Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Kontrowersje wokół wyroku w sprawie Schrems II

22-09-2020 Autor: Damian Karwala

Czy w ogłoszonym 16 lipca 2020 r. wyroku w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems Trybunał Sprawiedliwości UE uwzględnił w pełni przepisy rodo? W tekście przyjrzymy się temu wyrokowi, kontrowersjom z nim związanym oraz jego skutkom.

 

ie cichną echa wyroku w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (sprawa C-311/18, nazywana również popularnie sprawą „Schrems II”). Sprawa ta stanowi kontynuację postępowania zapoczątkowanego jeszcze w 2013 r. przez austriackiego prawnika i aktywistę M. Schremsa. Jesienią 2015 r. doprowadziła ona – w wersji określanej obecnie jako „Schrems I” – do „zatopienia” programu Bezpiecznej Przystani, który pozwalał na przekazywanie danych osobowych do odbiorców amerykańskich1. Całe to zamieszanie jest z kolei pokłosiem ujawnionych w połowie 2013 r. przez Edwarda Snowdena rewelacji, które wskazywały na praktyki amerykańskich służb specjalnych związane z szerokim dostępem do danych osobowych Europejczyków, przetwarzanych przez amerykańskich gigantów technologicznych, takich jak m.in. Facebook2.


W felietonie sprzed kilku miesięcy („ABI Expert” 2020, nr 1), oczekując na rozstrzygnięcie TSUE, pisałem, że bez względu na jego kierunek: „może ono istotnie wpłynąć na unijne zasady dotyczące przekazywania danych osobowych do państw trzecich i obowiązki podmiotów, które prowadzą takie operacje”. Nawet mimo braku stwierdzenia nieważności decyzji Komisji 2010/97/UE zatwierdzającej standardowe klauzule umowne, a tym samym utrzymania klauzul modelowych jako takich, wyrok TSUE może dalece zmienić zasady przekazywania danych osobowych z obszaru UE. Stanie się tak z pewnością, jeśli kontynuowane będzie bezkrytyczne wręcz podejście do rozstrzygnięcia najwyższej unijnej instancji sądowej, które daje się zaobserwować w zdecydowanej większości komentarzy i wypowiedzi dotyczących wyroku. Jeśli jednak przyjrzeć się bliżej propozycjom oraz argumentacji TSUE, okazuje się, że można im wiele zarzucić. Łącznie z tym, że nie do końca są one zgodne z rodo, w szczególności z jego rozdziałem V.


Transfer między podmiotami prywatnymi a bezpieczeństwo narodowe


Punktem wyjścia dla dalszych rozważań TSUE jest dość oczywiste stwierdzenie, że „operacja polegająca na przekazywaniu danych osobowych z państwa członkowskiego do państwa trzeciego stanowi jako taka przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO” (pkt 83 wyroku). Biorąc pod uwagę, że operacja taka dokonywana jest na terytorium państwa członkowskiego, znajdą do niej zastosowanie przepisy rodo na podstawie jego art. 2 ust. 1. Pierwsza poważniejsza wątpliwość, którą rozstrzygał TSUE, związana była z odpowiedzią na pytanie, czy rodo należy stosować do takich operacji transferowych, które zachodzą między unijnym eksporterem danych (będącym „podmiotem gospodarczym”, tj. nie organem władzy publicznej) a importerem z państwa trzeciego (również będącym „podmiotem gospodarczym”), w sytuacji, w której w trakcie tej operacji transferowej lub w jej następstwie „dane te mogą być przetwarzane przez organy władz tego państwa trzeciego do celów związanych z bezpieczeństwem publicznym, obroną i bezpieczeństwem państwa” (pkt 80 wyroku).


Kwestia ta nie jest oczywista, biorąc pod uwagę w szczególności brzmienie art. 4 ust. 2 Traktatu o UE, zgodnie z którym bezpieczeństwo narodowe państw członkowskich pozostaje w zakresie wyłącznej odpowiedzialności tychże państw. Zgodnie zaś z art. 2 ust. 2 lit. a rodo przepisy rozporządzenia ogólnego nie mają zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa UE. TSUE uznał jednak, że tego rodzaju operacje transferowe nie mogą być podejmowane z pominięciem wymogów rodo, interpretując restrykcyjnie wyjątki ujęte w art. 2 ust. 2 rodo (pkt 84–89 wyroku). Ze stanowiskiem tym należy się zgodzić, przeciwny wniosek skutkowałby tym, że spora część (jeśli nie większość) operacji transferowych realizowanych z obszaru UE byłaby wyłączona spod unijnej regulacji ochronnej (rozdział V rodo) tylko z tego powodu, że w państwie trzecim obowiązują określone zasady związane z bezpieczeństwem narodowym, które mogą skutkować przetwarzaniem dla tych celów danych napływających z UE. Ten związek jednak – między z jednej strony operacjami o charakterze prywatnym (komercyjnym), a z drugiej celami związanymi z bezpieczeństwem narodowym (celami o charakterze publicznym) – stanowi podstawowe źródło problemów i wątpliwości, które ostatecznie doprowadziły do takiego, a nie innego rozstrzygnięcia przez TSUE.

 

Wysokie koszty utrzymania „przy życiu” klauzul modelowych


Pomimo braku zakwestionowania ważności decyzji Komisji 2010/87/UE oraz klauzul modelowych jako takich TSUE uzależnił możliwość dalszego korzystania z tego instrumentu transferowego (nie tylko zresztą w relacjach z USA) od spełnienia dodatkowych, daleko idących wymogów. Warto przyjrzeć im się bliżej, tym bardziej że naruszają one spójność całego rozdziału V rodo, stanowiącego efekt ewolucji prawa i praktyki unijnej (wspólnotowej) na przestrzeni ostatnich 30 lat. Ewolucja ta doprowadziła do wykształcenia się instrumentów transferowych właściwych dla tzw. podejścia terytorialnego (obecnie – art. 45 rodo) oraz tzw. podejścia organizacyjnego (obecnie – art. 46–47 rodo)3.


Jednym zaś z głównych atutów rodo było uporządkowanie tych mechanizmów oraz precyzyjne ich rozgraniczenie, z uwzględnieniem przedmiotowych podejść do sposobu regulacji operacji transferowych. Tymczasem rozstrzygnięcie TSUE burzy ten porządek, sprawiając, że zaciera się granica między podejściem organizacyjnym („reprezentowanym” tu przez klauzule modelowe) a podejściem terytorialnym (tj. analiza adekwatności państwa trzeciego).

 

[...]

 

Autor jest doktorem nauk prawnych, radcą prawnym, członkiem zespołu Prawa Własności Intelektualnej i Nowych Technologii w kancelarii CMS.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.