W wydanym w czwartek oświadczeniu Generalny Inspektor Ochrony Danych Osobowych przypomina, że w wyniku wydania przez Trybunał Sprawiedliwości UE w październiku 2015 r. wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził on nieważność decyzji Komisji Europejskiej z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" przez Stany Zjednoczone, administratorzy danych nie mogą przekazywać danych do USA na podstawie unieważnionej przez TSUE decyzji KE.
W konsekwencji, aktualnie uczestnictwo importera danych z USA w programie „bezpiecznej przystani” nie pozwala już na uznanie, że przekazanie do niego danych oznacza przekazanie danych do państwa trzeciego, które zapewnia odpowiedni poziom ochrony danych osobowych, o którym mowa w art. 47 ust 1 i 1a ustawy o ochronie danych osobowych. Z tego względu w aktualnym stanie prawnym transfery danych do USA wymagają spełnienia jednej z przesłanek określonych w art. 47 albo 48 ustawy o ochronie danych osobowych. W szczególności nadal możliwe jest stosowanie w odniesieniu do takich transferów standardowych klauzul umownych oraz zatwierdzonych przez Generalnego Inspektora wiążących reguł korporacyjnych.

Trzeba rozmawiać z USA
GIODO przypomina, że 16 października 2015 r. Grupa Robocza Artykułu 29 ds. Ochrony Danych, której Generalny Inspektor jest członkiem, wezwała państwa członkowskie i instytucje unijne do rozpoczęcia dyskusji z władzami Stanów Zjednoczonych celem znalezienia politycznych, prawnych i technicznych rozwiązań umożliwiających przekazywanie danych na terytorium Stanów Zjednoczonych z poszanowaniem praw podstawowych. Jednocześnie Grupa Robocza Art. 29 zapowiedziała, że jeżeli  do końca stycznia 2016 r. nie zostaną wypracowane nowe, kompleksowe  rozwiązania zapewniające bezpieczne przekazywanie danych osobowych do USA, to organy ochrony danych osobowych państw członkowskich, w tym Generalny Inspektor Ochrony Danych Osobowych rozpoczną skoordynowane działania władcze w tym zakresie oraz przedstawią ocenę wpływu orzeczenia TSUE w sprawie Maximilian Schrems przeciwko Data Protection Commissioner na pozostałe przesłanki umożliwiające przekazywanie danych osobowych do USA, w szczególności na standardowe klauzule umowne i wiążące reguły korporacyjne.

Wynegocjowano nowe zasady
2 lutego 2016 r. Komisja Europejska poinformowała o zakończeniu negocjacji  ze Stanami Zjednoczonymi w sprawie nowych i bezpiecznych ram przyszłych transatlantyckich przepływów danych zostały zakończone, nazwanych Tarczą Prywatności UE – USA. Dalszym krokiem będzie więc sporządzenie projektu decyzji w sprawie odpowiedniego poziomu ochrony danych, która następnie będzie mogła zostać przyjęta zgodnie z przewidzianą procedurą. Decyzja taka ma zastąpić więc unieważnioną uprzednio przez Trybunał. Procedura ta będzie wymagała wydania opinii przez Grupę Roboczą art. 29 oraz podjęcia decyzji przez rządy państw członkowskich reprezentowane w Komitecie ustanowionym na podstawie art. 31 dyrektywy 95/46WE. Niestety jak dotąd nie jest znana szczegółowa  treść wynegocjowanych rozwiązań.

Porównać z eurpejskimi standardami
3 lutego 2016 r. Grupa Robocza Ar. 29 wyraziła gotowość do dokonania analizy wyniku negocjacji w świetle zidentyfikowanych przez siebie europejskich standardów praw człowieka. Grupa Robocza Art. 29 przeanalizuje także, w jakim stopniu to nowe rozwiązanie będzie miało wpływ na możliwość stosowania innych instrumentów prawnych stosowanych przy przekazywaniu danych. Grupa Robocza Art. 29 wezwała Komisję Europejską do przekazania do końca lutego wszystkich dokumentów dotyczących nowego rozwiązania, aby dokończyć przeprowadzaną obecnie ocenę operacji przekazywania danych osobowych do USA. Następnie Grupa Robocza Art. 29 rozważy też, czy takie instrumenty jak standardowe klauzule umowne i Wiążące Reguły Korporacyjne, będą mogły nadal być stosowane do przekazywania danych osobowych do USA.