Rozstrzygnięcie w sprawie Schrems II coraz silniej wpływa na praktykę stosowania przepisów o przekazywaniu danych do państw spoza Europejskiego Obszaru Gospodarczego.
Międzynarodowa współpraca i obrót gospodarczy nie byłyby możliwe bez wymiany i przekazywania danych, w tym osobowych. Po wejściu w życie przepisów RODO kolejnym ważnym (a z perspektywy wymiany międzynarodowej może nawet ważniejszym) wydarzeniem było wydanie przez Trybunał Sprawiedliwości UE wyroku w głośnej sprawie Schrems II w lipcu 2020 r. Wyrok ten nie tylko unieważnił decyzję Komisji Europejskiej, która pozwalała na swobodny transfer danych osobowych do USA (w ramach Tarczy prywatności), lecz wpłynął również na sposób korzystania z najpopularniejszego od lat mechanizmu transferowego – standardowych klauzul umownych. W efekcie rozstrzygnięcie to coraz silniej wpływa na praktykę stosowania przepisów związanych z przekazywaniem danych do państw trzecich, czyli poza Europejski Obszar Gospodarczy. Coraz lepiej widoczny jest również jego wpływ na praktykę orzeczniczą europejskich organów ds. ochrony danych osobowych.
Prowadzone w tych warunkach postępowania – określane popularnie mianem „101 dalmatyńczyków”– rozpoczęły się od wniesienia 101 identycznych skarg zarzucających unijnym spółkom (administratorom danych) należącym do różnych sektorów gospodarki naruszenie przepisów RODO w związku z korzystaniem z tak popularnych narzędzi, jak np. Google Analytics. Skargi wniosły osoby fizyczne, reprezentowane przez organizację pozarządową None of Your Business (NOYB). Mają one związek z brakiem odpowiedniej – w ocenie NOYB – reakcji dostawców popularnych narzędzi i usług online na rozstrzygnięcie TSUE w sprawie Schrems II.
Żądania skarżących obejmują „niezwłoczne wprowadzenie zakazu lub zawieszenie wszelkich przepływów danych” pomiędzy unijnymi administratorami (tj. spółkami prowadzącymi witryny internetowe i korzystającymi w związku z tym z tego rodzaju narzędzi analitycznych) a amerykańskimi dostawcami. Co więcej, oczekują oni również „nakazania zwrotu takich danych do UE/EOG lub innego państwa, które zapewnia odpowiednią ochronę” dla tych danych. Pięć skarg z tej grupy trafiło do polskiego organu (prezesa UODO), jednak żadna z nich nie doczekała się dotychczas rozstrzygnięcia.
Pierwsze decyzje organów krajowych
Jednym z pierwszych, które wydały już decyzje w sprawach „101 dalmatyńczyków”, był austriacki organ ochrony danych. W decyzji z grudnia 2021 r. stwierdził, że korzystanie przez administratora danych z narzędzia Google Analytics narusza przepisy RODO. Wskazał, że zastosowane w sprawie standardowe klauzule umowne (oferowane swym klientom przez Google) nie zapewniają wystarczającej ochrony danych osobowych przekazywanych do USA. Organ zauważył jednocześnie, że amerykański dostawca (importer danych), będący dostawcą usług łączności elektronicznej, podlega regulacjom amerykańskim, które mogą go obligować do ujawnienia odpowiednim służbom danych, w tym danych osobowych pochodzących z EOG. W tej i kolejnych decyzjach organ austriacki posunął się nawet do stwierdzenia, że rozdział V RODO (który reguluje zasady międzynarodowego transferu danych osobowych) „nie zna podejścia opartego na ryzyku”, pomimo że można wskazać wiele argumentów przeciwko takiemu twierdzeniu.
Inne krajowe organy nadzorcze, do których skierowane zostały skargi, dochodziły do podobnych konkluzji, przy czym w rozstrzygnięciach w nieco inny sposób rozkładały akcenty. Przykładowo organ włoski, w decyzji z czerwca 2022 r., zauważył, że wykorzystywane przez Google numery IP stanowią dane osobowe, a co więcej, nie jest możliwa ich anonimizacja z uwagi na możliwości tego dostawcy w zakresie wzbogacania tego rodzaju danych o dodatkowe informacje, którymi on dysponuje. Organ ten ocenił również podjęte przez Google dodatkowe kroki – w tym wdrożone środki techniczne czy wprowadzone do umowy postanowienia – jako niewystarczające dla zapewnienia adekwatnej ochrony przekazywanych poza EOG danych. W rezultacie udzielił podmiotowi prowadzącemu ocenianą witrynę internetową (administratorowi danych) upomnienia oraz nakazał mu wdrożenie dodatkowych, skutecznych środków w wyznaczonym terminie.
Ostatnie głośne rozstrzygnięcia
W połowie 2023 r. organ szwedzki zakończył cztery prowadzone przez siebie postępowania dotyczące Google Analytics i związanych z tym operacji transferowych. Co ciekawe, dwa postępowania zakończyły się nałożeniem kar finansowych (w tym w jednym dość wysokiej, bo wynoszącej 12 mln koron szwedzkich, czyli ponad 4 mln zł). Z kolei w odniesieniu do dwóch innych ocenianych administratorów szwedzki organ odstąpił od nałożenia kary finansowej, poprzestając na nakazie wdrożenia dodatkowych środków zabezpieczających przekazywane dane lub zaprzestania korzystania z przedmiotowego narzędzia.
Zasadniczym powodem odstąpienia w obu tych sprawach od nałożenia kary finansowej było przeprowadzenie przez szwedzkich administratorów szczegółowej analizy wykorzystywanych narzędzi. Uwzględniała ona etap mapowania danych (w tym szczegółowe badanie przepływów danych) i znalazła swe odzwierciedlenie we wdrożeniu dodatkowych środków technicznych ponad te oferowane standardowo przez dostawcę ocenianego narzędzia. Pokazuje to wagę tego rodzaju działań, które w efekcie mogą prowadzić do diametralnie odmiennego finału prowadzonej przed organem nadzorczym sprawy.
Inne lekcje
Wydane dotychczas w sprawach „101 dalmatyńczyków” decyzje wskazują dość jednoznacznie na konieczność stosowania przez administratorów (eksporterów) danych dodatkowych zabezpieczeń, ponad te wynikające z samych standardowych (modelowych) klauzul umownych. Przykłady dotyczące Google Analytics oraz transferu danych do USA pokazują jednak, że nie jest to łatwe zadanie z uwagi na restrykcyjne podejście ze strony organów nadzorczych w ocenie zabezpieczeń (rozwiązań) przyjmowanych przez samych dostawców.
Śledząc swoistą dyskusję prowadzoną przez europejskie organy z Google czy innymi dostawcami, można odnieść nawet wrażenie, że wszelkie podejmowane przez nich starania są z góry skazane na niepowodzenie. Ilekroć bowiem dostawcy ci wprowadzali kolejne rozwiązania (bezpieczniki), tylekroć spotykało się to z negatywną oceną ze strony europejskich recenzentów. Należy jedynie wyrazić nadzieję, że tak rygorystyczne podejście nie będzie skutkowało rezygnacją z podejmowania przez eksporterów oraz importerów danych działań mających na celu wprowadzanie dodatkowych zabezpieczeń, być może nie w pełni doskonałych, jednak z pewnością podnoszących ogólny poziom ochrony prywatności i danych osobowych. Sprawy zakończone przed organem szwedzkim pokazują zaś, że wprowadzanie tego rodzaju bezpieczników (w szczególności technicznych) może mieć istotne znaczenie. Ważne jest jednak, aby nie bazować w tym zakresie wyłącznie na rozwiązaniach oferowanych przez samych dostawców. Inicjatywę powinni podejmować również unijni administratorzy (eksporterzy) danych.