Abstrakt

Przepisy UE zakładają dychotomiczy podział państw świata na państwa członkowskie UE (i EOG) oraz państwa trzecie. Ogólną zasadą przekazywania danych do państwa trzeciego jest zapewnienie, by nie został naruszony unijny (gwarantowany przez RODO) stopień ochrony danych. Wypracowywane na przestrzeni lat prawne rozwiązania mniej lub bardziej systemowe (mające walor nie jednostkowy, lecz uniwersalny) powinny zapewniać bezpieczeństwo danych w zmieniającym się środowisku (prawnym, technicznym, społeczno-politycznym). Działania podejmowane w tym zakresie przez organy UE podlegają zatem de facto ustawicznej ocenie i weryfikacji ich skuteczności. Taka weryfikacja nastąpiła np. w roku 2015 (rozstrzygnięcie TS w sprawie Schrems I) oraz w roku 2020 (sprawa Schrems II). W drugiej z tych spraw TS wypowiedział się nie tylko w przedmiocie porozumienia Tarczy Prywatności łączącego UE i USA (Tarcza została zakwestionowana i wyeliminowana przez TS z obrotu prawnego), ale także w sprawie standardowych klauzul umownych (SCC). Klauzule te co prawda zostały utrzymane w mocy, ale z zastrzeżeniem dokonywania przez stosujące je podmioty wszechstronnej oceny stopnia ochrony danych osobowych w państwie trzecim. Wyrokiem w sprawie Schrems II TSUE dokonał zmiany paradygmatu w zakresie ciężaru oceny stopnia ochrony danych osobowych w państwie trzecim. Trybunał Sprawiedliwości stwierdza przy tym, że nie kreuje „luki prawnej”, gdyż art. 49 RODO określa „w sposób precyzyjny warunki, na jakich może nastąpić przekazywanie danych osobowych do państw trzecich” (pkt 202 wyroku). Zaskakiwać może gotowość TS do zastąpienia rozwiązań systemowych (a do takich należy zaliczyć „Tarczę Prywatności” czy SCC) wyjątkami z art. 49 RODO, które znajdują zastosowanie w szczególnych sytuacjach i przełamują ogólną zasadę prymatu bezpieczeństwa danych osobowych w państwie trzecim (art. 44 RODO).