Co dalej z transferami danych do USA?

Komentarz eksperta

Flaga EU - e-ochronadanych.pl

W październiku 2015 r. niezwykle dużo mówiło się zarówno w literaturze prawniczej, jak i prasie codziennej, o wydanym przez Trybunał Sprawiedliwości UE wyroku w sprawie Schrems. Orzeczenie dotknęło wszystkie podmioty sektora prywatnego, które transferują dane osobowe do USA. Trybunał unieważnił bowiem decyzję Komisji Europejskiej stanowiącą podstawę prawną do przekazywania takich danych. Jedynym warunkiem było uzyskanie certyfikatu bezpieczeństwa Departamentu Handlu USA. Była to, jak dotąd, najprostsza i najczęściej wykorzystywana droga do zalegalizowania takich transferów. Certyfikat można było uzyskać niezwykle szybko a procedura jego otrzymania nie była skomplikowana. Trybunał, unieważniając decyzję, nie wypowiedział się jednak w żadnym zakresie co do pozostałych przesłanek legalizujących przekazywanie danych do USA, jak chociażby przyjęcie pomiędzy spółkami wiążących reguł korporacyjnych bądź standardowych klauzul umownych. Z uwagi na powyższe oraz formalny wymóg niezwłocznego dostosowania się administratorów danych do nowych zasad przekazywania danych, Grupa Robocza art. 29, jako unijne forum współpracy organów ochrony danych, wyznaczyła sobie termin do końca stycznia 2016 r. na doprecyzowanie wszelkich pojawiających się w tym kontekście wątpliwości. W ślad za powyższym, zgodnie z zapowiedziami, wydana przez Grupę Roboczą opinia zawierać miała ocenę narzędzi wykorzystywanych przy przekazywaniu danych do USA i rekomendowane rozwiązania w tym zakresie.

Pęknięta tarcza Kapitana Ameryki. Obrazek dzięki uprzejmości https://www.superheroden.com/
Pęknięta tarcza Kapitana Ameryki. Obrazek dzięki uprzejmości https://www.superheroden.com/

Komisja Europejska i negocjacje z USA

W trakcie ostatnich dni Grupa Robocza art. 29 podejmowała działania zmierzające w kierunku wydania zapowiadanej przez siebie oceny skutków wyroku Trybunału Sprawiedliwości. Zaskoczeniem dla większości osób okazało się jednak wydanie w dniu 2 lutego przez Komisję Europejską komunikatu, w którym poinformowała ona o finalizacji negocjacji prowadzonych od miesięcy z USA, mających na celu wypracowanie silnych i bezpiecznych ram dla przyszłych transatlantyckich transferów danych, zastępujących uprzedni mechanizm Safe Harbor. Jednym z głównych zastrzeżeń, pojawiających się w ciągu ostatnich miesięcy i dotyczących ochrony danych osobowych w USA, był przewidywany przez amerykański system prawny, zakrojony na bardzo szeroką skalę, dostępu różnych służb do danych przetwarzanych na terytorium Stanów Zjednoczonych. Z komunikatu Komisji wynika również, że w USA brakuje jakiegokolwiek organu na szczeblu federalnym, zajmującego się nadzorem nad ochroną danych udostępnianych w związku z takim działaniem. Brak jest też w wielu przypadkach wystarczających instrumentów zapewniających sądową ochronę przed nieuprawnionym dostępem do danych osobowych.

Po zapoznaniu się z komunikatem Komisji można dojść do wniosku, że nie zawiera on wielu istotnych szczegółów. Nic bardziej mylnego. Są w nim dwie rewolucyjne wręcz informacje. Po raz pierwszy udało się przekonać władze USA do zmiany ich wewnętrznego ustawodawstwa w kierunku ograniczenia inwigilacji ich służb publicznych. Po raz pierwszy również organowi na szczeblu federalnym ma zostać przyznana wyraźna kompetencja nadzoru nad inwigilacją i przetwarzaniem w związku z tym danych osobowych. Jak wskazała Komisja, po raz pierwszy Stany Zjednoczone przedstawiły UE wiążące zapewnienia, że dostęp organów publicznych do danych do celów egzekwowania prawa i bezpieczeństwa narodowego będzie podlegał jasnym ograniczeniom, zabezpieczeniom i mechanizmom nadzoru. To olbrzymi krok na przód nie tylko na płaszczyźnie ochrony danych osobowych, ale w relacjach pomiędzy UE a USA w ogóle.

Oświadczenie Grupy Roboczej art. 29

W świetle działań Komisji Europejskiej, Grupa Robocza art. 29 w dniu 3 lutego br. zdecydowała się więc wyłącznie na udostępnienie krótkiego oświadczenia. Grupa wzywa w nim Komisję do przekazania informacji, na podstawie których dokona oceny prawnej faktycznego wpływu nowych rozwiązań na poziom ochrony danych osobowych. W wydanym przez siebie komunikacie Grupa wskazała, że uznaje ona wysiłki podjęte przez USA w 2014 i 2015 r. na rzecz poprawienia ochrony danych osób niebędących obywatelami USA, jednak nadal ma obawy co do obecnych ram prawnych USA. Wątpliwości dotyczą czterech niezbędnych gwarancji. W ocenie Grupy, do tych gwarancji należą: oparcie przetwarzania danych na jasnych, dokładnych i dostępnych zasadach, konieczność i proporcjonalność w odniesieniu do prawnie uzasadnionych celów, do których osiągnięcia się dąży, istnienie niezależnego mechanizmu nadzoru, który jest zarówno skuteczny, jak i bezstronny oraz wdrożenie skutecznych środków odwoławczych – każdy powinien mieć prawo do obrony swoich praw w postępowaniu prowadzonym przez niezależny organ.

Transfer danych osobowych do USA – co dalej?

Co powyższe oznacza dla przedsiębiorców transferujących obecnie dane osobowe do USA? Nic się nie zmienia. Do momentu podjęcia przez Grupę Roboczą art. 29 oceny rozwiązań wypracowanych przez Komisję, dane powinny być więc transferowane na podstawie pozostałych przesłanek legalizujących, w tym standardowych klauzul umownych oraz zatwierdzonych przez GIODO wiążących reguł korporacyjnych. Można przypuszczać, że dopiero gdy Grupa Robocza uzyska od Komisji szczegółowe informacje, wypowie się ona co do możliwości dalszego powoływania się na pozostałe przesłanki przekazywania danych do USA. Uwzględniając jednak czas konieczny na wypracowanie właściwych rozwiązań można przypuszczać, że wydanie stanowiska nastąpi nie wcześniej niż w marcu 2016 r. Co jednak bardzo ważne, aktualne wydarzenia rodzą dużą nadzieję, że unieważniona przez Trybunał Sprawiedliwości decyzja zostanie zastąpiona nową, stwierdzającą adekwatność wypracowanych zasad ochrony danych ze standardami unijnymi. Nie mamy więc może rewolucji, nie wypracowano bowiem jeszcze ostatecznego rozwiązania, ale jest jednak zdecydowany postęp.

Tekst stanowi uzupełniony o uwagi Omni Modo przedruk artykułu autorstwa Macieja Kaweckiego z Uniwersytetu Jagiellońskiego. Artykuł został pierwotnie opublikowany w dniu 8 lutego 2016 roku w Dzienniku Gazeta Prawna.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.