Jak będzie można przekazywać dane między UE a USA?
W wyroku Schrems II C-311/18 Trybunał Sprawiedliwości Unii Europejskiej (TSUE) unieważnił decyzję Komisji Europejskiej, regulującą wymianę danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Sędziowie zakwestionowali zakres, w jakim eksporterzy informacji, objęci zakresem stosowania ogólnego rozporządzenia UE, mogą polegać na standardowych klauzulach umownych.
Dotychczasowe przekazywanie informacji z Unii Europejskiej do Stanów Zjednoczonych odbywało
się na mocy ram regulacyjnych Privacy Shield. Na ich podstawie przedsiębiorstwa z UE, a
następnie z Europejskiego Obszaru Gospodarczego, miały możliwość legalnego transferu danych
do podmiotów z siedzibą w USA, które zostały wymienione w specjalnym wykazie. Jednak to porozumienie, ze względu na liczne luki prawne, było wielokrotnie krytykowane, w szczególności w rezolucji Parlamentu Europejskiego z 2018 r. oraz przez Europejską Radę Ochrony Danych.
Mimo tego Komisja Europejska w 2019 r. potwierdziła ten mechanizm, uznając, że poziom ochrony
danych w Stanach Zjednoczonych jest odpowiedni.
Sprawa, którą zajmował się Trybunał, powstała w wyniku wszczęcia postępowania przez skarżącego Maxa Schremsa przeciwko irlandzkiemu komisarzowi ds. ochrony danych osobowych
w związku z przekazywaniem informacji do USA przez serwis Facebook. Po wyeliminowaniu
niektórych wad prawnych na mocy orzeczenia TSUE w sprawie Schrems I, portal społecznościowy wyjaśnił, że znaczną część danych przesłał amerykańskiej spółce, opierając się na standardowych
klauzulach umownych (SCC). Wtedy też Max Schrems przeformułował swoją skargę złożoną do
irlandzkiego organu ochrony, wskazując, że taki zapis nie mógł uzasadnić przekazania jego personaliów do USA, ponieważ amerykańskie programy nadzoru kolidowały z jego podstawowymi prawami do prywatności, ochrony danych i skutecznej ochrony sądowej.
Zagadnienie to dotarło do Trybunału, który w lipcu 2020 roku wydał wyrok znany jako Schrems II.TSUE stwierdził nieważność decyzji Komisji Europejskiej, uznającej adekwatność amerykańskiego standardu ochrony, a także określił bardziej rygorystyczne wymogi dotyczące przekazywania informacji na podstawie SCC. Orzeczenie to podtrzymuje tendencję do wzmacniania poziomu bezpieczeństwa obywateli UE, którą obserwujemy w ostatnich latach, czego dowodem są
pozytywne opinie ze strony organów czuwających nad ochroną naszej prywatności.
TSUE stwierdził, że Stany Zjednoczone nie zapewniają równoważnego, a z poziomu bezpieczeństwa. Podstawy prawne amerykańskich programów nadzoru stanowią nieproporcjonalną ingerencję w prawo do prywatności. Zakres uprawnień, jaki przysługuje organom w Stanach Zjednoczonych, jest dość szeroki, a podmiotom z Unii Europejskiej nie przysługuje możliwość wniesienia skargi.
Sędziowie doprecyzowali również kwestię standardowych klauzul umownych (SCC). Od tej pory administratorzy danych lub operatorzy, którzy przekazują informacje w oparciu o SCC, muszą zapewnić poziom ochrony równoważny z poziomem gwarantowanym przez unijne rozporządzenie.Jeśli nie jest to możliwe do osiągnięcia, taka działalność powinna zostać zawieszona. Obowiązek monitorowania przepływu informacji ciąży również na organach nadzorczych, które są zobowiązane do zakazania przekazywania danych, jeśli nie są spełnione wszystkie wymagania
wprowadzone przez UE.
W wyniku decyzji Trybunału unijne przedsiębiorstwa nie mogą już przekazywać danych do USA w oparciu porozumienie Privacy Shield zgodnie z prawem. Natomiast w odniesieniu do innych państw wymagane jest zachowanie standardów równoważnych
ze standardami unijnymi. Firmy, które nadal będą przekazywały dane, mimo niespełnienia kryteriów tej ochrony, mogą ponieść karę w wysokości 20 mln EUR lub 4% globalnych obrotów
(art. 83 ust. 5 lit. c) RODO).
