Temat związany z transferem danych osobowych do państwa trzeciego (tj. państwa spoza Europejskiego Obszaru Gospodarczego) w ostatnich miesiącach był wielokrotnie podnoszony, między innymi przez administratorów danych, którzy na co dzień mają bezpośrednią styczność z przetwarzaniem danych osobowych. Wynikało to z zamieszania, jakie wywołał wyrok Trybunał Sprawiedliwości Unii Europejskiej (TSUE) z października 2015 r. Wyrok ten stanowił odpowiedź na zapytanie irlandzkiego Sądu Najwyższego, który rozpatrywał spór pomiędzy tamtejszym urzędem ochrony danych osobowych i Maximillianem Schremsem.

Przypomnijmy, że pan Schrems zażądał od lokalnego oddziału Facebooka, aby ten nie przekazywał jego danych osobowych do Stanów Zjednoczonych. Firma nie spełniła żądania, a irlandzki urząd ochrony danych osobowych poparł koncern Marka Zuckerberga. W tej sytuacji skarżący wystąpił na drogę sądową. W rezultacie sprawa oparła się o Sąd Najwyższy, który zwrócił uwagę na decyzję Komisji Europejskiej nr 2000/520/WE (program Safe Harbor), w efekcie czego doszło do zgody na przekazywanie danych osobowych pochodzących z terenu Unii Europejskiej na terytorium Stanów Zjednoczonych. Przy czym jednym ze skutków Safe Harbor było umożliwienie amerykańskim służbom wywiadowczym dostępu do europejskich danych.

Sprawa wydawała się przesądzona, ale irlandzcy sędziowie postanowili poprosić o opinię w sprawie Schremsa swoich kolegów z TSUE. A ci spowodowali spore trzęsienie ziemi na arenie międzynarodowej, gdyż uznali, że krajowe organy ochrony danych osobowych nie mogą dokonywać niejako automatycznego odrzucenia skarg swoich obywateli, powołując się na wiążące decyzje Komisji Europejskiej. Tym samym doszło do podważenia istoty programu Safe Harbor, ze względu na brak realnego wpływu Europejczyków na ochronę danych osobowych w USA.

Krótko na temat

Jeśli przedsiębiorca musi nawiązać współpracę z podmiotem prowadzącym działalność w państwie spoza Europejskiego Obszaru Gospodarczego, powinien dowiedzieć się, czy dany kraj zapewnia odpowiedni poziom ochrony danych. Aktualna lista państw, które wywiązują się z tego obowiązku we właściwy sposób, jest dostępna m.in. na stronie www.giodo.gov.pl po wpisaniu hasła „Zasady przekazywania danych osobowych do państw trzecich”. Jeśli okaże się, że określone państwo nie otrzymało pozytywnej rekomendacji Komisji Europejskiej, warto skorzystać z opisywanych w artykule instrumentów wewnętrznych, takich jak standardowe klauzule umowne oraz wiążące reguły korporacyjne.