Już po raz drugi austriacki prawnik Maximilian Schrems doprowadził do unieważnienia głównej podstawy prawnej pozwalającej na transfer danych do USA. W 2015 r. przekonał Trybunał Sprawiedliwości Unii Europejskiej do stwierdzenia nieważności programu „Safe Harbour” („Bezpieczna Przystań”). Dziś, w jego drugiej sprawie, TSUE zablokował „Privacy Shield” („Tarczę prywatności”), które zastąpiło „Safe Harbour”. Wszystko z powodu tego, że amerykańskie służby mają zbyt łatwy dostęp do danych Europejczyków.

Austriak podważa przed irlandzkimi sądami (to z tego kraju Facebook prowadzi działalność na Europę) podstawę do przesyłania danych do USA. Z informacji udostępnionych przed laty przez Edwarda Snowdena wynika bowiem, że amerykańska Agencja Bezpieczeństwa Narodowego w każdej chwili może mieć do nich dostęp. Co gorsza, odbywa się to bez jakiejkolwiek kontroli sądowej, a Europejczycy nie mają w zasadzie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Mimo tego, Komisja Europejska podjęła decyzję, że Stany Zjednoczone gwarantują bezpieczeństwo danych na poziomie równoważnym do RODO. To właśnie wspomniany program „Privacy Shield”, który jest główną podstawą prawną do transferu danych przez Facebook i tysiące innych firm. Teraz, po stwierdzeniu jego nieważności, będą one musiały znaleźć inny sposób na legalizację tego przesyłu. Jest to możliwe choćby w oparciu o tzw. standardowe klauzule umowne. Ich ważność nie została na tę chwilę podważona. Z drugiej jednak strony irlandzki sąd za jakiś czas może orzec, że one również nie gwarantują wystarczającej ochrony. Z tych samych powodów, które skłoniły TSUE do stwierdzenia nieważności „Privacy Shield”.

Jakie to powody? Sam fakt, że amerykańskie służby mają dostęp do danych osobowych Europejczyków nie jest niczym złym. Problem w tym, że zasady, na jakich mogą po nie sięgać nie są uregulowane w sposób odpowiadający wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost – nie ma żadnej gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to rzeczywiście konieczne i uzasadnione choćby względami bezpieczeństwa. Na dodatek inwigilowane osoby nie mają w zasadzie żadnej możliwości sprzeciwu i odwołania się do niezależnego organu czy sądu. Przewidziany w „Privacy Shield” mechanizm mediacji nie daje takich gwarancji.

Schrems próbował również podważyć inną podstawę prawną transferu danych czyli wspomniane standardowe klauzule umowne. To pakiet klauzul określonych w decyzji Komisji Europejskiej 2010/87/UE. Przyjmuje się, że jeśli zostaną one wpisane do umowy między firmą z UE i spoza UE (w tym przypadku między irlandzką spółką Facebooka, a jej amerykańską spółką-matką), to zagwarantowana jest ochrona równa tej, jaką daje RODO. Trybunał orzekł, że standardowe klauzule mogą gwarantować wystarczającą ochronę. Każdorazowo trzeba jednak badać czy tak jest w istocie. Ocena tego będzie należała do irlandzkiego organu ochrony danych i tamtejszych sądów.

Co w praktyce oznacza ten wyrok? Przestała istnieć główna podstawa prawna do przesyłania danych z UE, czyli „Privacy Shield”. Pozostała inna podstawa, czyli standardowe klauzule umowne. Ta jednak może zostać podważona przez irlandzkimi sądami dokładnie z tych samych powód, jakie skłoniły TSUE do stwierdzenia nieważności „Tarczy prywatności”. A wówczas firmy transferujące dane do USA będą miały poważny kłopot. Teoretycznie możliwe jest oparcie tego przesyłu na innych podstawach prawnych, ale będzie to wymagać wiele zachodu.

Nie oznacza to, że Facebooka czy inne serwisy internetowe przestaną być dostępne dla Europejczyków. Wystarczy, że przestaną one przesyłać dane do USA, co przecież nie jest konieczne, bo równie dobrze mogą być one przetwarzane na terenie UE.