W miniony wtorek (6 października 2015r.) Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność decyzji Komisji Europejskiej, według której amerykańskie reguły dotyczące zabezpieczenia danych osobowych uznawane były za wystarczające dla zapewnienia prawidłowego przekazywania danych osobowych.
Na podstawie decyzji z 2000 roku (2000/520/WE) wprowadzono program Safe Harbor, umożliwiający przetwarzanie przez amerykańskie firmy danych osobowych i handlowych dotyczących klientów z Unii Europejskiej. Teraz, TSUE rozpatrując sprawę zainicjowaną sporem Austriaka – Maximiliana Schremsa z irlandzkim Facebookiem, uznał, że decyzją tą Komisja w sposób nieuprawniony ograniczyła uprawnienia krajowych organów ochrony danych osobowych. Organy te mogą bowiem zakazywać transferu danych do USA, bądź też wprowadzać ograniczenia w tym zakresie.
Co może to oznaczać w praktyce?
Rozstrzygnięcie to może mieć fundamentalne znaczenie dla przedsiębiorców przechowujących swoje dane na serwerach amerykańskich, może ono znacząco wpłynąć na funkcjonowanie Google czy Facebooka. W stanowisku wyrażonym przez Trybunał można bowiem doszukiwać się podstaw do wydania przez organy krajowe zakazu przekazywania danych osobowych do USA przez konkretnego przedsiębiorcę. W Polsce zakaz taki mógłby bowiem zostać wydany przez GIODO z powołaniem się na art. 18 ust. 1 pkt 4 ustawy o ochronie danych osobowych.
Przywoływany wyrok wydany został w trybie prejudycjalnym, czyli jako odpowiedź na pytanie zadane przez sąd krajowy, na skutek skargi indywidualnego obywatela. W praktyce dalsze działania mogą być uzależnione od wytycznych przekazywanych przez Komisję Europejską, które powinny pojawić się już w najbliższej przyszłości.
Dla zainteresowanych: analizowana sprawa rozpatrywana była pod sygnaturą: sygn. C-362/14.