Trybunał
Sprawiedliwości EU ponownie, trafnie i legalistycznie opowiadając się za
ochroną naszych danych osobowych znacząco utrudnił ich przekazywanie poza UE
(do USA i nie tylko).
Istota
sprawy
UE tradycyjnie uznaje, że europejski model ochrony danych
osobowych ma w skali globalnej charakter wzorcowy. Zatem, w ocenie
Europejczyków, świat dzieli się na kraje należycie (tj.: zgodnie z unijnym
standardem, wytyczonym przede wszystkim przez RODO) dbają o dane osobowe, oraz na
„państwa trzecie” (które o dane nie dbają, dbają słabiej bądź dbają inaczej).
Państwami trzecimi są nie tylko Rosja czy Chiny, ale też USA, Izrael, Kanada. W
konsekwencji tej dychotomii, przekazywanie danych do państw trzecich wymaga
spełnienia szczególnych wymogów, które muszą być zaaplikowane niezależnie od
wszelkich innych formalności związanych z przetwarzaniem danych.
Komisja Europejska (KE) może systemowo udrażniać
przekazywanie danych osobowych do państw trzecich, m.in. uznając, iż określone
państwo trzecie zapewnia danym ochronę równoważną ochronie obowiązującej w UE. Taka
„biała lista” obejmuje m.in. Izrael, Japonię czy Kanadę
(do pewnego stopnia).
USA do 16 lipca 2020 korzystały w pewnym zakresie z wpisu na „białą
listę” – amerykańskie podmioty uczestniczące w programie Privacy Shield (ok.
5300 przedsiębiorców) korzystały z domniemania, że chronią dane na należytym (europejskim)
poziomie. Wcześniej, w latach 2000 – 2015, ponad 4000 amerykańskich podmiotów
na podobnych zasadach korzystało z dobrodziejstwa programu Safe Harbor.
Innym środkiem przysługującym KE jest przyjęcie wzorcowych Standard
Contractual Clasues (SCC; RODO posługuje się inną nazwą, ale w tym momencie to
drugorzędne), zapewniających danym odpowiednie bezpieczeństwo. Obszerne SCC
(kilka wersji; pierwsze opublikowane w roku 2001), były powszechnie włączane do komercyjnych
umów między unijnymi eksporterami danych a ich importerami w państwach trzecich (np.
w USA) na zasadzie bezrefleksyjnej operacji copy&paste (ze strony
internetowej KE, do tekstu podpisywanej umowy).
Kalendarium
wydarzeń
Ø
16 lipca 2020 Trybunału Sprawiedliwości UE (TSUE) wydał wyrok w sprawie
Schrems II (sygn. C‑311/18), uznając, iż:
-
decyzja KE
zatwierdzająca Privacy Shield jest nieważna, wskutek czego sankcjonowany nią
program przestaje istnieć; wyeliminowało to ze skutkiem natychmiastowym jedną z
podstaw przekazywania danych osobowych z UE do USA,
-
utrzymał w mocy decyzje KE
przyjmujące SCC zastrzegając jednak, że SCC nie mogą być stosowane
bezkrytycznie. Konkretnie, w ocenie TSUE, ich
stosowanie wymaga przeprowadzenia skomplikowanego i złożonego testu
adekwatności (zob. art. 45 RODO). Co więcej, test ów winni przeprowadzać sami
zainteresowani – to jest eksporterzy i importerzy danych osobowych (zatem:
zazwyczaj przedsiębiorcy). Błąd obarczony jest, przynajmniej teoretycznie, karą
do 20 mln EURO.
Ø
W kolejnych
dniach w sprawie wypowiadały się europejskie organy nadzorcze (w tym polski
Urząd Ochrony Danych Osobowych). Spektrum stanowisk szerokie: od
wstrzemięźliwych „wait and see” („oceniamy i wypowiemy się obszerniej”) – tak
np. francuski CNIL, brytyjski ICO czy polski UODO, po stanowcze „stop dla
transferów danych do USA” (tak na podstawie Privacy Shield, jak i SCC) – tak
niektóre niemieckie organy krajowe, w tym berliński.
Ø
24 lipca 2020
komunikat (w formie Frequently Asked Questions; FAQ) opublikowała Europejska
Rada Ochrony Danych (dokument z 23.07) naturalnie potwierdzając stanowisko
TSUE, rozszerzając wnioski Trybunału poczynione w odniesieniu do SCC na inny
jeszcze środek prawny umożliwiający przekazywanie danych osobowych do państw
trzecich. Tym razem chodzi o wiążące reguły korporacyjne, pozwalające na
przepływy danych osobowych w ramach grupy przedsiębiorców. Takie Binding
Corporate Rules (BCR) bywają opracowywane przez światowe korporacje, a wchodzą
w życie po zatwierdzeniu przez właściwe unijne organy ochrony danych osobowych.
Wg EROD także tu konieczna jest stała czujność i ocena dokonana przez
przedsiębiorców, czy dane przekazane do państwa trzeciego będą bezpieczne tak,
jak w UE.
Ø
Wiele z
tego, co wydarzyło się w lipcu 2020 stanowi w zasadzie powtórkę z października
2016 roku, kiedy TSUE – też w sprawie z udziałem austriackiego prawnika i
działacza, Maxa Schremsa, też z udziałem facebooka, oraz też z udziałem
irlandzkiego organu ochrony danych – uchylił obowiązywanie programu Safe Harbor
(wyrok C-362/14). Obecnie przeżywamy deja vu – Privacy Shields to w zasadzie Safe
Harbor w wersji 2.0, z tym że w roku 2020 TSUE oraz EROD poszły w swych
wnioskach dalej, o czym była mowa.
Konkluzje
i kwestie otwarte
Szereg
amerykańskich regulacji dopuszcza szeroki dostęp do danych osobowych przez
amerykańską administrację, a stosowne przepisy często nie przyznają obywatelom
UE skutecznych środków odwoławczych. Tytułem przykładu można wskazać federalną
ustawę Foreign Intelligence Surveillance Act 1978
(FISA była uchwalona za czasów prezydentury Jimmy’ego Cartera) czy
prezydenckie akty normatywne dot. bezpieczeństwa publicznego – Executive Order nr 12333 z 1981 r. (podpisany przez Ronalda
Reagana) oraz Presidential Policy Directive PPD-28 z 2014 r. (wydany przez
Baracka Obamę).
Wbrew
nadziejom Maxa Schremsa trudno oczekiwać, iż władze USA zrezygnują, w dobie
walki z terroryzmem, a ostatnio także z zagrożeniem epidemiologicznym, z
dostępu do danych. O konsekwentnej polityce w tym zakresie świadczą przywołane
nazwiska prezydentów uczestniczących w wydaniu ww. aktów prawnych, wywodzących
się z obu głównych amerykańskich partii politycznych.
Czy
możliwe jest zatem systemowe rozwiązanie problemu? Systemowe, gdyż rozwiązania wyjątkowe
(ad hoc) nadal są dostępne. Wydaje się to wątpliwe, w szczególności trudno
liczyć na przystanie przez UE na „Safe Harbor 3.0”. Uchylenie kolejnego
programu przekazywania danych do USA
przez TSUE – a przesłanki uchylenia (dostęp do danych przez organy
wywiadowcze USA) nie ustaną – stanowiłoby kompromitację UE w omawianej
dziedzinie. Świadczyłoby to bowiem o swoistej grze pozorów a nie potrzebie realnej
i globalnej ochrony danych obywateli UE.
O
ile nie dojdzie do zmiany unijnego paradygmatu ochrony danych osobowych (co
wydaje się mało prawdopodobne) czy niepożądanej aberracji i powszechnej
ucieczki w stosowanie rozwiązań wyjątkowych (nie zasadzających się na
zapewnieniu danym bezpieczeństwa, lecz na wystąpieniu szczególnych okoliczności
czy potrzeby), zapewne można spodziewać się aktywności sprawdzająco-audytowych,
mających na celu ocenę „sytuacji danych” po ich przekazaniu do państwa
trzeciego.
Aktywności
tego rodzaju mogą być podejmowane przez podmioty zewnętrzne, niemniej z uwagi
na doniosłość materii i wskazaną wysokość sankcji, będą to operacje kosztowne, o
skutkach ograniczonych przedmiotowo, podmiotowo i czasowo (podobnie, jak kosztowne
opinie dot. prawa obcego, nierzadko spotykane w obrocie międzynarodowym).
Zatem
tymczasem środowisko praktyków ochrony danych osobowych przyjęło „wait and see
approach” czekają m.in. na ew. grace period stosowania wyroku TSUE.
Autor: Bartosz
Marcinkowski
Bartosz jest doktorem prawa, radcą prawnym, Partnerem DZP, największej niezależnej kancelarii w Polsce. Specjalizuje się w Int’l M&A oraz Int’l Data Privacy. Członek International Bar Association (IBA) oraz Meritas European Leadership Group, szef Meritas Data Protection Group. W roku 2019 zaliczony przez Who’s Who Legal do grona Global Leaders; w roku 2020 rekomendowany przez Legal500 w kategoriach Corpo/M&A oraz Restructuring. Uczestnik programów Cambridge oraz INSEAD. W 2018 jego doktorat poświęcony relacjom EU-USA w obszarze ochrony prywatności został opublikowany przez C.H. Beck
Brak komentarzy:
Prześlij komentarz