W 2015 r. Austriak Maximilian Schrems doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. Trybunał Sprawiedliwości Unii Europejskiej uznał, że amerykańskie służby mają zbyt łatwy dostęp do informacji przechowywanych przez tamtejsze firmy, w tym serwisy takie jak Facebook. Kolejna sprawa zainicjowana przez Schremsa może mieć dużo dalej idące konsekwencje. Podważa on bowiem nie tylko porozumienie „Privacy Shield” (tarcza prywatności), które zastąpiło „Safe Harbour”, lecz także standardowe klauzule umowne. Te ostatnie stanowią zaś podstawę transferu danych do większości państw na świecie. W najbliższy czwartek opinię w tej sprawie wyda rzecznik generalny TSUE.

Początek dał Snowden

Zarzuty stawiane przez Schremsa są w zasadzie takie same jak w pierwszej sprawie – amerykańskie służby mają zbyt łatwy dostęp do danych Europejczyków. Nowe porozumienie „Privacy Shield” jego zdaniem nic nie zmieniło. Nadal aktualne pozostaje to, co ujawnił Edward Snowden.

– W tej sprawie chodzi o wyciągnięcie realnych wniosków z informacji ujawnionych już przez Snowdena, z których wynikało, że takie firmy jak Facebook domyślnie dzielą się wszystkimi danymi z amerykańskimi służbami. Moim zdaniem Schrems ma rację, podnosząc, że dane europejskich użytkowników Facebooka nie są należycie chronione w USA – uważa Wojciech Klicki z Fundacji Panoptykon zajmującej się ochroną prywatności.

W tej sprawie gra toczy się jednak o dużo wyższą stawkę. Pytania zadane TSUE przez irlandzki sąd, przed którym toczy się sprawa Schrems kontra Facebook, dotyczą bowiem zarówno „Privacy Shield”, jak i standardowych klauzul umownych. Te ostatnie są zaś najczęściej wykorzystywaną podstawą do przesyłania danych poza Europejski Obszar Gospodarczy (EOG).

– Standardowe klauzule umowne to po prostu wzór, według którego zawiera się umowy związane z przekazaniem danych osobowych do krajów trzecich. Ich popularność wzrosła znacznie po wyroku w pierwszej sprawie Schremsa, kiedy zaczęły być używane do transferów danych do USA, w miejsce umowy „Safe Harbour” – tłumaczy dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. – Trzeba jednak pamiętać, że standardowe klauzule obejmują cały świat – transfery danych do Chin, Indii, Wietnamu odbywają się głównie na ich podstawie. Wynika to z dużej łatwości użycia klauzul – po prostu zawiera się umowę w brzmieniu określonym w decyzji Komisji Europejskiej 2010/87/UE – dodaje ekspert.

Zarzut wobec decyzji KE opiera się na prostym fakcie, że standardowe klauzule umowne są wiążące jedynie dla strony umowy. W żaden sposób nie krępują natomiast amerykańskich służb. Co z tego, że Facebook zapewni należytą ochronę, skoro na żądanie odpowiednich organów będzie musiał przekazać wszystkie posiadane informacje?

– Pomimo że wyrok będzie dotyczył zgodności z nieobowiązującą już dyrektywą 95/46/WE, to pośrednio również można go będzie odnieść do standardowych klauzul ochrony danych przyjętych w RODO. Ze swojej istoty standardowe klauzule są wiążące jedynie dla stron umowy, czyli dla eksportera i importera danych osobowych, ale nie dla organów władz publicznych w państwie trzecim. Organy te, choćby dla celów bezpieczeństwa, mogą zażądać udostępnienia danych od ich importera z państwa trzeciego – zauważa dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.

Bezprecedensowe skutki

Przedstawiciele Facebooka podczas lipcowej rozprawy przed TSUE ostrzegali, że podważenie standardowych klauzul umownych wstrząsnęłoby wymianą gospodarczą między UE a USA. Jego prawnik Paul Gallagher szacował, że import usług spadłby od 16 do 24 proc.

– Skutki orzeczenia TSUE w tej sprawie mogą być bezprecedensowe i dotknąć przepływu danych osobowych na całym świecie. Gdyby się okazało, że klauzule przestaną obowiązywać, każdy przedsiębiorca musiałby sprawdzić, czy nie transferuje danych na podstawie tych klauzul. A są one często wykorzystywane przez wiele serwisów – przykładowo usługi Google, takie jak G Suite i Google Cloud Platform, wykorzystują właśnie standardowe klauzule do przekazywania danych. Podobnie usługi świadczone przez Microsoft, na czele z Office365 – podkreśla dr Paweł Litwiński.

Zdaniem Wojciecha Klickiego nic nie stoi na przeszkodzie, aby firmy świadczące swe usługi w państwach UE przetwarzały dane na jej terytorium.

– Nie ma problemu z przekazywaniem do USA danych niezbędnych do świadczenia usługi lub tych, które nie są objęte amerykańskimi przepisami pozwalające na szerokie działanie amerykańskiej Agencji Bezpieczeństwa Narodowego. Natomiast powstrzymany powinien być outsourcing danych, które równie dobrze mogą być przetwarzane na terenie UE lub innego państwa zapewniającego odpowiedni standard ochrony danych – zauważa ekspert Fundacji Panoptykon.

Innym rozwiązaniem byłoby oparcie transferu danych na innej podstawie prawnej (patrz: grafika). Tyle że zarzuty dotyczące standardowych klauzul umownych można odnieść także do części z nich.

– Warunki legalizujące transfer do państw trzecich określono w rozdziale 5 RODO. Jednak instrumenty takie jak reguły korporacyjne oraz kodeksy postępowania również wiążą tylko stosujące je strony (eksporterów i importerów danych), a nie władze państwa trzeciego. Wyrok otworzyłby więc furtkę do kwestionowania również ich, z powołaniem się na ten sam argument – zauważa dr Grzegorz Sibiga.

W przypadku podważenia standardowych klauzul umownych niewykluczone jest też rzucenie kół ratunkowych przez organy ochrony danych z poszczególnych państw członkowskich. Przepisy nie przewidują takiego rozwiązania, ale ta nieformalna metoda była już raz zastosowana. – Po wyroku w pierwszej sprawie Schremsa organy nadzorcze dały nieformalny okres przejściowy, oświadczając, że nie będą karać za transfery danych do USA na podstawie umowy „Safe Harbour”, której nieważność stwierdził TSUE. Sęk w tym, że w dzisiejszym świecie nie da się wyeliminować międzynarodowych transferów danych, jest to zwyczajnie niemożliwe ze względu na stopień globalizacji, jaki osiągnęliśmy. W razie więc wyroku TSUE niekorzystnego dla klauzul obstawiałbym powtórkę tego scenariusza – wprowadzenie nieformalnego okresu przejściowego i szybkie wejście nowego rozwiązania, pozwalającego zastąpić klauzule – przewiduje dr Paweł Litwiński.

Rząd USA uczestnikiem

Według Facebooka obecnie sytuacja jest zupełnie inna niż ta, którą oceniał TSUE w pierwszej sprawie. Po wyroku unieważniającym „Safe Harbour” i wypracowaniu nowych zasad między Komisją Europejską i rządem amerykańskim standard ochrony danych mocno się poprawił. Nie ma dowodów potwierdzających, by transfery Facebooka były narażone na szczególne ryzyko. Same dane są zaś szyfrowane w „standardzie wojskowym”.

Niecodziennym wydarzeniem był udział w lipcowej rozprawie przedstawicieli rządu USA. Jest on jednym z licznych interwenientów ubocznych w tej sprawie. Reprezentująca go prawniczka Eileen Barrington przekonywała, że system dostępu do danych przez amerykańskie służby został źle scharakteryzowany. Jej zdaniem nieprawdą jest, by miały one nieskrępowany dostęp do danych osobowych przetwarzanych przez amerykańskie firmy.

Sprawa Schrems kontra Facebook toczy się w Irlandii, gdzie ma siedzibę europejska spółka tego największego serwisu społecznościowego. Austriak najpierw domagał się zablokowania transferu danych przez tamtejszy organ ochrony danych osobowych, ale nic nie wskórał.

– I to jest dodatkowy, ważny kontekst tej sprawy. Trwa ona już sześć lat, co wynika w dużym stopniu z małej „decyzyjności” irlandzkiego organu ochrony danych. To ogromny problem, bo ta instytucja jest kluczowa dla przestrzegania RODO przez amerykańskie korporacje, czego przykładem jest też skarga, którą niemal rok temu złożył Panoptykon na przetwarzanie danych w systemie reklamy behawioralnej na Google. Trafiła ona do Irlandii i wciąż czekamy na decyzję – zwraca uwagę Wojciech Klicki.

Po odmowie ze strony irlandzkiego organu Schrems poszedł do sądu. I to właśnie on zdecydował się na zadanie łącznie aż 11 pytań dotyczących transferu danych przez Atlantyk. Opinia rzecznika ma zostać wydana w ten czwartek, ale wyrok zapadnie dopiero w 2020 r.