Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Facebooka podważył system Safe Harbour - podstawę, na jakiej ten gigant przekazywał dane osobowe Europejczyków za Atlantyk (C-362/14). Pod koniec ubiegłego tygodnia grupa robocza art. 29 spotkała się, by omówić skutki wyroku. Do jakich wniosków doszła?

Rzecznicy ochrony danych uczestniczący w pracach grupy roboczej uznają rozstrzygnięcie za wyjątkowo istotne, ważniejsze nawet niż orzeczenia TSUE z 2014 r. w sprawach dyrektywy retencyjnej (Digital Rights Ireland) czy tzw. prawa do bycia zapomnianym (Google Spain). Wskazują, że tworząc jakiekolwiek narzędzie prawne umożliwiające transfer danych osobowych poza Unię Europejską (takie jak Safe Harbour, decyzja o adekwatności ochrony w danym kraju, standardowe klauzule umowne, wiążące reguły korporacyjne itp.) należy całościowo oceniać adekwatność ochrony danych w miejscach, gdzie dane te będą przetwarzane. Co więcej, należy czynić to nie tylko przed stworzeniem takiego narzędzia, ale i w trakcie jego działania. Wszystkie organy uczestniczące w tworzeniu tego typu narzędzi, w tym i sami rzecznicy ochrony danych, powinny brać stale pod uwagę test zaproponowany przez trybunał.

Jednocześnie bardzo istotnym elementem rozważań rzeczników ochrony danych jest zachowanie jednolitej interpretacji skutków orzeczenia w całej Europie. Paradoksem jest to, że trybunał w orzeczeniu bardzo wyraźnie podkreślił niezależny status każdego z organów ochrony danych. To oczywiście słuszna konstatacja, ale chyba nikt nie jest zainteresowany tym, by estońskie podejście do sprawy różniło się od hiszpańskiego, a brytyjskie od tego przyjmowanego w Szlezwiku-Holsztynie.

Ponad pięć tysięcy firm przesyłało dane w oparciu o Safe Harbour. Co teraz mają zrobić?

Ponad pięć tysięcy podmiotów przyjmowało w Stanach Zjednoczonych dane w oparciu o ten program. Ale podmiotów je wysyłających było znacznie więcej. Teraz muszą ocenić, z jakiej podstawy powinny korzystać w przyszłości w miejsce Safe Harbour. Stany Zjednoczone nie są uznawane przez Europę za kraj o adekwatnej ochronie danych osobowych, choć w niektórych sektorach życia (np. w stosunku do danych medycznych) system amerykański bywa ostrzejszy niż europejski. Przekazywanie danych do Stanów Zjednoczonych następowało dotąd nie tylko w oparciu o zakwestionowaną decyzję o Safe Harbour, ale również z wykorzystaniem standardowych klauzul umownych, wiążących reguł korporacyjnych czy też indywidualnych decyzji europejskich organów ochrony danych. Trybunał nie unieważnił tych narzędzi. Jednak pośrednio nakazał ocenę ich działania.

Grupa dopuściła alternatywne podstawy do przesyłania danych. Jednak każda z nich tak naprawdę oznacza, że trzeba spełnić wymogi wynikające z dyrektywy. Tymczasem z wyroku TSUE wynika wprost, że w USA, przynajmniej w tym momencie, nie mogą one być spełnione.

Prosiłbym o ocenianie jedynie tego, co znajduje się w orzeczeniu. TSUE nie wydał formalnej decyzji o pozostałych narzędziach. Ani standardowe klauzule umowne, ani wiążące reguły korporacyjne, ani w końcu indywidualne decyzje nie były bowiem przedmiotem pytania irlandzkiego sądu. Poza tym w przypadku tych narzędzi możliwość ich analizy i ewentualnego zawieszania przez organy ochrony danych nie była nigdy kwestionowana. Trybunał dał więc organom ochrony danych test, jak radzić sobie z meritum kwestii inwigilacji, ale same decyzje pozostawił tymże organom i – w jakiś pośredni sposób – wezwał je do działania.

Czy w tej chwili, jest możliwość, by firmy transferowały dane do USA, jednocześnie zapewniając, że dane te będą podlegały ochronie przewidzianej w dyrektywie?

Nie lubię pytań o „zawsze”, „nigdy” i „jakąkolwiek”. Są sytuacje gdy nie tylko mogą, ale i muszą. Niedawno dyskutowaliśmy w wielu krajach UE, w tym w Polsce, o przekazywaniu danych bankowych na podstawie amerykańskiej ustawy FATCA i odpowiedniej umowy międzynarodowej. Nie chciałbym oceniać decyzji organów ochrony danych, zanim te decyzje zapadną. Jestem jednak pewien, że – niezależnie od tego, jakie to będą decyzje – kolejne organy ochrony danych będą musiały ich bronić w sądach, w sprawach kierowanych tak przez firmy, jak przez kolejne osoby sprzeciwiające się transferowi swych danych.

W komunikacie po spotkaniu grupy roboczej pojawiła się data graniczna – styczeń 2016 r. Co się stanie, jeśli do tej daty nie zacznie obowiązywać nowe – respektujące prawa UE – porozumienie z USA?

Trybunał nie dał stronom czasu na przemyślenie tego zagadnienia. Uznał – jak sądzę – że w przypadku naruszenia praw podstawowych nie wolno wyznaczać żadnego okresu przejściowego. Jednocześnie rzecznicy uznali, że zachowanie wspólnego, skoordynowanego podejścia w całej Europie wymaga dokładniejszej oceny możliwości decyzyjnych wszystkich rzeczników. Pamiętajmy, że orzeczenie TSUE musi stać się w pierwszym rzędzie podstawą orzeczenia w Irlandii. Oczekujemy go w listopadzie. Nie byłoby chyba dobrze, by teraz rzecznicy zaczęli konkurować, kto wyprzedzi w działaniach rzecznika irlandzkiego. Równie istotne jest to, że Komisja Europejska na najbliższe tygodnie zapowiedziała dalsze rozmowy z władzami amerykańskimi o następcy porozumienia Safe Harbour. Wszystko to daje nadzieję, że czas do końca roku powinien zostać wykorzystany na przemyślenie reakcji i uniknięcie zapowiedzi końca świata, które od czasu do czasu padają ze strony osób broniących prywatności, jak również ze str0ny biznesu.