Czy to już rewolucja w ochronie danych osobowych?

Trybunał Sprawiedliwości UE unieważnił program „bezpiecznej przystani” Safe Harbour. Stwarza to podstawy do wydania przez europejskie organy zakazu przekazywania danych osobowych do USA przez konkretną firmę.

Trybunał Sprawiedliwości Unii Europejskiej 6 października 2015 r., stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000 r., która dotyczy programu „Safe Harbour”. Na podstawie orzeczenia TSUE unieważniona została umowa pomiędzy Unią Europejską i Stanami Zjednoczonymi, na mocy której podmioty amerykańskie będące uczestnikami Safe Harbour, były traktowane jako zapewniające adekwatny poziom ochrony danych osobowych w rozumieniu przepisów dyrektywy.

Idea programu bezpieczna przystań

Należy zwrócić uwagę, że Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych zakazuje przekazywania danych osobowych do krajów, które nie będą w stanie zagwarantować odpowiedniego poziomu bezpieczeństwa podczas przetwarzania tych danych. W związku tym, że poziom ochrony danych w Stanach Zjednoczonych jest znacznie niższy niż w UE, nie spełnia on wymogów bezpieczeństwa wymaganych przez regulacje unijne. Aby nie hamować rozwoju gospodarczego pomiędzy USA a Unią Europejską został wprowadzony program Safe Harbour. Program ten umożliwiał amerykańskim firmom przetwarzanie danych klientów z Unii Europejskiej.

Jeżeli szukasz wsparcia prawnego swojego e-biznesu

zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

Sprawdź szczegóły

USA nie otrzyma danych osobowych Europejczyków

TSUE uznał, że Safe Harbour nie gwarantuje obywatelom Unii odpowiedniej ochrony ich prywatności. Zwrócił również uwagę, iż zasady ochrony danych osobowych, przewidziane przez program „Safe Harbor”, nie odpowiadają standardom przewidzianym przez ustawodawstwo UE, gdyż amerykańskie prawo umożliwia tamtejszym podmiotom m.in. profilowanie klientów bez ich wiedzy i zgody, a także zezwala na udostępnianie ich danych osobowych służbom specjalnym USA. Trybunał Sprawiedliwości wskazał, że stanowi to duże zagrożenie w odniesieniu do dostępu do danych osobowych Europejczyków przez amerykańskie władze państwowe.

TSUE orzekł, iż istnienie decyzji stwierdzającej, że dane państwo trzecie zapewnia adekwatny poziom ochrony danych osobowych nie wyłącza uprawnienia krajowych urzędów ochrony danych osobowych do kontrolowania, na jakich zasadach transferowane są dane osobowe obywateli Europy. W związku tym, krajowe urzędy ochrony danych osobowych mają uprawnienia i obowiązki zakresie zgodności przekazywania danych ze standardami przewidzianymi przez Dyrektywę 95/46/WE oraz Kartę Praw Podstawowych Unii Europejskiej.

Co wyrok oznacza dla GIODO?

Wskutek tego wyroku polski Generalny Inspektor Ochrony Danych Osobowych będzie mógł, z powołaniem się na art. 18 ust. 1 pkt 4 Ustawy o ochronie danych osobowych, zakazać transferu danych do USA. Przepis ten pozwala na działanie z urzędu albo na wniosek zainteresowanych. Praktyka działania GIODO i podobnych organów w innych krajach członkowskich będzie w dużej mierze zależeć od wytycznych, nad którymi pracuje Komisja Europejska i zapowiada współpracę z władzami USA, aby właściwie zabezpieczyć wszystkie przekazywane dane.

Warto zauważyć, że Grupa Robocza Artykułu 29 ds. Ochrony Danych dnia 16 października 2015 r. wydała oświadczenie, w którym:

• stwierdziła, że do czasu zakończenia przez Grupę Roboczą analizy wpływu Wyroku na inne instrumenty służące przekazywaniu danych, można stosować takie instrumenty jak „standardowe klauzule umowne” czy „wiążące reguły korporacyjne”;
• zapowiedziała ponad trzymiesięczny okres „karencji” (do końca stycznia 2016 r.) w sprawie egzekwowania Wyroku przez europejskie organy ochrony danych osobowych;
• wezwała państwa członkowskie oraz unijne instytucje do podjęcia negocjacji z USA celem znalezienia „politycznych, prawnych i technicznych rozwiązań” umożliwiających przekazywanie danych osobowych na terytorium USA z poszanowaniem praw podstawowych (również w ramach obecnie prowadzonych negocjacji dot. nowego programu „Safe Harbor”).

Należy zauważyć, że na podstawie wyroku TSUE przestaje funkcjonować  program „bezpiecznej przystani" między Unią Europejską i USA. Stwarza to podstawy do wydania przez krajowe organy zakazu przekazywania takich danych do USA przez konkretną firmę.

Grupa Robocza Art. 29 podkreśla, że mimo niemożności korzystania z programu Safe Harbor w przypadku przekazywania danych osobowych do USA, skuteczne pozostają wszystkie pozostałe przesłanki legalizujące transfer danych osobowych, które wykorzystują standardowe klauzule umowne i Wiążące Reguły Korporacyjne. Należy wskazać, że w polskim porządku prawnym katalog takich przesłanek przewidziany został w art. 47-48 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W przypadku, gdy państwa członkowskie nie wypracują innego wspólnego rozwiązania, organy ochrony danych osobowych państw członkowskich, w tym Generalny Inspektor Ochrony Danych Osobowych, od 1 lutego 2016 r. rozpoczną z własnej inicjatywy egzekwowanie przepisów w tym zakresie.

GIODO ocenia, że wskazana data, w powołanym oświadczeniu Grupy Roboczej Artykułu 29, nie oznacza, że przedsiębiorcy nie są zobowiązani do niezwłocznego legitymowania się inną z podstaw prawnych legalizujących transfer do państw trzecich. Wskazany termin powinien być traktowany jako maksymalny, do którego organy ochrony danych państw członkowskich, co do zasady, nie będą inicjowały czynności zmierzających do egzekwowania wykonania wskazanego wyroku.

Generalny Inspektor Ochrony Danych Osobowych informuje, że będzie reagował na wszelkie otrzymywane we wskazanej materii skargi, nawet składane przed 1 lutego 2016 r. Podkreślić należy bowiem, że formalnie, z uwagi na moc prawną wyroków TSUE oraz to, że Trybunał nie zdecydował się odroczyć skutków wyroku w sprawie Schrems w czasie, z chwilą jego wydania, transfer danych do USA oparty o decyzję Komisji Europejskiej jest nielegalny.