Jeśli Trybunał Sprawiedliwości Unii Europejskiej podtrzyma opinię wydaną wczoraj przez rzecznika generalnego Yves’a Bota, to amerykańscy giganci jak Facebook, Google, Apple czy Twitter będą mieć poważny problem. Dokument podważa bowiem podstawę ich działalności, a więc prawo do przesyłania danych o użytkownikach na serwery zlokalizowane w USA.

Podstawę prawną do takiego transferu dawała dotychczas decyzja Komisji Europejskiej z 2010 r., która uznawała, że USA zapewniają wystarczającą ochronę danym osobowym w ramach programu „Safe Harbour” („Bezpieczna przystań”).

– Zdaniem rzecznika decyzja ta jest nieważna ze względu na brak wystarczających gwarancji i naruszenie zasady proporcjonalności. Tym samym transfery danych między europejskimi i amerykańskimi podmiotami – tak, jak są dziś realizowane – są po prostu niezgodne z prawem europejskim i powinny zostać zamrożone – komentuje Katarzyna Szymielewicz z Fundacji Panoptykon.

Nie oznacza to jeszcze, że Facebook czy Google muszą zawiesić działalność w Unii Europejskiej. Nie można jednak wykluczyć, że czeka je zmiana modelu działalności tak, by nie transferować danych za Atlantyk. Zdaniem Yves’a Bota Komisja Europejska powinna bowiem zawiesić stosowanie decyzji o „Bezpiecznej przystani”, czego zresztą od dawna domaga się Parlament Europejski. I nie ma tu znaczenia, że KE jest w trakcie negocjacji z USA.

– Stanowisko rzecznika potraktować należy jako wyraźne wskazanie dla organów unijnych, negocjujących ze Stanami Zjednoczonymi nowy kształt umowy, której rezultatem jest decyzja o bezpiecznej przystani, że możliwość podejmowania takich porozumień budzi wątpliwości – ocenia dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych.

Dawid z Goliatem

Początek tej sprawie dał Edward Snowden i ujawniona przez niego afera PRISM. Gdy okazało się, że amerykańskie służby mają praktycznie nieograniczony dostęp do informacji przesyłanych przez internautów, austriacki student prawa Maximillian Schrems zażądał od Facebooka, by przestał transferować jego dane do USA. Po odmowie złożył stosowną skargę do rzecznika ochrony danych osobowych w Irlandii, bo to w tym kraju siedzibę ma oddział Facebooka na UE. Rzecznik oddalił jednak skargę uznając, że nie ma podstaw do zakazania serwisowi transferu danych. Odbywa się on bowiem na podstawie decyzji o „Bezpiecznej przystani”, której organ ochrony danych nie ma prawa podważać. Sprawa trafiła do irlandzkiego sądu, a ten postanowił zadać pytanie prejudycjalne TSUE.

Na tym etapie o walce rozpoczętej przez młodego Austriaka zrobiło się już głośno w internecie. Ogłosił on zbiórkę na platformie crowdfundingowej, dzięki której zebrał 60 tys. euro od ok. 2 tys. osób. To pozwoliło mu na wynajęcie profesjonalnych prawników, którzy reprezentowali go przed trybunałem. Ale po jego stronie opowiedziały się też Parlament Europejski, Belgia i Austria. Przeciwny był natomiast przedstawiciel irlandzkiego organu ochrony danych osobowych Paul Anthony McDermott. Na rozprawie ironizował, że Max Schrems raczej nie ucierpiał, biorąc pod uwagę, że amerykańskie służby nie są zainteresowane esejami studentów prawa w Austrii.

Ten rodzaj poczucia humoru nie przekonał jednak rzecznika generalnego. Jego zdaniem decyzja KE o „Bezpiecznej przystani” powinna zostać uznana za nieważną. „Dostęp, jaki przysługuje amerykańskim służbom specjalnym do przekazywanych danych, stanowi ingerencję w prawo do poszanowania życia prywatnego i w prawo do ochrony danych osobowych, które są zagwarantowane w Karcie Praw Podstawowych UE” – napisał w swej opinii.

– Opinia rzecznika generalnego kwestionuje działanie programu „Bezpiecznej przystani”. Już tylko z tego powodu jest daleko idąca – zauważa Witold Chomiczewski, radca prawny w kancelarii Lubasz i Wspólnicy.

To jeszcze nie koniec

Jakie ostatecznie mogą być skutki środowego stanowiska Yves’a Bota? Dr Wiewiórowski studzi emocje: na razie mamy do czynienia z opinią rzecznika generalnego, nie z orzeczeniem trybunału. Sędziowie nie muszą koniecznie podzielić tych sugestii i argumentacji Bota.

– Co więcej, jest to sprawa dotycząca pytania prejudycjalnego, więc opinia o nieważności środka prawnego, jakim jest decyzja komisji o „Bezpiecznej przystani”, nie musi odnosić się do jego pozycji w całym systemie prawa unijnego, lecz może skupiać się na okolicznościach konkretnej sprawy – dodaje dr Wiewiórowski.

Przypomina jednak również, że TSUE już w 2014 r. w orzeczeniu w sprawie Digital Rights Ireland pokazał, że – gdy jest odpowiednio zdeterminowany – nie waha się unieważnić aktu prawnego jako całości.

– I to de facto z mocą wsteczną nawet wtedy, gdy ma do czynienia jedynie z pytaniem prejudycjalnym (nota bene również od irlandzkiego sądu) – podkreśla nasz rozmówca.

Unieważnienie decyzji KE byłoby posunięciem najdalej idącym. Oznaczałoby, że transfer danych do USA stracił dotychczasową podstawę prawną. Nie musi to jednak oznaczać końca działalności amerykańskich serwisów.

– W razie unieważnienia „Safe Harbour”, do czasu wydania nowej decyzji przez KE, Facebook może oprzeć transfer na innych podstawach prawnych: standardowych klauzulach umownych lub wiążących regułach korporacyjnych – ocenia Michał Bienias, prawnik z kancelarii Traple Konarski Podrecki i Wspólnicy.

Standardowe klauzule umowne są zatwierdzane przez KE, a wiążące reguły korporacyjne przez krajowe organy ochrony danych osobowych. W najgorszym razie amerykańskie serwisy czeka jednak zmiana modelu działania.

– Już teraz firmy technologiczne ze Stanów Zjednoczonych coraz częściej rozważają regionalizację świadczenia usług, czyli budowę centrów danych w Unii Europejskiej i przyznanie europejskim spółkom roli usługodawców. W ostatnim rocznym sprawozdaniu pisał o tym chociażby Twitter. Przy takim podejściu dane osobowe użytkowników nie będą opuszczały Europejskiego Obszaru Gospodarczego – zauważa Michał Bienias.

Ochrona to nie formalność

Jedno jest pewne: jeśli TSUE podzieli opinię rzecznika generalnego, to irlandzki rzecznik ochrony danych osobowych będzie musiał wydać rozstrzygnięcie w sprawie transferu danych przez Facebooka. Yves Bot uznał bowiem, że decyzja KE, nawet ważna, w żaden sposób nie odbiera organom państw członkowskich prawa do wydania decyzji o zawieszeniu przekazywania danych do USA.

– Dyrektywa 95/46/WE nakłada na państwa członkowskie obowiązek zapewnienia, że przekazywanie do kraju trzeciego danych osobowych może nastąpić tylko wówczas, gdy ten kraj zapewni odpowiedni stopień ochrony – mówi dr Arwid Mednis, radca prawny w kancelarii Wierzbowski Eversheds i wykładowca Wydziału Prawa i Administracji UW.

– Komisja może wydać decyzję pozytywnie oceniającą ów stopień ochrony. Choć jest ona wiążąca, to nie może jednak prowadzić do zniweczenia głównego celu, jakim jest skuteczna ochrona danych i pozbawiać możliwości oceny krajowe organy kontrolne – zaznacza.

Irlandzki organ będzie więc musiał sprawdzić, czy prawa wynikające z dyrektywy 95/46/WE i Karty Praw Podstawowych UE są przestrzegane w USA.

– Pokazuje to, że przy przekazywaniu danych osobowych do państwa trzeciego nie można traktować ich ochrony jedynie w kategoriach formalnych. Tak bowiem należy oceniać opieranie się jedynie na decyzji Komisji Europejskiej, bez dalszej analizy, czy w konkretnym przypadku decyzja ta gwarantuje, że dane trafią do państwa zapewniającego odpowiedni stopień ochrony danych osobowych – podkreśla Witold Chomiczewski.

Dla Katarzyny Szymielewicz z Panoptykonu najważniejsze jednak mogą być polityczne skutki opinii rzecznika.

– Jeśli trybunał zgodzi się z jego rozumowaniem, radykalnie zmieni to punkt wyjścia do negocjacji nowych standardów ochrony danych ze Stanami Zjednoczonymi – zauważa.

Jak mówi, zmianę podejścia już zresztą widać w negocjacjach umowy parasolowej, regulującej ochronę danych w kontekście zwalczania przestępczości i współpracy policyjnej.

– Jeszcze dalej idąca zmiana jest jednak potrzebna w sektorze komercyjnym, gdzie transfery danych to codzienność, a ich przełożenie na nasze prawa w sieci – bezpośrednie i odczuwalne na każdym kroku. Jeśli Amerykanie będą musieli zaakceptować europejskie standardy ochrony danych, przełoży się to na codzienne doświadczenie każdego użytkownika usług internetowych: od tego, jak wyglądają regulaminy serwisów i ich interfejsy, po to, gdzie dane są fizycznie przechowywane i komu udostępniane – podsumowuje Szymielewicz.