• Magdalena Wikarjak-Górzna, autor |

TSUE unieważnił Tarczę Prywatności powołując się na niewystarczającą ochronę przed dostępem władz publicznych do danych przekazywanych do tego kraju.

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) unieważnił tzw. Tarczę Prywatności. Tarcza Prywatności (Privacy Shield) to nazwa Decyzji wykonawczej Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Tarcza Prywatności stanowiła jedną z podstaw do przekazywania danych osobowych do kraju trzeciego – w tym wypadku Stanów Zjednoczonych. Co do zasady zgodnie z RODO dane osobowe mogą być przekazane do państwa trzeciego (spoza obszaru EOG), jeżeli to trzecie państwo zapewnia odpowiedni poziom ochrony danych osobowych. Stwierdzenie zapewnienia odpowiedniego poziomu ochrony może nastąpić na podstawie decyzji Komisji zgodnie z art. 45 RODO. Wtedy na podstawie takiej decyzji (w tym przypadku Tarczy Prywatności) przekazanie danych nie wymaga specjalnego zezwolenia.

Wyrok zapadł w związku ze skargą Maximilliana Schremsa, obywatela Austrii, który jest od 2008 r. użytkownikiem Facebooka. Wniósł on skargę do irlandzkiego organu nadzorczego zmierzającą do zakazania przekazywania danych przez Facebook Ireland na serwery Facebook Inc., znajdujące się na terytorium Stanów Zjednoczonych, gdzie dane te dalej są przetwarzane. Skarżący podniósł, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.

W sprawie toczącej się pod sygnaturą C-311/18 Trybunał zbadał ważność Tarczy Prywatności w świetle wymogów wynikających z RODO, interpretowanych w świetle postanowień Karty Praw Podstawowych gwarantujących poszanowanie dla życia prywatnego i rodzinnego, ochrony danych osobowych oraz prawa do skutecznej ochrony sądowej. W tym względzie Trybunał zauważył, że w Tarczy Prywatności wyrażone jest stanowisko, zgodnie z którym wymogi bezpieczeństwa narodowego, interesu publicznego i ochrony porządku publicznego Stanów Zjednoczonych mają pierwszeństwo przed prawami osób, dopuszczając ingerencję w prawa podstawowe osób, których dane są przekazywane do tego celu przez państwo trzecie.

TSUE uznało, że ograniczenia w zakresie ochrony danych osobowych wynikające z krajowego prawa Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy publiczne Stanów Zjednoczonych takich danych przekazywanych z Unii Europejskiej nie są określone w sposób, który spełniałby wymogi równoważne z tymi stawianymi przez prawo UE. Programy nadzoru oparte na  prawie krajowym Stanów Zjednoczonych w sprawie dostępu i wykorzystania danych przez władze publiczne USA nie są ograniczone do tego, co ściśle konieczne zgodnie z zasadą proporcjonalności.

Trybunał badał również kwestię ważności standardowych klauzul umownych (Decyzja Komisji 2010/87 z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady). Zdaniem TSUE ważność decyzji 2010/87 zależy od tego, czy przewiduje ona skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane. W ocenie Trybunału decyzja 2010/87 wprowadza takie mechanizmy oraz w świetle Karty praw podstawowych Unii Europejskiej nie wykazuje niczego, co mogłoby podważać jej ważność.

Należy jednak pamiętać, co podkreślił Trybunał, że decyzja ta ustanawia obowiązek, by podmioty przekazujące dane i podmioty odbierające sprawdziły uprzednio, czy ten stopień ochrony jest przestrzegany w danym państwie trzecim, i czy zobowiązuje ona podmiot odbierający do poinformowania podmiotu przekazującego o swej ewentualnej niemożności zastosowania się do standardowych klauzul ochronnych. W takim przypadku należy zawiesić przekazywanie danych lub rozwiązać umowę.

Niewątpliwie wyrok Trybunału przewróci do góry nogami obecną praktykę. Wiele podmiotów z UE w ramach korzystania z usług IT lub marketingowych podmiotów zlokalizowanych w Stanach Zjednoczonych dokonywało transferu danych osobowych w oparciu o Tarczę Prywatności. Należy pamiętać, że transfer danych do Stanów Zjednoczonych nie został zakazany mocą powyższego orzeczenia. Konieczne jest jednak przeorganizowanie stosowanego podejścia do transferu danych osobowych. Nadal istnieje możliwość posługiwania się standardowymi klauzulami umownymi (co przy zastrzeżeniu wskazanym przez TSUE wydaje się obecnie praktycznie niemożliwe do zrealizowania) oraz w ramach wyjątków opisanych z art. 49 RODO. Wyrok może mieć wpływ nie tylko na sam transfer danych, ale także na stosowane klauzule informacyjne ujawniające Tarczę Prywatności jako podstawę transferu danych. Należy również uaktualnić pozostałą dokumentację dot. przetwarzania danych, w szczególności rejestr czynności przetwarzania czy ocenę ryzyka.

Obowiązek informacyjny | Tarcza Prywatności | TSUE | Maximillian Schrems | Facebook