Konsekwencje unieważnienia decyzji Komisji Europejskiej dot

Konsekwencje unieważnienia decyzji Komisji Europejskiej dot. programu "Safe
Harbor"
W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) stwierdził
nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000 r., na mocy której podmioty
amerykańskie, które przystąpiły do programu „Safe Harbor”, były traktowane jako zapewniające
adekwatny poziom ochrony danych osobowych w rozumieniu przepisów dyrektywy 95/46/WE.
[Wyrok TSUE w sprawie Maximillian Schrems vs. Data Protection Commissioner (C 362/14)]
TSUE orzekł, iż istnienie decyzji stwierdzającej, że dane państwo trzecie zapewnia adekwatny poziom ochrony
danych osobowych nie wyłącza uprawnienia krajowych urzędów ochrony danych osobowych do kontrolowania, na
jakich zasadach transferowane są dane osobowe obywateli Europy. TSUE zwrócił uwagę nie tylko na
uprawnienie, ale i na obowiązek krajowych urzędów ochrony danych osobowych w zakresie zgodności
przekazywania danych ze standardami przewidzianymi przez Dyrektywę 95/46/WE oraz Kartę Praw
Podstawowych Unii Europejskiej. TSUE zwrócił również uwagę, iż zasady ochrony danych osobowych,
przewidziane przez program „Safe Harbor”, nie odpowiadają standardom przewidzianym przez ustawodawstwo
UE (w szczególności w odniesieniu do dostępu do danych osobowych Europejczyków przez amerykańskie władze
państwowe). W konsekwencji TSUE uznał decyzję Komisji za nieważną.
[Stanowisko Grupy Roboczej Artykułu 29 ds. Ochrony Danych i GIODO]
W odpowiedzi na Wyrok, Grupa Robocza Artykułu 29 ds. Ochrony Danych dnia 16 października 2015 r. wydała
oświadczenie, w którym:
zaznaczyła, że przesyłanie danych osobowych, które nadal odbywa się w ramach programu „Safe
Harbor”, jest „bezprawne” i wezwała firmy, by „zastanowiły się nad ryzykiem, które podejmują”,
stwierdziła, że do czasu zakończenia przez Grupę Roboczą analizy wpływu Wyroku na inne instrumenty
służące przekazywaniu danych, można stosować takie instrumenty jak „standardowe klauzule umowne” czy
„wiążące reguły korporacyjne”;
zapowiedziała ponad trzymiesięczny okres „karencji” (do końca stycznia 2016 r.) w sprawie egzekwowania
Wyroku przez europejskie organy ochrony danych osobowych;
wezwała państwa członkowskie oraz unijne instytucje do podjęcia negocjacji z USA celem znalezienia
„politycznych, prawnych i technicznych rozwiązań” umożliwiających przekazywanie danych osobowych na
terytorium USA z poszanowaniem praw podstawowych (również w ramach obecnie prowadzonych
negocjacji dot. nowego programu „Safe Harbor”).
Stanowisko GIODO pokrywa się ze stanowiskiem Grupy Roboczej i według ostatnich informacji GIODO
nie przewiduje wydania odrębnego stanowiska.
[Konsekwencje]
W następstwie wydania Wyroku przestała istnieć jedna przesłanka legalizująca transfer danych osobowych do
USA. Oznacza to, że administratorzy danych osobowych będą musieli skorzystać z innych przesłanek
przewidzianych przez ustawę o ochronie danych osobowych dla dalszego przekazywania danych osobowych do
USA, takich jak konieczność realizacji umowy czy zgoda zainteresowanej osoby. Przekazywanie danych może
również nastąpić poprzez:
zawarcie umowy opartej o standardowe klauzule umowne UE (nie wymaga zgody GIODO) lub
wiążące reguły korporacyjne, zatwierdzone przez GIODO.
Ponadto oznacza to, że transfer do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego
poziomu ochrony danych osobowych, będzie przedmiotem badania ze strony GIODO i sądów, z perspektywy praw
podstawowych podmiotów danych osobowych i szczegółowych przepisów o ochronie danych osobowych.