Obserwujemy pierwsze skutki przełomowego orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18, szerzej znanego jako „Schrems II”. Pozytywnie wypowiedział się o nim Europejski Inspektor Ochrony Danych (EIOD), który stworzył szereg zaleceń skierowanych do unijnych instytucji, urzędów i agencji. Celem jest monitorowanie zgodności ich działań z postanowieniami wyroku – jak zmieni się sposób przekazywania danych do państw trzecich, a w szczególności do Stanów Zjednoczonych?
Orzeczenie Trybunału dotyczyło decyzji Komisji Europejskiej w zakresie standardowych klauzul umownych. Sędziowie stwierdzili, że wszelkie zapisy mogą być ważne jedynie pod warunkiem, że gwarantują skuteczne mechanizmy ochrony, zapewniające zgodność z wymogami ustalonymi w unijnym rozporządzeniu. To eksporterzy i importerzy są odpowiedzialni za ocenę, czy przepisy państwa trzeciego umożliwiają utrzymanie równoważnego poziomu bezpieczeństwa – w przypadku gdy takie warunki nie mogą być zapewnione, są zobowiązani do zawieszenia lub zakończenia przekazywania danych osobowych. Przepisy obowiązujące w Stanach Zjednoczonych budzą liczne wątpliwości w odniesieniu do standardów prawa Unii Europejskiej. W ciągu ostatnich pięciu lat Trybunał dwukrotnie unieważnił decyzję Komisji Europejskiej dotyczącą adekwatności ochrony danych w USA, negatywnie była ona oceniana również przez Europejskiego Inspektora oraz Europejską Radę Ochrony Danych. Zdaniem Trybunału obowiązki administratorów muszą uwzględniać również zagrożenia związane z dostępem organów publicznych państw trzecich. Tymczasem amerykańskie regulacje umożliwiają administracji państwowej na dość szeroki dostęp do przekazywanych informacji, jednocześnie nie przewidując skutecznych środków odwoławczych. W związku z tym Europejski Inspektor Ochrony Danych, Wojciech Wiewiórowski wydał strategiczny dokument, który określa mechanizmy chroniące, by międzynarodowe przekazywanie danych odbywało się zgodnie z unijnym prawem. Mimo, że zalecenia te mają dotyczyć wszelkich działań między organami publicznymi, EIOD określił dwa obszary, którymi należy się zająć w najbliższej perspektywie. Są nimi bieżące umowy między administratorem danych a podmiotem przetwarzającym oraz umowy między podmiotem przetwarzającym a podwykonawcą, które obejmują przekazywanie danych do państw trzecich, ze szczególnym naciskiem na porozumienia zawierane ze Stanami Zjednoczonymi.Zalecenia EIOD skierowane do organów unijnych dzielą się na dwa etapy: działania krótko i średnioterminowe. Pierwszym z nich ma być ustalenie wszelkich pilnych przypadków transferów do Stanów Zjednoczonych, w których zgodność ochrony z przepisami UE lub jej egzekucja może być zagrożona. Kolejno mają zostać wdrożone wskazówki, odnoszące się do wszystkich danych przekazywanych do innych krajów trzecich. Instytucje UE przeprowadzą w tym celu indywidualne oceny skutków transferu (Transfer Impact Assessments) oraz wprowadzą środki uzupełniające tj.wykaz wstępnych pytań do administratorów danych osobowych.
