niedziela, 2 sierpnia 2020

Guest post: Do trzech razy sztuka…? Kilka uwag na tle wyroków Trybunału Sprawiedliwości UE w sprawach Schrems I i Schrems II


Trybunał Sprawiedliwości EU ponownie, trafnie i legalistycznie opowiadając się za ochroną naszych danych osobowych  znacząco utrudnił ich przekazywanie poza UE (do USA i nie tylko).

Istota sprawy
UE tradycyjnie uznaje, że europejski model ochrony danych osobowych ma w skali globalnej charakter wzorcowy. Zatem, w ocenie Europejczyków, świat dzieli się na kraje należycie (tj.: zgodnie z unijnym standardem, wytyczonym przede wszystkim przez RODO) dbają o dane osobowe, oraz na „państwa trzecie” (które o dane nie dbają, dbają słabiej bądź dbają inaczej). Państwami trzecimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada. W konsekwencji tej dychotomii, przekazywanie danych do państw trzecich wymaga spełnienia szczególnych wymogów, które muszą być zaaplikowane niezależnie od wszelkich innych formalności związanych z przetwarzaniem danych.
Komisja Europejska (KE) może systemowo udrażniać przekazywanie danych osobowych do państw trzecich, m.in. uznając, iż określone państwo trzecie zapewnia danym ochronę równoważną ochronie obowiązującej w UE. Taka „biała lista” obejmuje m.in. Izrael, Japonię czy Kanadę (do pewnego stopnia).
USA do 16 lipca 2020 korzystały w pewnym zakresie z wpisu na „białą listę” – amerykańskie podmioty uczestniczące w programie Privacy Shield (ok. 5300 przedsiębiorców) korzystały z domniemania, że chronią dane na należytym (europejskim) poziomie. Wcześniej, w latach 2000 – 2015, ponad 4000 amerykańskich podmiotów na podobnych zasadach korzystało z dobrodziejstwa programu Safe Harbor.

Innym środkiem przysługującym KE jest przyjęcie wzorcowych Standard Contractual Clasues (SCC; RODO posługuje się inną nazwą, ale w tym momencie to drugorzędne), zapewniających danym odpowiednie bezpieczeństwo. Obszerne SCC (kilka wersji; pierwsze opublikowane w roku 2001), były powszechnie włączane do komercyjnych umów między unijnymi eksporterami danych a ich importerami w państwach trzecich (np. w USA) na zasadzie bezrefleksyjnej operacji copy&paste (ze strony internetowej KE, do tekstu podpisywanej umowy).

Kalendarium wydarzeń
Ø  16 lipca 2020 Trybunału Sprawiedliwości UE (TSUE) wydał wyrok w sprawie Schrems II (sygn. C‑311/18), uznając, iż:
-      decyzja KE zatwierdzająca Privacy Shield jest nieważna, wskutek czego sankcjonowany nią program przestaje istnieć; wyeliminowało to ze skutkiem natychmiastowym jedną z podstaw przekazywania danych osobowych z UE do USA,
-      utrzymał w mocy decyzje KE przyjmujące SCC zastrzegając jednak, że SCC nie mogą być stosowane bezkrytycznie. Konkretnie, w ocenie TSUE, ich stosowanie wymaga przeprowadzenia skomplikowanego i złożonego testu adekwatności (zob. art. 45 RODO). Co więcej, test ów winni przeprowadzać sami zainteresowani – to jest eksporterzy i importerzy danych osobowych (zatem: zazwyczaj przedsiębiorcy). Błąd obarczony jest, przynajmniej teoretycznie, karą do 20 mln EURO. 
Ø  W kolejnych dniach w sprawie wypowiadały się europejskie organy nadzorcze (w tym polski Urząd Ochrony Danych Osobowych). Spektrum stanowisk szerokie: od wstrzemięźliwych „wait and see” („oceniamy i wypowiemy się obszerniej”) – tak np. francuski CNIL, brytyjski ICO czy polski UODO, po stanowcze „stop dla transferów danych do USA” (tak na podstawie Privacy Shield, jak i SCC) – tak niektóre niemieckie organy krajowe, w tym berliński. 
Ø  24 lipca 2020 komunikat (w formie Frequently Asked Questions; FAQ) opublikowała Europejska Rada Ochrony Danych (dokument z 23.07) naturalnie potwierdzając stanowisko TSUE, rozszerzając wnioski Trybunału poczynione w odniesieniu do SCC na inny jeszcze środek prawny umożliwiający przekazywanie danych osobowych do państw trzecich. Tym razem chodzi o wiążące reguły korporacyjne, pozwalające na przepływy danych osobowych w ramach grupy przedsiębiorców. Takie Binding Corporate Rules (BCR) bywają opracowywane przez światowe korporacje, a wchodzą w życie po zatwierdzeniu przez właściwe unijne organy ochrony danych osobowych. Wg EROD także tu konieczna jest stała czujność i ocena dokonana przez przedsiębiorców, czy dane przekazane do państwa trzeciego będą bezpieczne tak, jak w UE.
Ø  Wiele z tego, co wydarzyło się w lipcu 2020 stanowi w zasadzie powtórkę z października 2016 roku, kiedy TSUE – też w sprawie z udziałem austriackiego prawnika i działacza, Maxa Schremsa, też z udziałem facebooka, oraz też z udziałem irlandzkiego organu ochrony danych – uchylił obowiązywanie programu Safe Harbor (wyrok C-362/14). Obecnie przeżywamy deja vu – Privacy Shields to w zasadzie Safe Harbor w wersji 2.0, z tym że w roku 2020 TSUE oraz EROD poszły w swych wnioskach dalej, o czym była mowa.

Konkluzje i kwestie otwarte
Szereg amerykańskich regulacji dopuszcza szeroki dostęp do danych osobowych przez amerykańską administrację, a stosowne przepisy często nie przyznają obywatelom UE skutecznych środków odwoławczych. Tytułem przykładu można wskazać federalną ustawę Foreign Intelligence Surveillance Act 1978 (FISA była uchwalona za czasów prezydentury Jimmy’ego Cartera) czy prezydenckie akty normatywne dot. bezpieczeństwa publicznego – Executive Order nr 12333 z 1981 r. (podpisany przez Ronalda Reagana) oraz Presidential Policy Directive PPD-28 z 2014 r. (wydany przez Baracka Obamę).
Wbrew nadziejom Maxa Schremsa trudno oczekiwać, iż władze USA zrezygnują, w dobie walki z terroryzmem, a ostatnio także z zagrożeniem epidemiologicznym, z dostępu do danych. O konsekwentnej polityce w tym zakresie świadczą przywołane nazwiska prezydentów uczestniczących w wydaniu ww. aktów prawnych, wywodzących się z obu głównych amerykańskich partii politycznych.
Czy możliwe jest zatem systemowe rozwiązanie problemu? Systemowe, gdyż rozwiązania wyjątkowe (ad hoc) nadal są dostępne. Wydaje się to wątpliwe, w szczególności trudno liczyć na przystanie przez UE na „Safe Harbor 3.0”. Uchylenie kolejnego programu przekazywania danych do USA  przez TSUE – a przesłanki uchylenia (dostęp do danych przez organy wywiadowcze USA) nie ustaną – stanowiłoby kompromitację UE w omawianej dziedzinie. Świadczyłoby to bowiem o swoistej grze pozorów a nie potrzebie realnej i globalnej ochrony danych obywateli UE.
O ile nie dojdzie do zmiany unijnego paradygmatu ochrony danych osobowych (co wydaje się mało prawdopodobne) czy niepożądanej aberracji i powszechnej ucieczki w stosowanie rozwiązań wyjątkowych (nie zasadzających się na zapewnieniu danym bezpieczeństwa, lecz na wystąpieniu szczególnych okoliczności czy potrzeby), zapewne można spodziewać się aktywności sprawdzająco-audytowych, mających na celu ocenę „sytuacji danych” po ich przekazaniu do państwa trzeciego.
Aktywności tego rodzaju mogą być podejmowane przez podmioty zewnętrzne, niemniej z uwagi na doniosłość materii i wskazaną wysokość sankcji, będą to operacje kosztowne, o skutkach ograniczonych przedmiotowo, podmiotowo i czasowo (podobnie, jak kosztowne opinie dot. prawa obcego, nierzadko spotykane w obrocie międzynarodowym).
Zatem tymczasem środowisko praktyków ochrony danych osobowych przyjęło „wait and see approach” czekają m.in. na ew. grace period stosowania wyroku TSUE. 

Zob. także:

Autor: Bartosz Marcinkowski
Bartosz jest doktorem prawa, radcą prawnym, Partnerem DZP, największej niezależnej kancelarii w Polsce. Specjalizuje się w Int’l M&A oraz Int’l Data Privacy. Członek International Bar Association (IBA) oraz Meritas European Leadership Group, szef Meritas Data Protection Group. W roku 2019 zaliczony przez Who’s Who Legal do grona Global Leaders; w roku 2020 rekomendowany przez Legal500 w kategoriach Corpo/M&A oraz Restructuring. Uczestnik programów Cambridge oraz INSEAD. W 2018 jego doktorat poświęcony relacjom EU-USA w obszarze ochrony prywatności został opublikowany przez C.H. Beck

Brak komentarzy: