Bezpieczna przystań nie jest jednak dość bezpieczna. Tak uznał Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie Maximiliana Schremsa (C-362/14) i w konsekwencji orzekł, że decyzja Komisji Europejskiej 520/2000/WE z dnia 26 lipca 2000 r., będąca podstawą uznawania w Unii Europejskiej certyfikacji Safe Harbor, jest nieważna. Podmioty transferujące dane przez Atlantyk powinny rozważyć alternatywne mechanizmy legalizacji transferu danych lub zmodyfikować swoje modele biznesowe tak, by dostosować je do rzeczywistości bez Safe Harbor.
Opublikowany we wtorek wyrok Trybunału Sprawiedliwości zachwiał podstawami transferu danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Sprawa zainicjowana przez austriackiego studenta – Maximiliana Schremsa zakończyła się orzeczeniem, które w praktyce może oznaczać poważne utrudnienia w przekazywaniu danych osobowych z Unii Europejskiej do USA. Rzeczywista skala tych utrudnień będzie zależała od praktyki, jaką przyjmą organy ochrony danych osobowych w poszczególnych krajach członkowskich. Skutki wyroku będą ponadto bardziej odczuwalne dla tych podmiotów, dla których przetwarzanie, w tym transfer danych, stanowi podstawę modelu biznesowego (np. globalne serwisy społecznościowe, wyszukiwarki internetowe, dostawcy usług „chmurowych”), niż dla tych, które przekazują dane w związku z realizacją pobocznych celów biznesowych, jak choćby centralizacja procesów HR.
Skutki wyroku będą bardziej odczuwalne dla tych podmiotów, dla których przetwarzanie – w tym transfer danych – stanowi podstawę modelu biznesowego (np. globalne serwisy społecznościowe, wyszukiwarki internetowe, dostawcy usług „chmurowych”), niż dla tych, które przekazują dane w związku z realizacją pobocznych celów biznesowych, jak choćby centralizacja procesów HR.
Zasadniczą treścią wyroku jest stwierdzenie, że nieważna jest decyzja Komisji Europejskiej, zgodnie z którą przekazywanie danych osobowych z Unii Europejskiej do podmiotów certyfikowanych w Safe Harbor, może się odbywać na takich samych zasadach, jak transfer danych w granicach Europejskiego Obszaru Gospodarczego. W praktyce oznacza to, że podmioty, które dotychczas uzasadniały transfer danych do USA certyfikacją odbiorcy danych w Safe Harbor, muszą rozważyć inne możliwości legalizacji transferu. Certyfikacja Safe Harbor nie będzie już automatycznie legalizowała transferu, a każdy przypadek transferu powinien być rozpatrywany indywidualnie. W kontekście omawianego wyroku trudno jednak wyobrazić sobie sytuację, w której transfer danych do USA będzie mógł zostać uznany za legalny, bez spełnienia przez odbiorcę danych dodatkowych warunków.
Do czasu wyroku w sprawie Schrems, Safe Harbor był furtką, przez którą do USA mógł legalnie płynąć strumień danych osobowych z Europy. Trzeba dodać, że furtką dość wygodną, bo pozwalającą na relatywnie proste i tanie przekazywanie danych. Problemem związanym z wykorzystaniem tej furtki był natomiast – na co wskazuje się także w wyroku – brak realnego wpływu podmiotów danych na to, co dzieje się z ich danymi, gdy już trafią do USA. Wyrok w sprawie Schrems ma charakter przełomowy w tym sensie, że tę furtkę zamyka. Nie oznacza to paraliżu transferu danych osobowych przez Atlantyk, ale z całą pewnością stanowi pewne utrudnienie. Alternatywne mechanizmy transferu danych są mniej komfortowe i czasem trudne z perspektywy biznesowej. Dają natomiast podmiotom danych silniejsze poczucie kontroli nad dotyczącymi ich danymi.
Na gruncie polskiej ustawy o ochronie danych osobowych takimi alternatywnymi mechanizmami są m.in. standardowe klauzule umowne, wiążące reguły korporacyjne lub zgoda Generalnego Inspektora Ochrony Danych Osobowych. Są to alternatywy bardziej czasochłonne i raczej droższe niż Safe Harbor, jednak dla części podmiotów mogą być bardziej uzasadnione niż np. zmiana podwykonawcy lub lokalizacji serwerów w ten sposób, aby nie dochodziło do transferu danych poza EOG. Wybór optymalnego modelu postępowania w kontekście zmiany reguł transferu danych powinien być mocno determinowany indywidualną sytuacją danego podmiotu.
Zasadniczą treścią wyroku jest stwierdzenie, że nieważna jest decyzja Komisji Europejskiej, zgodnie z którą przekazywanie danych osobowych z Unii Europejskiej do podmiotów certyfikowanych w Safe Harbor może się odbywać na takich samych zasadach, jak transfer danych w granicach Europejskiego Obszaru Gospodarczego. W praktyce oznacza to, że podmioty, które dotychczas uzasadniały transfer danych do USA certyfikacją odbiorcy danych w Safe Harbor, muszą rozważyć inne możliwości legalizacji transferu.
Drugą ważną tezą zawartą w wyroku jest potwierdzenie kompetencji organów ochrony danych osobowych w państwach członkowskich do badania, czy przekazywanie danych osobowych do państwa trzeciego spełnia w określonym przypadku wymogi prawa. Kompetencja ta istnieje niezależnie od decyzji Komisji Europejskiej uznającej dane państwo za bezpieczne. Jest to teza dość istotna z tego względu, że dotychczas zakładano, że przekazanie danych osobowych do państw trzecich, uznanych w decyzji Komisji Europejskiej za zapewniające odpowiedni poziom ochrony danych, jest zawsze dopuszczalne i nie podlega dodatkowej weryfikacji. Zmiana podejścia sprawia, że podmioty dokonujące transferu danych m.in. do Szwajcarii, Kanady czy Izraela, mogą się poczuć nieco mniej pewnie. Wyrok w sprawie Schrems nie wpływa co prawda bezpośrednio na obowiązywanie decyzji, w których te państwa zostały uznane za bezpieczne, jednak nie można wykluczyć, że w indywidualnych przypadkach transfery danych do tych państw będą kwestionowane przez organy ochrony danych osobowych.
Sławomir Kowalski jest adwokatem w Kancelarii Maruta Wachta sp. j.
