Abstrakt

Tekst poświęcony jest odpowiedzi na pytanie, czy rozwiązania kontraktowe (a także inne metody regulacji „miękkiej” czy „półmiękkiej”, takie jak środki samoregulacyjne i koregulacyjne) mogą służyć rozwiązaniu kwestii powstałych w obszarze ochrony danych osobowych na skutek wydania przez TSUE 16.7.2020 r. wyroku w sprawie Schrems II. W następstwie wyroku TSUE powstały zasadnicze wątpliwości dotyczące przekazywania danych osobowych do państw trzecich na podstawie standardowych klauzul umownych wydanych na podstawie nieobowiązującej już dyrektywy 95/46. Owe wątpliwości próbuje rozwiać KE wydając (4.6.2021 r., a więc w rocznicę wyroku Schrems II) nowy zestaw standardowych klauzul umownych. Z jednej strony należy dostrzec i docenić ich nowoczesną, modułową formę, pozwalającą na dostosowanie treści umowy do potrzeb stron stosunku prawnego, zdecydowanie obszerniejszy niż dotychczas katalog stanów faktycznych, w których standardowe klauzule znajdą zastosowanie oraz odpowiedzialność stron kreowaną na zasadzie ryzyka przy użyciu oświadczeń (representations and warranties), znanych z transakcji handlowych i transakcji M&A. Z drugiej strony nie sposób nie dostrzec m.in. przerzucenia na uczestników stosunku prawnego ciężaru dokonywania całościowej oceny TIA (transfer impact assessment), w tym z uwzględnieniem oceny wzorca demokratycznego społeczeństwa oraz ograniczeń wynikających z interakcji pomiędzy standardowymi klauzulami umownymi opracowanymi przez KE a przepisami obowiązującymi w państwach trzecich, np. przyznającymi służbom wywiadowczym tych krajów prawo dostępu do danych pochodzących z UE. Stąd ocena standardowych klauzul umownych nie może być jednoznacznie pozytywna, acz z aprobatą odnotować należy fakt poszukiwania przez regulatorów alternatywnych rozwiązań uregulowania globalnych transferów danych osobowych oraz potencjał, jaki takie rozwiązania niosą dla wypracowania globalnego systemu ochrony danych osobowych.