Przekazywanie danych osobowych do USA w obliczu nieważności porozumienia „Safe Harbour”. Co dalej?

Różnice pomiędzy prawodawstwami obowiązującymi na terenie Unii Europejskiej oraz Stanów Zjednoczonych wykluczają możliwość uznania tego kraju za państwo gwarantujące odpowiedni poziom ochrony danych osobowych. Konsekwencją rozbieżności jest zakaz swobodnego przekazywania danych osobowych z państw członkowskich Unii Europejskiej do USA. Okoliczność ta nie tylko znacznie utrudnia wzajemną współpracę gospodarczą, ale i wpływa hamująco na jej rozwój.

Dostrzegając powyższe zagrożenia i niedogodności władze Stanów Zjednoczonych oraz Unii Europejskiej podjęły wzajemne rozmowy, które zaowocowały wdrożeniem programu „Safe Harbour”, mającego na celu stworzenie „bezpiecznej przystani” dla danych osobowych płynących z Europy. Amerykańskie podmioty gospodarcze, które przystąpiły do programu i uzyskały certyfikat „Safe Harbour” otrzymywały status bezpiecznych i zapewniających odpowiedni poziom ochrony danych osobowych wyznaczony przez przepisy unijne (Dyrektywę Parlamentu Europejskiego I Rady nr 95/46/WE z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych). 

Program „Safe Harbour” został zatwierdzony przez Komisję Europejską decyzją nr 2000/520/WE z dnia 26 lipca 2000 roku „w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani” przez Stany Zjednoczone.

 Choć bezpieczeństwo przekazywania danych osobowych do USA w ramach „Safe Harbour” było głośno i powszechnie kwestionowane, program ten przez długie lata cieszył się ogromną popularnością, stanowiąc podstawę niezliczonej ilości transferów dokonywanych w ramach transatlantyckiej migracji danych osobowych.

Program „Safe Harbour” załamał się jednak wraz z wydaniem przez Trybunał Sprawiedliwości UE w październiku 2015 roku wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym TSUE stwierdził nieważność decyzji Komisji Europejskiej z dnia 26 lipca 2000 roku.

Orzeczenie Trybunału Sprawiedliwości UE jest przełomowe, bowiem pozbawia europejskich administratorów danych osobowych możliwości przekazywania danych do Stanów Zjednoczonych na podstawie unieważnionej decyzji Komisji Europejskiej, w ramach programu „Safe Harbor”. Zdaniem Trybunału udział amerykańskich podmiotów w tym programie nie stanowi gwarancji przekazania danych do państwa trzeciego, które zapewnia odpowiedni poziom ochrony danych osobowych – w związku z czym może zostać uznane za nielegalne. TSUE przyznał tym samym rację sceptykom „Safe Harbour”, zdaniem których „bezpieczna przystań” stanowiła zasłonę dymną dla naruszania praw podstawowych obywateli UE w imię interesów gospodarczych.

Specjaliści uspokajają jednak, że upadek „Safe Harbour” nie przekreśla możliwości transferu danych na terytorium Stanów Zjednoczonych. Europejscy administratorzy danych mogą nadal przekazywać je swym amerykańskim kontrahentom w oparciu o art. 47 oraz 48 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135 z późn. zm.). Chodzi tu o przypadki przekazywania danych osobowych do państwa trzeciego m.in. za zgodą osoby, której dane dotyczą lub gdy transfer danych odbywa się z zastosowaniem standardowych klauzul umownych, czy też wiążących reguł korporacyjnych zatwierdzonych przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).  

Jednocześnie, aby nie dopuścić do politycznego oraz gospodarczego paraliżu, organy ochrony danych UE zrzeszone na szczeblu unijnym w ramach Grupy Roboczej Artykułu 29 wezwały państwa członkowskie oraz instytucje unijne do dialogu z władzami Stanów Zjednoczonych w celu znalezienia politycznych, prawnych i technicznych rozwiązań umożliwiających przekazywanie danych na terytorium Stanów Zjednoczonych z poszanowaniem praw podstawowych.

Z końcem stycznia 2016 roku dobiegły końca negocjacje w sprawie bezpiecznych ram przyszłych transatlantyckich przepływów danych osobowych, określanych mianem „Tarczy Prywatności UE-USA” W efekcie ma powstać projekt nowej decyzji w sprawie zapewnienia odpowiedniego poziomu ochrony danych przesyłanych do USA, która zastąpi decyzję nr 2000/520/WE z 26 lipca 2000 roku. 

Prace nad projektem nie zostały jeszcze ukończone. Istotne jest jednak to, że zarówno strona europejska jak i amerykańska zainteresowane są jak najszybszym przełamaniem impasu związanego z upadkiem programu „Safe Harbour”.

Kinga Nastałek - Fałowska
Radca prawny