Abstrakt

Trybunał Sprawiedliwości orzekający w sprawie M. Schrems przeciwko Data Protection Commissioner, w wyroku z 6.10.2015 r.¹ stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26.7.2000 r. przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA² (ang. Safe Harbor). Rozstrzygnięcie to w istotnym stopniu modyfikuje zasady przekazywania danych osobowych do Stanów Zjednoczonych, które nie zapewniają na swoim terytorium adekwatnej ochrony danych w rozumieniu prawa unijnego. Program Bezpiecznej Przystani stanowił bowiem główny mechanizm pozwalający na swobodne transferowanie danych do USA – korzystało z niego ponad 4000 amerykańskich przedsiębiorców (ilości europejskich, w tym podmiotów krajowych, nie sposób precyzyjnie oszacować, liczyć należy je jednak w tysiącach). Rezygnacja z programu istotnie wpływa na działalność wielu podmiotów przekazujących dane osobowe do USA, np. w związku z korzystaniem z usług cloud computingu świadczonych przez dostawców amerykańskich, z których wielu, w tym tych wiodących, należało do programu. Komplikuje to również realizację projektów związanych z tworzeniem scentralizowanych baz danych na terytorium Stanów Zjednoczonych, realizację zadań w zakresie sprawozdawczości czy prowadzenia wewnętrznych programów w ramach korporacji międzynarodowych, zasady funkcjonowania tzw. whistleblowing hotlines itp. Niniejszy tekst obejmuje podsumowanie funkcjonowania programu Bezpiecznej Przystani, analizę wyroku TS oraz ocenę wynikających z niego następstw.