Decyzja ta potwierdzała, że system prawny Stanów Zjednoczonych umożliwia zabezpieczanie przetwarzanych danych osobowych (DO) na poziomie, który odpowiada poziomowi zabezpieczeń w UE. Uznanie przez TSUE, że ta decyzja Komisji jest nieważna, oznacza, że USA nie gwarantują wymaganego przepisami UE (RODO) bezpieczeństwa przetwarzania DO.
Co to oznacza?
Główną przyczyną takiego rozstrzygnięcia jest fakt, że niektórzy przedsiębiorcy (dostawcy usług łączności elektronicznej) w USA są zobowiązani przekazywać dane amerykańskim służbom wywiadowczym (głównie NSA) lub nie mają możliwości zabezpieczenia danych przed nadzorem tych służb. Wyrok nie oznacza bezwzględnego zakazu przekazywania DO do USA, ale wpłynie na ograniczenie tego przepływu. Bez zmian możemy przekazywać DO z UE do USA, jeśli przekazujemy je podmiotom, które nie podlegają tym amerykańskim przepisom i jednocześnie mają możliwość zabezpieczenia DO przed ww. nadzorem (np. poprzez rozwiązania techniczne).
Wyrok nie dotyczy także DO przekazywanych w oparciu o art. 49 RODO, zwłaszcza na podstawie zgody osoby, której dane dotyczą, oraz DO niezbędnych do zawarcia lub wykonania umowy (np. w związku z zakupami przez internet).
Kogo to dotyczy
Zmiana sytuacji prawnej najmocniej dotknie przedsiębiorców korzystających z usług chmurowych i e-mailowych amerykańskich dostawców. W szczególności tych, którzy przetwarzane przez siebie DO umieszczają na serwerach zlokalizowanych na terytorium USA (np. Google Analytics, Facebook Connect). Oczywiście, jeśli serwery dostawcy takich usług znajdują się na terytorium UE, ale dostawca ten podlega amerykańskim przepisom o nadzorze służb wywiadowczych, to taki podmiot również może nie być w stanie zapewnić przetwarzania DO zgodnie z RODO. Chyba że odpowiednio organizacyjnie, strukturalnie i technicznie oddzieli swoją działalność (i serwery) w UE od działalności i serwerów w USA.
Co ze standardowymi klauzulami umownymi
Po wyroku TSUE USA należy traktować jak państwo trzecie, co do którego Komisja nie stwierdziła, że państwo to gwarantuje ochronę DO na takim poziomie jak UE. Do tej pory przyjmowano, że do takich państw można przekazywać DO w oparciu o umowę zawierającą tzw. standardowe klauzule umowne (SKU). Są to przykładowe, wzorcowe klauzule opracowane w decyzjach przez Komisję, regulujące zasady przekazywania i przetwarzania DO w państwie trzecim. Orzeczenie TSUE potwierdza, że decyzje te pozostają ważne i proponowane w nich klauzule nadal można stosować. Jednak przekazując DO w oparciu o SKU, musimy się upewnić, że w państwie trzecim można zapewnić taki poziom ochrony DO jak w UE. Czyli żeby np. służby wywiadowcze tego państwa nie miały dostępu do DO.
