Page 23 - Klinika Nr 31–32 (36–37)/2021

Page 23 - Klinika Nr 31–32 (36–37)/2021–2022

P. 23

KORONAWIRUS A ORZECZNICTWO EUROPEJSKIE

wskazały na „istotne przekroczenie granic kompetencji” ze strony warunków przez podmioty zaangażowane w przetwarzanie da-
NSA i innych organów federalnych” . nych osobowych.
23
W konsekwencji wszystkich opisanych powyżej okoliczności TSUE Konsekwencją wyżej wskazanego orzeczenia jest przede wszystkim
uznał, że „Komisja nie wykazała w swojej decyzji 2000/520, iż fakt, że certyfikacja Privacy Shield nie może dłużej stanowić pod-
Stany Zjednoczone rzeczywiście „zapewniają” odpowiedni stopień stawy legalnego transferu danych osobowych do państw trzecich.
ochrony ze względu na swoje ustawodawstwo lub zobowiązania Dodatkowo wyrok dał podstawę do wątpliwości, czy transatlantyc-
24
międzynarodowe” i unieważnił decyzję Komisji ustanawiającą kie transfery danych osobowych są w ogóle możliwe, w tym rów-
Safe Harbor. nież z zastosowaniem alternatywnych mechanizmów legalizacji,
Niedługo po unieważnieniu decyzji Komisji ws. Safe Harbor, w wy- tj. standardowych klauzul umownych. Per analogiam zaczęto kwe-
niku negocjacji międzynarodowych, Komisja oraz przedstawiciele stionować skuteczność nie tylko klauzul wynikających z decyzji
rządu USA ustalili nowe ramy prawne dla transatlantyckich trans- z 5.2.2010 r., ale wszystkich dotychczas przyjętych przez Komisję
ferów danych osobowych UE–USA. Projekt nowych ram certyfi- zestawów standardowych klauzul umownych – nie tylko w sto-
kacji, określonych jako Tarcza Prywatności (ang. Privacy Shield), sunku do transferów transatlantyckich, ale również do innych,
został zaprezentowany w decyzji z 29.2.2016 r. Decyzja Komisji np. do przekazywania danych osobowych do Chin czy Rosji.
została oficjalnie przyjęta 12.7.2016 r., a sam program Privacy Z wielu względów transferowanie czy też przetwarzanie danych
Shield rozpoczął funkcjonowanie 1.8.2016 r. osobowych na terenie Stanów Zjednoczonych zawsze było po-
Wśród podmiotów, które korzystały z przywilejów, na jakie pozwa- strzegane jako ryzykowne. Powszechnie wiadomo (w szczególności
lał program certyfikacji Privacy Shield, a tym samym z możliwości po ujawnieniu w 2013 r. przez E. Snowdena informacji o metodach
legalizacji transferów zgodnie z art. 45 RODO, znajdowały się np.: działania operacyjnego służb federalnych), że USA jako państwo
Microsoft Corporation (dostawca m.in. usług Office365, Micro- trzecie nie gwarantuje odpowiednich warunków do bezpiecznego
soft Azure, Microsoft Teams, OneDrive); przetwarzania danych osobowych z poszanowaniem zasad obowią-
Google LLC (dostawca m.in. usług Google Analytics, Google zujących na terenie Unii Europejskiej (zarówno przed 25.5.2018 r.,
Ads, GSuite, dysku chmurowego Google, Youtube, Gmail, opro- jak i obecnie). Powodem takiego stanowiska jest m.in. obowiązu-
gramowania urządzeń mobilnych Android); jące w USA prawo, które pozwala na dostęp do danych osobowych
Facebook Inc. (dostawca portalu społecznościowego Facebook oraz innych informacji służb państwowych i federalnych, w tym
oraz usług, takich jak Facebook Insights, wtyczek lokalnych w szczególności tzw. FISA (Foreign Intelligence Surveillance Act of
na strony internetowe łączących bezpośrednio z fanpage’ami 1978) . Niemniej w motywie 64 decyzji Komisji ws. ustanowie-
26
Facebook, WhatsUpp, Instagram); nia Privacy Shield zaznaczono, że „Komisja oceniła przewidziane
ESET LLC (dostawca oprogramowania antywirusowego i anty- w prawie amerykańskim ograniczenia i gwarancje w zakresie do-
spamowego ESET oraz rozwiązań technicznych m.in. w zakresie stępu do danych osobowych przekazywanych przez amerykańskie
narzędzi kryptograficznych). organy publiczne w ramach Tarczy Prywatności UE–USA i korzy-
W przypadku podmiotów nieposiadających certyfikacji w ramach stania z tych danych do celów bezpieczeństwa narodowego, egze-
programu Privacy Shield powszechną praktyką było zawieranie kwowania prawa i innych celów leżących w interesie publicznym”.
umów dotyczących przetwarzania danych osobowych na podsta- Trybunał Sprawiedliwości UE nie podzielił jednak tego stanowiska
wie standardowych klauzul umownych przyjętych przez Komisję. zauważając, że już sama treść decyzji zawiera odstępstwo o cha-
rakterze generalnym, umożliwiające „ingerencje – oparte na wy-
Implikacje wyroku TSUE w sprawie C-311/18, maganiach bezpieczeństwa narodowego, interesu publicznego albo
tzw. Schrems II przestrzegania prawa – w prawa podstawowe osób, których dane
Wyrokiem z 16.7.2020 r. w sprawie C-311/18 w postępowaniu: osobowe są przekazywane lub mogłyby zostać przekazane z Unii
Data Protection Commissioner przeciwko Facebook Ireland Limited do Stanów Zjednoczonych (zob. analogicznie w zakresie dotyczą-
25
i Maximillian Schrems TSUE: cym decyzji 2000/520 wyrok z 6.10.2015 r., Schrems, C-362/14,
unieważnił decyzję wykonawczą Komisji Europejskiej EU:C:2015:650, pkt 87). W szczególności, jak stwierdzono w decy-
z 12.7.2016 r. przyjętą na mocy dyrektywy 95/46/WE Parla- zji w sprawie Tarczy Prywatności, takie ingerencje mogą wynikać
mentu Europejskiego i Rady w sprawie adekwatności ochrony z dostępu do danych osobowych przekazywanych z Unii do Sta-
zapewnianej przez Tarczę Prywatności UE–USA (notyfikowana nów Zjednoczonych i z wykorzystywania tych danych przez organy
jako dokument Nr C(2016) 4176); amerykańskich władz publicznych w ramach opartych na art. 702
utrzymał ważność decyzji Komisji z 5.2.2010 r. w sprawie FISA programów nadzoru PRISM i UPSTREAM, a także na podsta-
standardowych klauzul umownych dotyczących przekazywa- wie rozporządzenia wykonawczego Nr 12333” .
27
nia danych osobowych podmiotom przetwarzającym dane ma- Europejskie organy nadzorcze tuż po ogłoszeniu wyroku nie po-
jącym siedzibę w krajach trzecich na mocy dyrektywy 95/46/ trafiły jednoznacznie wskazać jego konsekwencji oraz praktycz-
WE Parlamentu Europejskiego i Rady (notyfikowana jako do- nych implikacji. Ich stanowiska wydane w ramach bezpośrednich
kument Nr C(2010) 593), jednocześnie uzależniając skutecz- reakcji na wyrok Schrems II były skrajne. Dla przykładu warto
ność stosowanego środka legalizującego od spełnienia pewnych wspomnieć o:
Commission nationale de l’informatique et des libertés (CNIL,
23 Pkt 30, wyr. TSUE z 6.10.2015 r. w sprawie C-362/14, w postępowaniu Maximil- 28
lian Schrems przeciwko Data Protection Commissioner. Francja) : CNIL oficjalnie wstrzymał się z wydaniem opinii
24 Pkt 97, wyr. TSUE z 6.10.2015 r. w sprawie C-362/14, w postępowaniu Maximil-
lian Schrems przeciwko Data Protection Commissioner.
25 Zob. http://curia.europa.eu/juris/document/document.jsf;jsessionid=84EBE1F- 26 Zob. https://www.law.cornell.edu/uscode/text/50/chapter-36 (dostęp: 8.4.2021 r.).
B9493102093ED96177D96078E?text=&docid=228677&pageIndex=0&doclang 27 Pkt 165, wyr. TSUE z 16.7.2020 r. w sprawie C-311/18, w postępowaniu Data
=pl&mode=req&dir=&occ=first&part=1&cid=9753969 (dostęp: 10.4.2021 r.).; Protection Commissioner przeciwko Facebook Ireland Limited i Maximillian Schrems.
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228728&p 28 Stanowisko Commission nationale de l’informatique et des libertés (CNIL, Francja),
ageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=10591175 https://www.cnil.fr/en/invalidation-privacy-shield-cnil-and-its-counterparts-are-
(dostęp: 10.4.2021 r.). currently-analysing-its-consequences (dostęp: 2.4.2021 r.).

22 KLINIKA Nr 31-32 (36-37)/2021-2022 fupp.org.pl

17.12.2021 11:33
Klinika 31-32(36-37) 2021-2022.indb 22
Klinika 31-32(36-37) 2021-2022.indb 22 17.12.2021 11:33

18 19 20 21 22 23 24 25 26 27 28