Trybunał Sprawiedliwości UE (TSUE) w wyroku z dnia 16 lipca 2020 r. (C-311/18) stwierdził nieważność decyzji Komisji Europejskiej 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (Privacy Shield). Była ona instrumentem zezwalającym na przesyłanie danych osobowych z UE przedsiębiorstwom z USA.
W tym samym orzeczeniu TSUE odniósł się do stosowania tzw. standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich (SCCs, standard contractual clauses), podkreślając rolę kontroli europejskich organów ochrony danych osobowych nad transferami danych wykonywanych w oparciu o SCCs. Trybunał uznał decyzję Komisji Europejskiej 2010/87 za ważną.
W wyroku TSUE zaznaczył, że SCCs są instrumentem prawnym stosowanym w relacjach pomiędzy przedsiębiorcami z UE i przedsiębiorcami z państw trzecich. Nie mają więc zastosowania w relacjach z władzami państwa trzeciego. Z tego względu TSUE stwierdził ważność SCCs.
Tarcza prywatności wprost stwierdzała, czy poziom ochrony gwarantowany przez państwo trzecie jest wystarczający w świetle prawa UE (przy spełnieniu warunków określonych w decyzji 2016/1250). Jednakże stosowany przez Stany Zjednoczone nadzór, który umożliwia pozyskiwanie danych przesyłanych z UE na wielką skalę został przez TSUE uznany za niezgodny z wymogami proporcjonalności.
TSUE zakwestionował gwarancje ochrony danych osobowych z uwagi na m.in. zbyt szeroki dostęp do danych osobowych przez amerykańską administrację, w tym NSA (National Security Agency). W wyroku podkreślono, że amerykańskie przepisy dotyczące szeroko rozumianego bezpieczeństwa są niezgodne z prawami podstawowymi UE. Jak wynika ze stanowiska TSUE, amerykańskie przepisy nie zapewniają ochrony danych osobowych klientów spoza USA przed działaniami NSA.
Problem zapewnienia odpowiedniej ochrony danych osobowych obywateli UE w kontekście ich przetwarzania przez amerykańskie firmy nie jest nowy. W 2015 r. TSUE uchylił decyzję Komisji Europejskiej w sprawie programu Safe Harbor (Bezpieczna przystań), która była poprzednikiem Tarczy prywatności i również miała służyć bezpiecznemu przekazywaniu danych osobowych z UE do USA.
Orzeczenie TSUE będzie miało znaczący wpływ na podejście europejskich organów nadzoru związane z kwestiami bezpieczeństwa danych osobowych, szczególnie w kontekście ich przetwarzania poza UE. Prawdopodobnie przełoży się to na rewizję podejścia firm w związku z powierzeniem do przetwarzania danych poza UE, w tym również na terytorium Stanów Zjednoczonych.
Więcej na ten temat:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091pl.pdf
https://noyb.eu/pl/node/189
https://eur-lex.europa.eu/content/news/CJ_facebook.html?locale=pl