Znaczenie wyroku w sprawie Schrems II dla stosowania standardowych klauzul ochrony danych

Wyrok Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE, Trybunał) z dnia 16 lipca 2020 r. w sprawie Schrems II (dalej: wyrok Schrems II) zawiera kluczowe wskazówki dla eksporterów danych odnośnie do tego, jakich czynności powinni dokonać w przypadku oparcia transferu danych do państwa trzeciego na standardowych klauzulach ochrony danych, o których mowa w art. 46 ust. 2 pkt c) RODO. Odpowiadają one standardowym klauzulom umownym, przewidzianym w art. 25 ust. 4 dyrektywy 95/46/WE i zatwierdzonym decyzją Komisji Europejskiej – klauzule te pozostały w mocy po wejściu w życie RODO (art. 45 ust. 9 RODO), zmianie uległ jedynie sposób ich nazywania przez prawodawcę europejskiego.

W obecnym stanie prawnym to właśnie standardowe klauzule ochrony danych są najczęstszym mechanizmem transferowym, którym posługują się eksporterzy danych. Wynika to z kilku okoliczności. Po pierwsze, z faktu, że TSUE unieważnił decyzję Komisji Europejskiej nr 2016/1250 o odpowiedniości ochrony danych osobowych w przypadku transferu do Stanów Zjednoczonych wykonywanego na podstawie Tarczy Prywatności. Po drugie, do tej pory Komisja Europejska wydała decyzje stwierdzające odpowiedniość ochrony jedynie dla 12 państw (art. 45 ust. 1 RODO) [1]. Po trzecie, inne – niż standardowe klauzule ochrony danych – odpowiednie zabezpieczenia wymienione w art. 46 ust. 2 RODO albo mają ograniczony zakres zastosowania (wiążące reguły korporacyjne), albo też z braku odpowiednich decyzji Komisji Europejskiej lub organów nadzorczych nie są jeszcze dostępne dla eksporterów danych (np. jako zatwierdzone kodeksy postępowania).

Transfer danych na podstawie standardowych klauzul ochrony – uwagi ogólne

Wyrok TSUE w sprawie Schrems II dotyczy decyzji Komisji Europejskiej nr 2010/87/UE, regulującej transfer danych, w ramach którego eksporter danych jest administratorem, a importer danych z państwa trzeciego – podmiotem przetwarzającym. Nie ulega jednak wątpliwości, że zawarte w tym wyroku wskazówki znajdują zastosowanie również w przypadku pozostałych dwóch zestawów zatwierdzonych przez Komisję Europejską, a więc klauzul administrator–administrator, których dotyczą decyzje nr 2001/497/WE oraz nr 2004/915/WE[2].

Dla określenia dopuszczalności posługiwania się standardowymi klauzulami ochrony danych największe znaczenie mają wskazówki zawarte w motywie 126 uzasadnienia wyroku w sprawie Schrems II: „Choć zatem istnieją sytuacje, w których, w zależności od stanu prawnego i praktyk stosowanych w danym państwie trzecim, podmiot odbierający przekazywane w ten sposób dane jest w stanie zagwarantować ochronę danych, która jest konieczna, na podstawie samych standardowych klauzul ochrony danych, to jednak zachodzą inne sytuacje, w których postanowienia zawarte w tych klauzulach mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego. Ma to miejsce w szczególności wówczas, gdy prawo tego państwa trzeciego pozwala organom jego władzy publicznej na ingerencję w prawa osób, których te dane dotyczą”.

Z powyższego stanowiska TSUE wynikają trzy istotne wnioski. Po pierwsze, inaczej niż to powszechnie przyjmowano wcześniej, samo posługiwanie się standardowymi klauzulami ochrony danych zatwierdzonymi przez Komisję Europejską nie we wszystkich przypadkach czyni transfer danych do państwa trzeciego dopuszczalnym.

Po drugie, podmioty zaangażowane w transfer, a w szczególności eksporter danych, mają obowiązek dokonania uprzedniej analizy ustawodawstwa wewnętrznego importera danych, m.in. pod kątem zasad dostępu do przekazywanych danych podmiotów publicznych w tym państwie trzecim. Wymóg ten jest logiczną konsekwencją faktu, że – inaczej niż przy decyzji o adekwatności ochrony wydawanej na podstawie art. 45 ust. 1 RODO – Komisja Europejska, zatwierdzając standardowe klauzule ochrony, nie jest zobowiązana do przeprowadzenia oceny, czy państwa trzecie, do których dane osobowe mogłyby zostać przekazane na podstawie takich klauzul, zapewniają odpowiedni stopień ochrony. Celem zatwierdzenia klauzul przez Komisję jest bowiem jedynie zapewnienie ich spójności poprzez „jednolite ich zastosowanie we wszystkich państwach członkowskich, niezależnie od stopnia ochrony gwarantowanego w każdym z tych państw” (motyw 133 wyroku).

Po trzecie, gdy analiza ochrony danych w państwie trzecim da wynik negatywny, wówczas eksporter jest zobowiązany do zadbania o dodatkowe środki mające na celu zapewnienie przestrzegania odpowiedniego stopnia ochrony danych w państwie trzecim (motyw 133 wyroku). Jeśli nie może tego uczynić, to jest on – lub, pomocniczo, właściwy organ nadzorczy – zobowiązany do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego.

Ustawodawstwo wewnętrzne i organ do spraw ochrony danych jako kryteria odpowiedniości ochrony danych osobowych w państwie trzecim

Zgodnie ze wskazówkami zawartymi w wyroku Schrems II elementy, które należy wziąć pod uwagę, dokonując oceny odpowiedniości ochrony w przypadku stosowania standardowych klauzul jako adekwatnego zabezpieczenia w rozumieniu art. 46 ust. 2 RODO, odpowiadają tym, które określone zostały w art. 45 ust. 2 RODO.

Zgodnie z art. 45 ust. 2 RODO, oceniając odpowiedniość ochrony w państwie trzecim, należy wziąć pod uwagę trzy elementy:

  • ustawodawstwo wewnętrzne (ogólne lub sektorowe) w państwie trzecim, do którego przekazywane są dane,
  • istnienie niezależnego organu do spraw ochrony danych osobowych oraz
  • międzynarodowe zobowiązania danego państwa trzeciego.

Istotnych wskazówek w zakresie właściwego rozumienia pierwszych z powyższych elementów dostarcza nam ta część wyroku Schrems II, w której dokonano oceny ustawodawstwa Stanów Zjednoczonych jako niespełniającego kryteriów należytej ochrony danych określonych prawem Unii Europejskiej. Nie kwestionując samej możliwości ograniczenia przez państwo trzecie prawa do prywatności i ochrony danych osobowych, np. z uwagi na interes bezpieczeństwa narodowego, Trybunał podkreślił jednocześnie, że ograniczenia takie muszą być zawężone do przypadków bezwzględnie koniecznych. Przepisy tego rodzaju powinny w szczególności określać jasne i precyzyjne zasady regulujące zakres stosowania ustanowionych ograniczeń praw podmiotów danych osobowych, a także wskazywać, w jakich okolicznościach i na jakich warunkach wyjątki te mają zastosowanie.

W powyższym kontekście eksporter danych powinien również ustalić, czy importer danych jest związany tego rodzaju przepisami, a także ocenić prawdopodobieństwo, że będzie on adresatem żądań opartych na tych przepisach ze strony podmiotów publicznych z terytorium, na którym ma on siedzibę. Pomocne w tym zakresie może być m.in. ustalenie takich okoliczności jak rodzaj transferowanych danych, cele ich przetwarzania przez importera, czas przechowywania danych w państwie trzecim, a także dotychczasowa praktyka ujawniania tego rodzaju informacji w państwie trzecim.

Z kolei jeżeli chodzi o wymóg funkcjonowania niezależnego organu do spraw ochrony danych w danym państwie trzecim, to nie należy go rozumieć jako konieczności ustanowienia odpowiednika organów nadzorczych w państwach Unii Europejskiej. Ważne jest jedynie to, aby organy te miały odpowiednią autonomię (tzn. nie podlegały władzy wykonawczej), a także by wydawane przez nie decyzje mogły być przez zainteresowane osoby zaskarżone do sądu.

Znaczenie ratyfikacji porozumień międzynarodowych przez państwo importera danych

Konieczność dokonania wyżej opisanej analizy stanu prawnego w państwie trzecim stanowi niewątpliwie istotną trudność dla eksporterów danych. Pomocna w związku z tym może być wskazówka wymieniona w art. 45 ust. 2 lit. c) RODO, zgodnie z którą przy dokonywaniu takiej oceny istotne znaczenie powinny mieć międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie. Przykładem zobowiązania tego rodzaju, wymienionym wprost w motywie nr 105 RODO, jest Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych podpisana w Strasburgu dn. 28 stycznia 1981 r. Warto w związku z tym podkreślić, że Konwencję podpisało aż 55 państw, w tym 6 państw nieeuropejskich. Co więcej, w Komitecie Konwencji 108 w charakterze obserwatorów uczestniczy ponad 70 krajów. Choć ratyfikacja Konwencji stanowi istotny argument za stwierdzeniem odpowiedniości ochrony danych w państwie trzecim, to jednak automatyczne postępowanie w tym zakresie byłoby zbyt pochopne.

W powyższym kontekście odnotować należy jeszcze stanowisko brytyjskiego organu do spraw ochrony danych, który uznał, że przy ocenie odpowiedniości ochrony znaczenie ma okoliczność przyjęcia i wdrożenia przez dane państwo trzecie „Wytycznych dotyczących ochrony prywatności i przepływów transgranicznych danych osobowych”, wydanych przez Organizację Współpracy Gospodarczej i Rozwoju (OECD).

Obowiązek wprowadzenia dodatkowych zabezpieczeń do standardowych klauzul ochrony

Zgodnie z motywem 126 uzasadnienia wyroku Schrems II w przypadku stwierdzenia braku odpowiedniości ochrony należy wprowadzić dodatkowe zabezpieczenia, oprócz tych zagwarantowanych standardowymi klauzulami ochrony. Taki sposób postępowania został generalnie zaaprobowany przez krajowe organy nadzorcze, w tym PUODO. Dotyczy to również transferów do Stanów Zjednoczonych, w których przypadku w wyroku Schrems II stwierdzono brak adekwatności ochrony w ustawodawstwie wewnętrznym. Odnotować jednak należy, że nieliczne organy odrzuciły taką konieczność (berliński rzecznik ochrony danych osobowych i holenderski rzecznik ochrony danych osobowych).

W dokumencie z dnia 24 lipca 2020 r. pt. „Najczęstsze pytania dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej C-311/18 (Schrems II)” Europejska Rada Ochrony Danych (EROD) wskazała na trzy podstawowe rodzaje dodatkowych zabezpieczeń:

  • organizacyjne,
  • techniczne oraz
  • prawne.

Przykładem rozwiązania organizacyjnego jest wdrożenie odpowiednich procedur związanych z zarządzaniem kluczami szyfrowania. Istotne znaczenie mogą mieć również posiadane przez importerów danych certyfikaty bezpieczeństwa (np. ISO/IEC 27001).

Typowym przykładem środka technicznego jest z kolei szyfrowanie danych, dokonywane zarówno podczas ich przechowywania (data at rest), używania (data in use), jak i w trakcie ich przesyłania (data in transit).

Do przykładowych środków prawnych zaliczyć należy z kolei te, które uzupełniają obowiązki wynikające z zatwierdzonych przez Komisję Europejską standardowych klauzul ochrony. Są to m.in.:

  • obowiązek powiadamiania eksportera o żądaniach organów ścigania, wraz z przedstawieniem statystyk dotyczących częstotliwości i rodzaju wniosków realizowanych przez importera w okresie ostatniego roku / ostatnich dwóch lat, tak aby eksporter mógł ocenić prawdopodobieństwo, że również do jego danych służby uzyskają dostęp, oraz
  • obowiązek poddania się kontroli/audytowi, tak aby eksporter danych mógł się upewnić, że importer ma odpowiednie procedury weryfikacji żądań podmiotów publicznych dotyczących wydania przekazanych przez eksportera danych osobowych.

Publikując powyższy dokument, EROD zadeklarowała jednocześnie rozpoczęcie prac nad wytycznymi dotyczącymi dodatkowych zabezpieczeń. Podobne oświadczenia złożyła również część organów nadzorczych państw Unii Europejskiej (np. Danii, Francji, Holandii, Irlandii).

Podsumowanie

W świetle treści wyroku w sprawie Schrems II obowiązki eksportera danych planującego oparcie transferu na standardowych klauzulach ochrony przedstawiają się następująco:

Po pierwsze, eksporter danych powinien dokonać analizy odpowiedniości ochrony danych w państwie trzecim. Ocena ta powinna wziąć pod uwagę ustawodawstwo wewnętrzne w tym państwie, jak również okoliczności samego transferu danych (np. rodzaj przekazywanych informacji).

Po drugie, w przypadku wątpliwości odnośnie do adekwatności ochrony w państwie trzecim eksporter powinien rozważyć wdrożenie dodatkowych, organizacyjnych, technicznych i prawnych, środków zabezpieczenia przekazywanych danych.

Po trzecie, zgodnie z wymogami art. 5 ust. 2 RODO eksporter powinien należycie udokumentować wykonanie powyższych czynności, w tym wyniki dokonanej analizy. Przykładem działania wspierającego ten proces może być opracowanie kwestionariusza dla importerów danych, podobnego do materiałów tego rodzaju wykorzystywanych – zgodnie z art. 28 ust. 1 RODO – w procesie weryfikacji podmiotu przetwarzającego dane osobowe.

[1] W chwili obecnej takie decyzje zostały wydane dla Andory, Argentyny, Guernsey, Izraela, Jersey, Japonii, Kanady, Nowej Zelandii, Szwajcarii, Urugwaju, Wyspy Man, Wysp Owczych. W przygotowaniu jest decyzja dotycząca Korei Południowej.

[2] Przyjmuje się przy tym, że w przypadku transferów administrator-administrator, z racji autonomii importera danych w zakresie decyzji o ich dalszym przetwarzaniu, istnieje nawet większe ryzyko naruszenia interesów podmiotów danych. Może to mieć znaczenie przy ocenie, czy konieczne jest podjęcie „dodatkowych zabezpieczeń”, o których mowa w wyroku Schrems II – por. uwagi w dalszej części artykułu.