Przed Trybunałem Sprawiedliwości Unii Europejskiej odbyła się rozprawa, której wyrok może całkowicie zmienić funkcjonowanie w UE amerykańskich gigantów, takich jak Facebook czy Google (C-362/14). Chociaż pytanie prejudycjalne formalnie dotyczy kompetencji organów ochrony danych osobowych, to w rzeczywistości sędziowie będą decydować o tym, czy dopuszczalne jest przesyłanie informacji o europejskich użytkownikach do USA.

– Orzeczenie będzie miało ogromne znaczenie dla zasad przesyłu danych osobowych do Stanów Zjednoczonych, który to transfer w usługach internetowych ma miejsce niezwykle często. Dotychczas niemal automatyczne przyjmowano, że podmioty amerykańskie, które przystąpiły do programu „Safe Harbour” („Bezpieczna przystań”), zapewniają odpowiedni poziom ochrony danych osobowych w stosunku do obowiązującego w UE – tłumaczy dr Grzegorz Sibiga, kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.

Przeciwko takiemu podejściu zaprotestował jednak użytkownik Facebooka, student z Austrii – Max Schrems. Jego zaniepokojenie wzbudziły informacje, jakie obiegły światowe media po ujawnieniu przez Edwarda Snowdena afery PRISM. Uznał on, że skoro amerykańskie służby masowo i w zasadzie bez jakiejkolwiek kontroli inwigilują internautów z UE, to trudno mówić, by tamtejsze przepisy odpowiednio chroniły dane osobowe. A w tej sytuacji transfer danych do USA nie powinien być dopuszczalny. Stosowną skargę złożył do rzecznika ochrony danych osobowych w Irlandii, bo to w tym właśnie kraju swoją siedzibę ma oddział Facebooka na UE.

– Irlandzki organ do spraw ochrony danych osobowych odmówił rozstrzygnięcia tej skargi, twierdząc, że nie ma kompetencji do kwestionowania decyzji Komisji Europejskiej, która potwierdziła adekwatność ochrony w USA. W konsekwencji Max Schrems wniósł sprawę do irlandzkiego sądu, który zwrócił się do TSUE z pytaniem prejudycjalnym – relacjonuje przebieg sporu Xawery Konarski, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy.

– Istotą sporu jest kwestia proceduralna: czy krajowe organy do spraw ochrony danych osobowych mogą podważać adekwatność przepisów stwierdzoną przez Komisję Europejską. W tle sprawy pojawia się jednak dużo istotniejsze pytanie: czy ochrona danych osobowych w USA jest rzeczywiście adekwatna w rozumieniu przepisów europejskich – dodaje.

Bezpieczna przystań

Aby zrozumieć, o co chodzi w sporze, należy się cofnąć do 2000 r. Wówczas to Komisja Europejska zatwierdziła wspomniany już program „Safe Harbour”. Bez niego niemożliwy byłby transfer danych osobowych do USA, czyli podstawa działalności serwisów, takich jak Google, Facebook czy Twitter. Program „Bezpieczna przystań” zakłada, że dane osobowe w USA są chronione w sposób odpowiedni do tego, co narzucają europejskie przepisy. Firmy amerykańskie, które przystępują do programu, nie muszą więc występować o żadne dodatkowe zgody na transfer danych do USA.

Zdaniem Maxa Schremsa przesyłanie jego danych oznacza jednak złamanie Karty praw podstawowych UE. Narusza bowiem jego prywatność, gdyż amerykańskie służby mogą mieć do nich swobodny dostęp, on sam zaś nie ma nad tym żadnej kontroli. Sąd w Irlandii, który skierował pytanie do TSUE, przyznał, że można mieć co najmniej wątpliwości, czy w tej sytuacji USA powinny być traktowane jak kraj zapewniający adekwatną do unijnych wymogów ochronę danych.

Po tym jak irlandzki organ odmówił zajęcia się sprawą, Austriak ogłosił zbiórkę publiczną na platformie crowdfundingowej. Zebrał 60 tys. euro od ok. 2 tys. osób. Środki te pozwoliły mu na wynajęcie profesjonalnych prawników, którzy reprezentują go przed trybunałem. Ale na wtorkowej rozprawie po jego stronie opowiedziały się także Parlament Europejski, Belgia czy Austria. Przeciwny był natomiast przedstawiciel irlandzkiego organu ochrony danych osobowych Paul Anthony McDermott. Ironizował, że Max Schrems raczej nie ucierpiał, biorąc pod uwagę, że amerykańskie służby nie są zainteresowane esejami studentów prawa w Austrii. Komentatorzy podkreślają jednak, że to właśnie w Irlandii mieszczą się europejskie siedziby amerykańskich potentatów, takich jak Google, Facebook, Apple czy Microsoft, przyciągniętych m.in. preferencyjnymi podatkami.

Ważny wyrok

Kolejny krok w procedurze przed TSUE to wydanie opinii przez rzecznika generalnego trybunału. Ma ona być gotowa 24 czerwca. Dopiero po niej zapadnie wyrok, w którym sprawę rozstrzygnie trybunał. Jakie mogą być jego konsekwencje? Najdalej idącą byłoby zakwestionowanie programu „Safe Harbour”.

– Od dawna twierdzimy, że powinien on zostać wyrzucony do kosza. Po ujawnieniu przez Edwarda Snowdena programów masowej inwigilacji, które obejmowały wiodące amerykańskie firmy internetowe, dla wszystkich stało się oczywiste, że informacje o Europejczykach przekazywane amerykańskim podmiotom w celach komercyjnych trafiają również w ręce tamtejszych służb, dla których my wszyscy mamy status podejrzanych – mówi Katarzyna Szymielewicz z Fundacji Panoptykon.

– Nie chodzi zresztą tylko o nadużycia, które ujawnił Snowden. Trzeba sobie zadać podstawowe pytanie: dlaczego pod względem dopuszczalności przekazywania danych osobowych Unia Europejska ma traktować Stany Zjednoczone inaczej niż wszystkie pozostałe kraje świata, w tym te, które gwarantują wyższe od amerykańskich standardy ochrony prywatności – dodaje.

Jeśli „Safe Harbour” zostanie zakwestionowany, to amerykańskie firmy będą musiały szukać innych podstaw do transferu danych do USA.

– Stworzy to dla skarżących szerszą podstawę do kwestionowania rzeczywistej ochrony ich danych osobowych w Stanach Zjednoczonych, a od organów ochrony danych w państwach Unii będzie wymagało wyjaśniania okoliczności każdego transferu. Z drugiej strony dla przedsiębiorców transferujących dane oznaczać to będzie ograniczenie pewności obrotu, wynikającej z obecnego mechanizmu „Bezpiecznej przystani” – tłumaczy dr Grzegorz Sibiga.

Xawery Konarski uważa jednak, że trybunał nie wypowie się w sprawie samego „Safe Harbour”.

– Moim zdaniem nie będzie mógł rozstrzygnąć tej kwestii w odpowiedzi na pytanie prejudycjalne. Dopiero w przyszłości ewentualnie zdecyduje o tym irlandzki organ ds. ochrony danych osobowych – przewiduje adwokat.

Ciekawy moment

Wyroku można się spodziewać nie wcześniej niż latem. Zapadnie on więc w momencie, gdy Rada UE powinna kończyć prace nad nowym, określanym jako rewolucyjne, rozporządzeniem w sprawie ochrony danych. Zgodnie z projektem amerykańskie firmy, chcąc działać na terenie UE, będą musiały przestrzegać unijnych regulacji. Rozporządzenie ma też określić zasady przesyłania danych poza UE.

– Ten wyrok może w istotny sposób wpłynąć na nowe rozporządzenie europejskie w sprawie ochrony danych. Może się bowiem okazać, że trybunał podda krytyce całość systemu przekazywania danych do takich krajów, jak Stany Zjednoczone, a to spowodowałoby konieczność ponownego przemyślenia wszystkich przepisów o ponadkrajowych systemach przetwarzania danych osobowych – ocenia dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych.

Sprawa Maxa Schremsa zbiega się też z negocjacjami dotyczącymi TTIP (Transatlantyckiego Porozumienia Handlowo-Inwestycyjnego).

– Teoretycznie wejście w życie nowego rozporządzenia powinno się wiązać z zakończeniem programu „Safe Harbour” i koniecznością wynegocjowania przez Komisję Europejską nowego porozumienia z USA, przewidującego wyższe niż dotychczas standardy ochrony prywatności. Problem polega na tym, że równolegle toczą się poufne negocjacje TTIP, które mogą amerykańskim firmom jeszcze szerzej otworzyć dostęp do danych o Europejczykach i na długo zagwarantować swobodny przepływ danych osobowych między kontynentami – ostrzega Katarzyna Szymielewicz.