Dnia 16 lipca 2020 roku w głośnym wyroku w sprawie „Schrems II” o sygn. C-311/18 Trybunał Sprawiedliwości Unii Europejskiej uchylił decyzję wykonawczą Komisji Unii Europejskiej 2016/1250 z 12 lipca 2016 r. („Tarcza Prywatności”), będącej instrumentem prawnym legalizującym przesyłanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych, zwiększając tym samym kontrolę krajowych organów ochrony danych osobowych nad transferami danych do USA. Istotą orzeczenia było wskazanie, że „Tarcza Prywatności” nie gwarantuje dostatecznego poziomu ochrony transferowanych danych za ocean wobec faktu, że lokalne służby mają nieskrępowaną możliwość masowej inwigilacji – również Europejczyków – w oparciu o przetwarzane dotychczas dane osobowe przez podmioty mające siedzibę w Stanach Zjednoczonych.

W wyniku uchylenia decyzji wykonawczej Komisji Europejskiej utrudnieniu ulegnie wykonywanie przepisów RODO, gdyż „Tarcza Prywatności” była podstawowym mechanizmem legalizującym transfer danych do USA. Administratorzy danych osobowych powinni zatem przeprowadzić audyt ochrony danych osobowych zmierzający do ustalenia, czy i w jakim zakresie transferują dane osobowe do tego państwa. Jeżeli na to pytanie odpowiedź jest twierdząca, obowiązkiem Administratorów jest odstąpienie od udostępniania danych osobowych do podmiotów, mających swoje siedziby w USA, których transfer odbywał się na podstawie tego właśnie środka, a jeśli wstrzymanie transferu danych do państw trzecich jest niemożliwe, powinni znaleźć oni inne mechanizmy, które legalizowałyby ten proces.

Jednym z akceptowalnych przepisami rozwiązań w przypadku transferu danych osobowych poza Europejski Obszar Gospodarczy jest zastosowanie standardowych klauzul umownych przyjętych przez Komisję Europejską zgodnie z procedurą sprawdzającą, określoną w art. 93 ust. 2 RODO. Najkrócej rzecz ujmując, standardowe klauzule umowne to przyjęte przez Komisję Europejską, bądź przyjęte przez Organ Nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych), a zaakceptowane przez Komisję, wzory postanowień umownych, którymi można posługiwać się w stosunkach pomiędzy innymi administratorem lub podmiotem przetwarzającym, posiadającym siedzibę poza Europejskim Obszarem Gospodarczym. Zasadniczo treść przyjętych klauzul nie może pozostać zmieniona. Istota zawartych w tych klauzulach praw i obowiązków, a co za tym idzie gwarancja ochrony danych osobowych, nie może zostać zmniejszona, natomiast nic nie stoi na przeszkodzie, aby strony umowy zamieściły w umowie dodatkowe obowiązki, zwiększające stopień ochrony udostępnianych poza EOG danych osobowych.

Z dwoma zestawami klauzul, dotyczącymi relacji pomiędzy Administratorami, można zapoznać się na stronie internetowej Dziennika Urzędowego Unii Europejskiej (tutaj) i (tutaj). Opracowane zostały również standardy na gruncie procesu transferu danych do Podmiotu przetwarzającego, mającym siedzibę poza EOG, dostępne pod wskazanym linkiem.

Należy jednak mieć na względzie fakt, że po publikacji przytaczanego powyżej wyroku TSUE stosowanie standardowych klauzul umownych w każdym przypadku nie jest tak oczywiste, jakby pozornie mogłoby się wydawać. Na kanwie orzeczenia Trybunał Sprawiedliwości UE zaznaczył, że do obowiązku administratora należy każdorazowe weryfikowanie, czy w danym państwie trzecim występuje odpowiedni poziom ochrony danych osobowych, pozostający w zgodności z europejskimi standardami w tym zakresie. Mówiąc wprost: ustawodawstwo tego państwa powinno przejawiać porównywalne lub wyższe standardy ochrony danych osobowych. W przeciwnym wypadku również i zastosowanie standardowych klauzul umownych nie będzie wystarczającym środkiem legalizującym transfer danych poza EOG.

Mając na względzie powyższy pogląd stwierdzić należy, że w przypadku dokonywania transferu (udostępnienia lub powierzenia) danych osobowych Europejczyków do Stanów Zjednoczonych, uwzględnić trzeba treść amerykańskiego ustawodawstwa, a jak dotychczas ustawodawstwo to samo w sobie nie zapewnia obywatelom UE wystarczającej ochrony, chociażby w takim stopniu, jakim gwarantuje to RODO. Okazuje się zatem, że stosowanie standardowych klauzul umownych jest środkiem umożliwiającym transfer danych do krajów spoza EOG, jednakże krajem tym nie jest obecnie USA. Zabieg ten jest zatem zasadniczo prawnie niemożliwy. Podkreślenia wymaga, że o ile standardowe klauzule umowne są mechanizmami zatwierdzanymi przez Komisję Europejską, w dalszym ciągu mają przecież charakter umów, zawieranych pomiędzy prywatnymi firmami, a te same w sobie nie mogą zmieniać, ani uchylać amerykańskich przepisów, dotyczących nadzoru (nie wiążą amerykańskich władz). Oznacza to, że zwrócenie się do amerykańskiego przedsiębiorstwa przez służby USA z żądaniem udostępnienia tych danych, wiązać będzie się z obowiązkiem złamania standardowych klauzul umownych i obowiązkiem udostępnienia danych osobowych obywateli UE na rzecz tych służb, dla znanych tylko tym służbom celów.

W kontekście transferowania danych osobowych poza EOG do Stanów Zjednoczonych, przetwarzanie to oraz poziom amerykańskiego ustawodawstwa mają szczególnie doniosłe znaczenie, bowiem wiele ogólnoświatowych przedsiębiorstw ma swoje siedziby główne na terytorium USA. Przykładami mogą być Facebook, Ltd., Google LLC, czy Amazon.com, Inc.