„Safe Harbor” upadł – czy to koniec transferu do USA?

Battle of Grand Port, Pierre-Julien Gilbert (1783–1860)

Nie milknie echo jakim odbił się w środowisku prawniczym wyrok Trybunału Sprawiedliwości UE z dnia 6 października 2015 r. w sprawie C-362/14 Schrems – Facebook. Przedmiotowy wyrok jest szeroko komentowany, a w jego efekcie stworzony w 2000 r. program „Safe Harbor” stracił podstawy prawne w kontekście przesyłania danych osobowych do Stanów Zjednoczonych. Niewątpliwie największe konsekwencje rozstrzygnięcia trybunału ponoszą światowi giganci. W wielu korporacjach powstało pytanie co dalej, czy w związku z wydanym orzeczeniem można przesyłać dane osobowe do Stanów Zjednoczonych zgodnie z obowiązującymi przepisami.

Battle of Grand Port, Pierre-Julien Gilbert (1783–1860)
Safe Harbor upadł. Obraz „Battle of Grand Port„, Pierre-Julien Gilbert (1783–1860), źródło: Wikipedia

Opowiadam się za stanowiskiem obecnego Zastępcy Europejskiego Inspektora Ochrony Danych Osobowych dr Wojciecha Wiewiórowskiego, który w jednym z wywiadów stwierdził, że wyrok trybunału „… to nie koniec świata”[1]. Owszem nie jest to koniec świata i w praktyce nie blokuje możliwości legalnego transferu do Stanów Zjednoczonych. „Safe Harbor” nigdy nie był jedynym sposobem przesyłania danych do państw trzecich. Od zawsze funkcjonował transfer oparty na zgodzie polskiego GIODO lub zgodzie osoby, której dane dotyczą. Są to przesłanki dodatkowe, które przy jednoczesnym zapewnieniu podstaw prawnych określonych art. 23 ust. 1 uodo lub art. 27 ust. 2 uodo umożliwiały i nadal umożliwiają transfer poza granice Europejskiego Obszaru Gospodarczego (EOG). W porównaniu jednak do tych sposobów transferowania danych „Safe Harbor” gwarantował nieporównywalną wygodę i łatwość transferu. Postępowania w sprawie wyrażenia zgody GIODO trwały długo, a uzyskanie zgody od każdej osoby, której dane dotyczą wymagało dużego nakładu pracy. Ponadto zgoda osoby fizycznej jest bardzo kruchą przesłanką – gdyż w każdym momencie i w dowolnej formie może zostać odwołana, co automatycznie blokowałoby możliwość choćby przechowywania kopii przedmiotowych danych na serwerze w USA. Sądzę, że mimo upadku „Safe Harbor” podmioty prywatne nie będą korzystać z powyższych uprawnień do transferowania danych osobowych.

Poza wymienionymi powyżej rozwiązaniami (które mimo wskazanych technicznych trudności stanowią legalną podstawę przeprowadzenia transferu danych osobowych do USA) styczniowa nowelizacja wprowadziła dwa niezależne instrumenty. Są nimi Wiążące Reguły Korporacyjne (Binding Corporate Rules – BCR) oraz Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską. Powyższe instrumenty mają tę zaletę, że ich stosowanie zależy wyłącznie od administratora danych. Przygotowanie dokumentacji BCR wymaga wytężonej pracy zespołu prawników, a proces akceptacji przez polskiego GIODO będzie trwał, jednak inicjatywa leży wyłącznie po stronie administratora danych. Jeśli polski organ pozytywnie zaopiniuje stosowane w ramach organizacji rozwiązania dotyczące przepływu danych osobowych i wydana zostanie przez polskiego GIODO decyzja akceptująca BCR, będziemy mieli pełną swobodę przesyłania danych do podmiotów z danej grupy kapitałowej, i to niezależnie od miejsca położenia spółki odbierającej dane osobowe. To rozwiązanie kompleksowo rozwiązuje kwestie przepływu danych osobowych wewnątrz grupy podmiotów powiązanej kapitałowo, w której występują liczne zależności hierarchiczne. Drugim możliwym rozwiązaniem jest podpisanie standardowych klauzul umownych z każdym odbiorcą, niezależnie od faktu czy jest to odbiorca z powiązanej kapitałowo spółki czy niezależny usługodawca, z którego usług chcemy skorzystać. W tym wariancie konieczne jest wykorzystanie wzoru zatwierdzonego przez Komisję Europejską, który w istocie stanowi gotową umowę pomiędzy stronami[2]. Jak widać istnieją różnice w możliwych rozwiązaniach. BCR w pełni legalizuje transfer tylko w ramach grupy kapitałowej i jest rozwiązaniem, które będzie wymagało czasu na jego wdrożenie. Mimo wszystko należy pamiętać, że tam gdzie transfer będzie wykraczał poza strukturę naszej organizacji będziemy musieli posłużyć się jedną z trzech pozostałych przesłanek (zgoda GIODO, zgoda osoby, której dane dotyczą, standardowa klauzula umowna). Jednak mając gotowy i zatwierdzony BCR nie musimy podejmować żadnych dodatkowych czynności w ramach współpracy w grupie – mówiąc obrazowo – zwyczajnie „pakujemy dane osobowe i wysyłamy je poza EOG”. Natomiast ograniczenie swobody przepływu danych wyłącznie do grupy kapitałowej nie jest szczególnie uciążliwe, gdyż i tak obejmie znaczną ilość stosowanych transferów danych osobowych. Z kolei standardowe klauzule umowne są rozwiązaniem natychmiastowym, ale obarczonym formalnościami. Do każdego procesu będziemy musieli wypełnić przygotowany wzór i przed przesłaniem danych zebrać niezbędne podpisy. Legalizowanie tego procesu trwa nieporównywalnie krócej niż akceptacja BCR, jednak prowadzi do piętrzenia się dokumentacji za czym nikt nie przepada. Idealnym zatem rozwiązaniem jest wdrożenie BCR i posiłkowanie się standardowymi klauzulami wyłącznie tam gdzie jest to konieczne – tj. w przypadku korzystania z usług podmiotów niezależnych mających siedzibę poza EOG.

Jestem głęboko przekonany, że polski GIODO nalegając na wprowadzenie powyższych instrumentów do krajowego porządku prawnego działał całkowicie świadomie. Moim zdaniem jest to bardzo pozytywny przykład świadomości organu i jego wrażliwości na problematykę transferu danych do państw trzecich. W obliczu słabych stron programu „Safe Harbor” i trudnych do zastosowania innych rozwiązań zapewnionych ustawą o ochronie danych osobowych konieczność stworzenia alternatywy w zasadzie stawała się oczywista. Paradoksalnie, w mojej ocenie, ostatnie wydarzenia sprawiły, że to nie uregulowanie pozycji ABI stanowi największe osiągnięcie styczniowej nowelizacji, a właśnie zapewnienie alternatywnych środków transferu poza EOG, gdyż bez nich wiele procesów przetwarzania danych osobowych byłoby obecnie sparaliżowanych. Dzięki staraniom ustawodawcy, przy niemałym udziale GIODO, wręcz w ostatniej chwili uzyskaliśmy narzędzie do wyjścia z impasu w jakim mogliśmy się znaleźć gdyby do zmian ustawy w bieżącym roku nie doszło.

Kwestia samego „Safe Harbor” w kontekście transferu do USA pozostaje nadal aktualna. Trwają prace nad stworzeniem nowych rozwiązań i wprowadzeniem nowego porozumienia z rządem USA, które roboczo określa się mianem „Safe Harbor II”. Przedstawiciele Europejskiego Organu ds. Ochrony Danych Osobowych zapewniają, że ostateczne ustalenia zapadną do końca stycznia 2016 r. Grupa robocza ds. art. 29[3] pracuje nad spójnym stanowiskiem dotyczącym dalszych konsekwencji wyroku opisanego na wstępie w odniesieniu do istniejących rozwiązań transferu do USA. Problem uwidoczniony w wyniku starań Maxa Shrems-a sięga bowiem głębiej niż skuteczność gwarancji „Safe Harbor” i dotyczy istoty prawa do prywatności, a właściwie braku jego poszanowania z uwagi na rozwiązania prawne istniejące w USA. Ze strony naszego zachodniego sąsiada płyną już głosy krytyki[4] alternatywnych do „Safe Harbor” rozwiązań transferu danych do Stanów Zjednoczonych. Organ ochrony danych osobowych dla niemieckiego landu Szlezwik-Holsztyn już zapowiedział, że nie będzie udzielał zgód na transfer danych osobowych, akceptować BCR, a także, że będzie kwestionować transfer na podstawie standardowych klauzul umownych w kontekście transferu do USA. Należy jednak podkreślić, że wspomniany organ niemiecki jest znany ze swojego restrykcyjnego interpretowania przepisów. W naszych realiach prawnych na chwilę obecną zarówno BCR jak i standardowa klauzula umowna stanowią podstawę do zgodnego z prawem transferu danych do USA. Jednak administratorzy danych osobowych nie mają czasu do stracenia. Wyrok odniósł skutek z dniem jego ogłoszenia, co podkreśla również GIODO[5]. Brak reakcji podmiotu, który opierał przetwarzanie danych osobowych na „Safe Harbor” stanowi naruszenie przepisów i może być przedmiotem postępowania przed GIODO. Z uwagi na powyższe należy wykorzystać instrumenty określone przepisami art. 47 i 48 ustawy o ochronie danych osobowych, choć niewykluczone, że sposoby przepływu danych osobowych pomiędzy EOG a Stanami Zjednoczonymi będą podlegać w niedalekiej przyszłości dalszej weryfikacji.

About Redakcja 321 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.