigilacji osobom zainteresowanym są przyznane takie uprawnienia. Jest to kluczowe, gdyż prawo do sądowej kontroli ewentualnych naruszeń praw (wolności) jest jednoznacznie zagwarantowane w art. 47 KPP. Trybunał podkreślił przy tym, że wprowadzona w Tarczy Prywatności instytucja Privacy Shield Ombudsperson nie rekompensuje powyższych braków ochrony, tym bardziej że organ ten nie ma cechy odpowiedniej niezależności; nie wykazano również, aby mógł wydawać decyzje wiążące służby wywiadowcze.

Z powyższych przyczyn decyzja nr 2016/1250 o uznaniu Tarczy Prywatności jako spełniającej warunek odpowiedniej ochrony została uznana za n

ieważną.

Ważność decyzji nr 2010/87 dotyczącej stosowania standardowych klauzul umownych

W wydanym orzeczeniu Trybunał potwierdził również ważność decyzji KE nr 2010/87, zatwierdzającej standardowe klauzule umowne jako instrument transferu danych osobowych w rozumieniu art. 46 RODO.

W ustosunkowaniu do wątpliwości zgłoszonej przez organ irlandzki w pytaniu prejudycjalnym TSUE wyjaśnił, że wyłącznie kontraktowy charakter standardowych klauzul, a co za tym idzie – brak związania nimi organów władzy publicznej w państwach trzecich (które nie są stroną), nie podważa „sam przez się” skuteczności decyzji Komisji. Ważność decyzji zależy bowiem od oceny, czy decyzja ta zawiera efektywne mechanizmy, które pozwalają zapewnić zgodność przetwarzania danych (po transferze do państwa trzeciego) z poziomem ochrony wymaganym przez prawo Unii Europejskiej, a także wstrzymać przekazywanie danych osobowych w przypadku stwierdzenia naruszenia warunków określonych w standardowych klauzulach lub niemożności ich przestrzegania w państwie trzecim.

W wyniku dokonanej analizy decyzji nr 2010/87 oraz dołączonych do niej treści standardowych klauzul Trybunał stwierdził, że przewidują one skuteczne mechanizmy ochrony danych osobowych. Przesądza o tym okoliczność, że ten mechanizm transferowy opiera się na odpowiedzialności eksportera danych mającego siedzibę w Unii Europejskiej. Do jego obowiązków należy stwierdzenie i monitorowanie (w trakcie trwania umowy), we współpracy z odbiorcą danych (importerem danych), czy prawo państwa trzeciego zapewnia odpowiednią ochronę. W przypadku gdy ustawodawstwo wewnętrzne importera danych uniemożliwia realizację zobowiązań określonych w standardowych klauzulach, eksporter danych jest zobowiązany do zawieszenia transferów i ewentualnego rozwiązania umowy. Niezależnie od tego właściwy organ nadzorczy jest zobowiązany na podstawie art. 58 ust. 2 lit. f i j RODO do zawieszenia lub zakazania takiego przekazania danych osobowych, jeżeli jego zdaniem i w świetle wszystkich okoliczności tego przekazania klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a eksporter danych sam nie zawiesił lub nie zakończył przekazywania.

Praktyczne znaczenie wyroku w sprawie Schrems II

Podsumowując znaczenie wyroku w sprawie Schrems II, należy stwierdzić, że niewątpliwie wprowadził on element większego ryzyka prawnego w przypadku transferów danych do Stanów Zjednoczonych. Od dnia wydania wyroku nie można już bowiem bazować na decyzji Komisji Europejskiej stwierdzającej adekwatność ochrony w przypadku podmiotów samocertyfikujących się w ramach Tarczy Prywatności. W wyroku z dnia 16 lipca 2020 r. TSUE nie określił bowiem okresu przejściowego. W związku z tym przekazywanie danych z Unii Europejskiej do odbiorcy danych w Stanach Zjednoczonych, do tej pory realizowane na podstawie odpowiedniego certyfikatu Tarczy Prywatności odbiorcy danych, jest niezgodne z prawem i dlatego musi zostać zawieszone lub oparte na innym mechanizmie przekazywania określonym w rozdziale V RODO.

Mimo że decyzja Komisji zatwierdzająca standardowe klauzule umowne pozostaje w mocy, to w wyroku wyraźnie podkreślono, że samo zawarcie umowy uwzględniającej te klauzule nie czyni transferu – automatycznie – dopuszczalnym. Należy bowiem również dokonać uprzedniej oceny, czy importer danych jest w stanie spełnić warunki ochrony określone standardowymi klauzulami zatwierdzonymi przez Komisję Europejską, w szczególności czy nie uniemożliwia mu tego wewnętrzne prawo obowiązujące w danym państwie trzecim. Wynika to z faktu, że standardowe klauzule ochrony danych przyjęte przez Komisję na podstawie art. 46 ust. 2 lit. c RODO mają na celu wyłącznie zapewnienie jednolitych gwarancji umownych, które mają zastosowanie do wszystkich eksporterów danych z Unii Europejskiej, niezależnie od poziomu ochrony gwarantowanego w danym państwie trzecim. Mogą więc zdarzyć się sytuacje, w których treść standardowych klauzul może nie stanowić wystarczającego środka zapewniającego odpowiednią ochronę danych osobowych przekazywanych do danego państwa trzeciego. Dzieje się tak np. wówczas, gdy prawo tego państwa trzeciego zezwala jego organom publicznym na ingerowanie w prawa podmiotów danych, z naruszeniem zasad określonych w RODO.

W praktyce więc podmioty przekazujące dane osobowe z UE do kraju trzeciego (w szczególności do USA, ale także do innych państw, w których nie stwierdzono odpowiedniej ochrony) będą musiały dokonać ponownej oceny legalności tych transferów. W szczególności w zakresie, w jakim opierają transfer na standardowych klauzulach umownych, powinny ocenić, czy odbiorcy danych – mając na względzie wiążące ich ustawodawstwo wewnętrzne – są w stanie przestrzegać zobowiązań określonych w klauzulach. W razie oceny negatywnej transfery danych muszą zostać zawieszone lub oparte na innym – ważnym – mechanizmie transferu. W każdym jednak przypadku należy udokumentować okoliczność dokonania takiej oceny (zgodnie z zasadą rozliczalności, ustanowioną w art. 5 ust. 2 RODO).

Niezależnie od powyższego w wyroku Schrems II wyraźnie również zobowiązano unijne organy nadzorcze do wydawania decyzji o zakazie przekazywania danych w przypadku, gdy uznają, że warunki określone w standardowych klauzulach umownych nie są lub nie mogą być przestrzegane w danym państwie trzecim. Należy w związku z tym podkreślić, że powyższe wymogi dodatkowych działań w przypadku korzystania ze standardowych klauzul umownych dotyczą wszystkich transferów do państwa trzeciego, a więc nie tylko przekazywania danych osobowych do Stanów Zjednoczonych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).