Europejskie urzędy ochrony danych osobowych i firmy nadal poszukują wyjścia z sytuacji po wyroku TSUE w tzw. sprawie Schrems II. Wyrok zaostrza warunki transferu danych osobowych poza UE. Literalne jego stosowanie mogłoby np. sparaliżować zdalne nauczanie

W lipcu 2020 r. TSUE uznał, że dotychczasowe warunki transferu danych osobowych, zebranych w UE, a więc chronionych przez RODO są niewystarczające.

Wyrok przewiduje m.in. nałożenie na eksporterów danych obowiązku sprawdzenia sprawdzania, jakie prawa dotyczące danych osobowych przysługują w kraju, do którego się transferuje dane. Problem dotyczy np. używania chmur obliczeniowych, leżących poza UE.

Sprawa Schrems II dotyczyła konkretnie transferu danych osobowych przez Facebooka z Irlandii do USA. TSUE orzekł, że podpisywany dotychczas z krajami poza UE umowy ws. danych osobowych nie gwarantują poziomu ochrony, jakie daje RODO i konieczne są dodatkowe bezpieczniki. Trybunał nie wskazał jednak konkretnie rozwiązań. Nie wyznaczył też żadnego okresu przejściowego.

„Do tej pory to polegało przede wszystkim na zawieraniu dodatkowych umów między eksporterem danych, a np. pozaunijnym dostawcą chmury. Tam nakładano na chmurę dodatkową ochronę” - powiedział PAP prezes Stowarzyszenia Prawa Nowych Technologii Xawery Konarski. Jak podkreślił, wyrok stwierdza, że zatwierdzony przez KE wzór dodatkowej umowy nie wystarcza i dodał, że decyzja TSUE jest powszechnie krytykowana za brak okresu przejściowego.

"Literalne stosowanie wyroku sparaliżowało by np. zdalne nauczanie - ocenia Konarski. Jak przypomniał, większość popularnych aplikacji, stosowanych w szkołach i na uczelniach do zdalnego nauczania jest amerykańska i korzysta z chmur w USA.

"Konsekwencje mogą być takie, że polska firma korzystająca z amerykańskiej chmury może potencjalnie zostać za to ukarana. To jest duże ryzyko i odpowiedzialność dla eksporterów danych" - podkreślił Konarski.

Zgodnie z wyrokiem każdy eksporter danych powinien przeanalizować, czy państwo trzecie daje podobną ochronę jak RODO. "Są firmy, które działają w kilkudziesięciu krajach, to dla nich olbrzymie obciążenie biurokratyczne, zwłaszcza dla małych podmiotów - wskazał Konarski.

Jak przypomniał, nowych wymagań przy transferze danych osobowych poza UE nie skodyfikowano, a europejskie urzędy ochrony danych osobowych dopiero nad tym myślą.

Jak powiedział PAP rzecznik Urzędu Ochrony Danych Osobowych Adam Sanocki, Europejska Rada Ochrony Danych na posiedzeniu plenarnym 2 września 2020 r. powołała grupę zadaniową, która będzie koordynowała działania w tym zakresie.

„Na obecnym etapie postępowania trudno jest rozstrzygnąć jak i kiedy się ono zakończy. W opinii Prezesa UODO bardzo ważne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD” - podkreślił Sanocki.