GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Przekazywanie danych do USA ponownie pod znakiem zapytania – część I

Przekazywanie danych do USA ponownie pod znakiem zapytania - część I

Część I

Niespełna tydzień temu (16 lipca br.) Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał orzeczenie w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18). Wyrok jest przełomowy. TSUE uznał bowiem za nieważną decyzję wykonawczą Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Mówiąc prościej, TSUE zakwestionował w tym wyroku tzw. Tarczę Prywatności (Privacy Shield) jako podstawę do transferu danych osobowych z UE do USA. Orzeczenie w tej sprawie wprowadza duże zamieszanie w tym zakresie i rodzi ogromne obawy m.in. przedsiębiorców z UE i USA. Obawy te są w pełni uzasadnione. Od dnia publikacji wyroku Tarcza Prywatności nie może bowiem de facto stanowić podstawy prawnej do przekazywania danych osobowych do USA. Warto zauważyć, że na dzień wydania wyroku przez TSUE z Tarczy Prywatności korzystało niemal 5400 podmiotów, zarówno z sektora prywatnego, jak i publicznego (pełna lista podmiotów jest dostępna pod adresem https://www.privacyshield.gov/list).

Wyrok w tej sprawie stanowi kolejny punkt zwrotny w kontekście transferu danych osobowych do USA. Tarcza Prywatności od 2016 r. stanowiła kolejne narzędzie do realizowania tych operacji, po tym jak w 2015 r. TSUE zakwestionował tzw. Safe Harbour („Bezpieczna Przystań”), tj. przepisy, które legalizowały przekazywanie danych do USA przed przyjęciem Tarczy Prywatności. Orzeczenie TSUE wyjaśnia również wątpliwości w zakresie stosowania przez administratorów z UE tzw. standardowych klauzul umownych w zakresie ochrony danych osobowych.

Dociekliwy aktywista

Wyrok TSUE w tej sprawie jest poniekąd wynikiem długoletniej walki popularnego austriackiego aktywisty – Maximilliana Schrems’a, znanego z działalności na rzecz ochrony szeroko pojętego prawa do prywatności. Schrems w 2013 r. złożył do irlandzkiego organu nadzorczego (DPC) skargę, w której zakwestionował zasadności przekazywania przez spółkę Facebook Ireland danych osobowych do USA. W skardze wskazał on, że w momencie rejestracji do portalu społecznościowego Facebook każdy użytkownik z UE zmuszony jest do zawarcia umowy ze spółką Facebook Ireland. Jak powszechnie wiadomo spółka ta jest zależna od Facebook Inc., mającej siedzibę w USA. W wyniku rejestracji na portalu społecznościowym Facebook, dane osobowe użytkownika są więc automatycznie – w całości lub częściowo – przekazywane na serwery amerykańskiej spółki Facebook Inc. Zdaniem Schrems’a prawo i praktyka obowiązujące w USA nie zapewniały wystarczającej ochrony jego danych osobowych, w szczególności przed działaniami nadzorczymi amerykańskich władz publicznych.

Safe Harbour do kosza

Irlandzki regulator odrzucił skargę popularnego aktywisty. DPC wskazał w swoim rozstrzygnięciu, że skarga Schrems’a była niezasadna ze względu na fakt, że Komisja Europejska mocą decyzji z 26 lipca 2000 r. (2000/520) potwierdziła, że program Safe Harbour zapewnia odpowiedni stopień ochrony prywatności i danych osobowych. Schrems zaskarżył to rozstrzygnięcie. High Court (sąd irlandzki) – rozpatrując odwołanie aktywisty – nabrał wątpliwości co do zgodności rozwiązań przyjętych w ramach Safe Harbour z prawem UE i zwrócił się w tym zakresie do TSUE w trybie prejudycjalnym. TSUE w wyroku z 6 października 2015 r. (C-362/14 tzw. wyrok Schrems I) unieważnił decyzję Komisji Europejskiej z 2000 r. w sprawie Safe Harbour, co w praktyce przekreślało możliwość transferu danych osobowych z UE do USA na tej podstawie.

Sprawa ponownie trafia do TSUE

Po wydaniu przez TSUE tzw. wyroku Schrems I, sprawa aktywisty wróciła do DPC, do ponownego rozpatrzenia. W toku przeprowadzonego postępowania wyjaśniającego DPC ustalił, że znaczna część danych osobowych aktywisty została przekazana do Facebook Inc. na podstawie standardowych klauzul umownych, przyjętych w oparciu o decyzję Komisji Europejskiej (2010/87) z 5 lutego 2010 r. w sprawie standardowych klauzul umownych (SCC) dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich.

W ramach ponownego postępowania prowadzonego przez DPC Schrems podnosił, że prawo amerykańskie nakłada na Facebook Inc. obowiązek udostępnienia władzom amerykańskim (m.in. National Security Agency – NSA i Federal Bureau of Investigation – FBI) pozyskanych danych osobowych. W jego ocenie, decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych nie mogła uzasadniać przekazywania danych osobowych przez Facebook Ireland do USA, jako że dane te były wykorzystywane w ramach różnych – bliżej nieokreślonych – programów nadzoru w sposób niezgodny z art. 7, 8 i 47 Karty Praw Podstawowych UE (dalej jako Karta).

Po przeprowadzeniu postępowania wyjaśniającego, irlandzki regulator opublikował 24 maja 2016 r. projekt decyzji w sprawie, w którym wskazał, że istnieje prawdopodobieństwo, że dane osobowe obywateli UE przekazywane do USA mogą być udostępniane organom władz amerykańskich i dalej przetwarzane przez nie w sposób niezgodny z art. 7 i 8 Karty. DPC podkreślił w projekcie, że w prawo amerykańskie nie przewiduje dla obywateli z UE środków zaskarżania, które spełniałyby wymagania określone w art. 47 Karty. Standardowe klauzule umowne stosowane w oparciu o ww. decyzję Komisji Europejskiej – zdaniem DPC – przewidują co prawda określone uprawnienia dla obywateli z UE w odniesieniu do podmiotów przekazujących ich dane osobowe do USA, niemniej klauzule te nie są w żadnym razie wiążące dla władz amerykańskich.

W ocenie irlandzkiego organu nadzorczego, skarga Schrems’a sprowadzała się w istocie do oceny ważności decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych, dlatego też w maju 2016 r. zwrócił się on do High Court o wystąpienie do TSUE w tym zakresie w trybie prejudycjalnym.

Irlandzki sąd kierując tę sprawę do TSUE podkreślił, że w zakresie przetwarzania danych osobowych przez władze amerykańskie w ramach działalności wywiadowczej, obywatelom z UE przysługują wyłącznie gwarancje przewidziane w PPD-28 (amerykańskiej dyrektywie, której jednym z celów jest zapewnienie prywatności w zakresie działalności wywiadowczej). Sąd wskazał, że akt ten niestety ogranicza się jedynie do wskazania, że działalność ta powinna być „w jak największym stopniu dostosowana do indywidualnych potrzeb” (as tailored as feasible). Ponadto – w ocenie High Court – władze amerykańskie przetwarzają dane osobowe na masową skalę, nie zapewniając obywatelom z UE ochrony wynikającej z art.7 i 8 Karty. Ponadto, obywatele z UE nie mają zagwarantowanych sądowych środków prawnych. Sąd irlandzki podkreślił bowiem, że czwarta poprawka do konstytucji Stanów Zjednoczonych, będąca najważniejszym środkiem ochrony prawnej przed prowadzeniem niezgodnego z prawem nadzoru, nie dotyczy obywateli innych krajów. Dlatego też – zdaniem High Court – prawo amerykańskie nie zapewnia obywatelom z UE ochrony na równoważnym poziomie, wynikającym z przepisów Karty.

W ramach postępowania przed TSUE w tej sprawie, Facebook Ireland podnosił, że ustalenia Komisji Europejskiej dotyczące odpowiedniego stopnia ochrony zapewnionego przez państwa trzecie, takie jak zawarte w decyzji Komisji Europejskiej w sprawie Tarczy Prywatności, wiążą organy nadzorcze ds. ochrony danych osobowych, również w kontekście przekazywania danych osobowych do USA w oparciu o standardowe klauzule umowne, przyjęte w oparciu o decyzję Komisji Europejskiej w tym zakresie.

Postępowanie przed TSUE w tej sprawie miało kluczowe znaczenie m.in. w kontekście oceny świeżo wówczas przyjętej przez Komisję Europejską decyzji w sprawie Tarczy Prywatności, wydanej niewiele po unieważnieniu programu Safe Harbour. Wątpliwości DPC i irlandzkiego sądu zostały ostatecznie rozstrzygnięte 16 lipca br., wskutek wydania przez TSUE wyroku kończącego to postępowanie. Wyrok ten ponownie wprowadził duże zamieszanie w zakresie dopuszczalności transferu danych osobowych do USA.

Polecamy także:

Przekazywanie danych do państw trzecich ponownie pod znakiem zapytania

Wytyczne EROD w sprawie przesyłania danych do państw trzecich

Amerykańskie echa wyroku TSUE

Kosztowny finał postępowania przed Europejską Radą Ochrony Danych