W świecie ochrony danych zawrzało po wydanym 16 lipca wyroku Trybunału Sprawiedliwości UE (C-311/18). Warto więc przyjrzeć się temu, co mówią poszczególne organy nadzorcze z państw unijnych, a także z USA – w końcu wyrok ma znaczenie międzynarodowe i wymaga reakcji również na takim poziomie. Poniżej podsumowanie komunikatów opublikowanych na stronach organów ochrony danych osobowych, jak również Departamentu Handlu USA.

Photo by Joshua Fuller on Unsplash

 

Irlandia[1]

Jako że sprawa bezpośrednio dotyczyła irlandzkiego organu nadzorczego, DPC wskazuje, że jest bardzo zadowolona z takiego stanu rzeczy – w końcu w wyroku Trybunał potwierdził wątpliwości DPC dotyczące przekazywania danych do USA. Irlandia zwraca uwagę, że to wyrok daleko wykraczający poza kwestię przetwarzania danych M. Schremsa, ponieważ dotyczy on ogólnie sytuacji osób z Unii Europejskiej; DPC nie kryje też zadowolenia, że Trybunał potwierdził irlandzkie poglądy co do konieczności zapewnienia wysokiego poziomu ochrony danych obywateli Unii, przetwarzanych w krajach trzecich.

Irlandia dość ostrożnie podchodzi jednak do wskazania możliwych konsekwencji wyroku i podobnie jak inne organy zwraca uwagę, że wyrok wymaga dalszej, pogłębionej analizy. Dostrzega też swoją – jako organu nadzorczego – rolę w ustalaniu możliwości przekazywania danych do państw trzecich. W tym kontekście ważne jest więc opracowanie  wspólnego stanowiska wszystkich organów nadzorczych.

 

Niemcy

Nadrenia-Palatynat

Organ ten w wydanym komunikacie również podkreśla konieczność koordynacji stanowisk organów nadzorczych na poziomie Unii Europejskiej, a nie tylko poszczególnych państw członkowskich. Czyni też jednak dużo więcej w porównaniu ze swoimi kolegami z branży – opublikował niewątpliwie przydatne dla administratorów FAQ, dostępne pod linkiem: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/. Organ w przygotowanych odpowiedziach podkreśla m.in., że nie ma okresu przejściowego po wydanym wyroku – przekazywanie danych w oparciu o Tarczę Prywatności jest dokonywane bez prawidłowej podstawy prawnej od momentu wydania wyroku. Należy więc przejść na inny instrument transferu danych, a jeśli go nie ma i nie da się zastosować wyjątków z art. 49 RODO – należy wstrzymać przekazywanie danych. Nie brzmi to zbyt optymistycznie dla administratorów danych, ale przynajmniej otwiera oczy.

Turyngia[2]

Organ opublikował stanowisko, w którym, podobnie jak irlandzki DPC, podkreśla swoje zadowolenie z wydanego wyroku w kontekście unieważnienia Tarczy Prywatności („Nie jest to niestety niespodzianka”) – niewystarczające uprawnienia Rzecznika ds. Tarczy Prywatności nie mogły jego zdaniem pozostać bez echa. W treści komunikatu brakuje jednak wskazówek dla podmiotów, które przekazują dane, a które mogłyby choć na najbliższy czas rozwiać wątpliwości dotyczące istniejących już transferów danych.

Berlin

Berlin również opublikował swoje stanowisko, które niewątpliwie wychodzi na prowadzenie wśród niemieckich organów. W stanowisku tym wyrok omówiony został dość szczegółowo, ale największą uwagę zwrócono na kwestię ogólnej możliwości przekazywania danych do USA, niezależnie od tego, w oparciu o jaką podstawę prawną to następuje. Organ wezwał wręcz wszystkie podmioty przekazujące dane do Stanów Zjednoczonych do tego, aby natychmiast przestawiły się one na usługodawców w Unii Europejskiej lub kraju o odpowiednim poziomie ochrony danych osobowych.

Jest to stanowisko o tyle ciekawe, że organ uznaje, iż jakakolwiek podstawa prawna przekazywania danych do USA budzi wątpliwości – jest to, jego zdaniem, możliwe wyłącznie w szczególnych sytuacjach (np. rezerwacja hotelu). Poza tym dane osobowe w ogóle nie mogą być transferowane do Stanów Zjednoczonych. Drobną wzmianką skwitowano inne kraje (Chiny, Rosja, Indie), w przypadku których również należy sprawdzić poziom ochrony przed przekazaniem danych. W komunikacie znaleźć można mocny apel Berlińskiej Komisarz ds. Ochrony Danych i Wolności Informacji, w którym podkreśla ona, że podstawowe prawa osób muszą być na pierwszym planie przed wygodą czy kosztami ponoszonymi przez gospodarkę – nastał czas cyfrowej niezależności Europy:

Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.[3]

 

Wielka Brytania

Niezwykle spodobało mi się podejście zaprezentowane przez ICO, który mówi wprost: temat analizujemy. Jeśli obecnie transferujesz dane na podstawie Tarczy – rób to dalej, dopóki nie wymyślimy niczego lepszego. Jeśli obecnie nie korzystasz z Tarczy – po prostu nie zaczynaj:

We are currently reviewing our Privacy Shield and Standard Contractual Clauses (SCCs) guidance after the judgment issued by the European Court of Justice on Thursday 16 July 2020.

If you are currently using Privacy Shield please continue to do so until new guidance becomes available.

Please do not start to use Privacy Shield during this period.[4]

Widzę tutaj jasne i proste rozwiązanie dla administratorów – można uznać, że jeśli postąpią zgodnie z tymi wskazówkami, to nie muszą się tak bardzo obawiać zakwestionowania takiego działania przez organ. Może jest to rozwiązanie nie do końca zgodne z przepisami, ale z drugiej strony – jak po wyroku Schrems II zapewnić zgodność z przepisami ochrony danych osobowych?

 

USA

Nie może tu zabraknąć też głosu Departamentu Handlu Stanów Zjednoczonych, który zarządza programem Tarczy Prywatności – w opublikowanym oświadczeniu wskazuje on, że Departament będzie nadal administrować programem, w tym będzie analizować zgłoszenia w celu samocertyfikacji oraz ponownej certyfikacji, jak również będzie utrzymywał listę Tarczy Prywatności:

The U.S. Department of Commerce will continue to administer the Privacy Shield program, including processing submissions for self-certification and re-certification to the Privacy Shield Frameworks and maintaining the Privacy Shield List. If you have questions, please contact the European Commission, the appropriate European national data protection authority or legal counsel.[5]

Co ważne – Tarcza nie przestała istnieć! Wyrok wydany przez TSUE nie zwolnił uczestników Tarczy z obowiązków z niej wynikających. Mimo więc że Tarcza miała służyć transferowi danych do USA,  to ten główny cel odpadł, a obowiązki podmiotów uczestniczących w Tarczy – zostały.

 

Dania[6], Francja[7], Holandia[8], Liechtenstein[9], Litwa[10], Norwegia[11], Polska[12]

Wszystkie te kraje opublikowały informację o wydaniu wyroku, jak również pokrótce go omówiły. Każdy z nich wskazuje też na konieczność współpracy na gruncie unijnym co do analizy wyroku i jego znaczenia dla przekazywania danych osobowych do państw trzecich i organizacji międzynarodowych. Państwa podkreślają też konieczność szybkiego wyciągnięcia wniosków z orzeczenia. Być może jest jeszcze za wcześnie, aby organy poszczególnych państw członkowskich samodzielnie informowały o działaniach, jakie należy podjąć – warto jednak zwrócić uwagę na te omówione wyżej, które mimo wszystko wyszły przed szereg i podzieliły się szerszymi wskazówkami co do działań, jakie obecnie trzeba podjąć.

Komunikaty znaleźć też można na stronie Słowenii[13] czy Estonii[14] – poza wzmianką o wydaniu wyroku C-311/18 nie ma tam jednak mowy o konkretach, które mogłyby być przydatne dla podmiotów przekazujących dane poza EOG. Również stanowisko Europejskiej Rady Ochrony Danych w kwestii wyroku Schrems II na razie nie zawiera żadnych informacji co do dalszego postępowania w kwestii przekazywania danych do USA.

 

Radca prawny Małgorzata Topyła