Jak do tej pory przekazywano dane do USA
W dniu 12 lipca 2016 roku został przyjęty tzw. Program Tarcza Prywatności UE-USA, który miał zapewnić odpowiednią ochronę danych osobowych obywateli w UE, przekazywanych do Stanów Zjednoczonych. Na mocy Tarczy przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE a pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów dokonuje Departament Handlu Stanów Zjednoczonych. Wykaz podmiotów uczestniczących w programie dostępny jest pod adresem www.privacyshield.gov. Tym samym, dopóki dane przedsiębiorstwo uczestniczy w tym programie dopóty przetwarzanie przez nie danych osobowych nie różni się niczym od przetwarzania tych danych na obszarze Europejskiego Obszaru Gospodarczego.
Tak było do tej pory. Wyrok Trybunału Sprawiedliwości z dnia 16 lipca 2020 roku zapadły w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillian Schrems (dostępny po polsku tutaj ) wzbudził jednak nową falę wątpliwości co do sposobu w jaki tarcza funkcjonuje.
Skarga Pana Maksa
W sprawie chodziło o to, że dane osobowe Pana Schremsa znalazły się w Stanach Zjednoczonych wskutek – jak twierdził Pan Schrems – zaniedbań irlandzkiego organu administracji odpowiedzialnego za ochronę danych osobowych. Irlandzki organ nadzorczy nie przeszkodził Facebook Ireland Ltd w przekazaniu danych do Stanów. W rezultacie, do danych znajdujących się w USA nie zastosowano żadnych reguł ochrony stosowanych w Unii Europejskiej (a wynikających z RODO).
W swoim wyroku Trybunał Sprawiedliwości orzekł, że martwe już dziś porozumienie w sprawie Tarczy Prywatności – które samo w sobie zastąpiło swojego poprzednika czyli program Safe Harbor – nie przyznaje podmiotom danych skutecznych środków prawnych, których mogłyby one dochodzić przed sądami przeciwko organom amerykańskim. Krótko mówiąc - obywatel UE nie może kwestionować naruszenia porozumienia przez firmę w USA przed europejskim sądem.
Zdaniem Trybunału sekcja 702 amerykańskiej ustawy o nadzorze nad wywiadem zagranicznym (US Foreign Intelligence Surveillance Act) nie spełnia wymogów UE w zakresie ochrony danych. W rezultacie sąd orzekł na niekorzyść Komisji Europejskiej, która utrzymywała do tej pory, że Tarcza Prywatności spełnia swoją funkcję.
Trybunał podkreślił, że amerykańskie służby mają zbyt dużą swobodę w gromadzeniu danych o obywatelach UE z amerykańskich firm. Wprawdzie były plany powołania rzecznika praw obywatelskich do nadzorowania w jaki sposób dane osobowe Europejczyków są przetwarzane w Stanach Zjednoczonych ale miał on być mianowany bezpośrednio przez Sekretarza Spraw Zagranicznych USA a ten nie ma żadnych możliwości ograniczenia amerykańskich służb w przetwarzaniu danych osobowych obywateli UE.
Chłodne przyjęcie wyroku
Wiadomość o faktycznym unieważnieniu Tarczy Prywatności spotkała się z negatywnym przyjęciem m.in. przez Software Alliance oraz amerykański Departament Handlu.
Orzeczenie nie neguje na szczęście standardowych klauzul umownych – innego mechanizmu, który obok Tarczy pozwala na przekazywanie danych do tzw. państwa trzeciego, jakim są dla Europejskiego Obszaru Gospodarczego Stanu Zjednoczone. Oznacza to, że dane mogą być nadal przekazywane przez Atlantyk na zachód, z wykorzystaniem jeśli nie standardowych klauzul umownych to reguł korporacyjnych.
Amerykańska fundacja ITIF (IT and Innovation Foundation) określiła orzeczenie jako nieodpowiedzialne i stosujące wobec USA podwójne standardy. Zwróciła ona uwagę na okoliczność, że w czasie globalnej pandemii przepływ danych są większe niż kiedykolwiek a ich wstrzymanie oznacza pozbawienie biznesu realnej alternatywy. Zdaniem fundacji Unia Europejska powinna konsekwentnie potraktować także inne kraje.
Wydaje się, że Trybunał Sprawiedliwości rozstrzygając sprawę wziął pod uwagę przede wszystkim fakt, że państwa członkowskie UE mają niewystarczające środki aby aktywnie i realnie bronić praw podmiotów danych w państwie trzecim jakim są Stany Zjednoczone.