Austriacki prawnik Max Schrems, który od lat próbuje zablokować przekazywanie informacji o Europejczykach do Stanów Zjednoczonych, nie składa broni. Założona przez niego organizacja NOYB (jej nazwa nawiązuje do skrótu angielskiego powiedzenia „nie twój interes”) właśnie zarzuciła 101 firmom z całej UE bezprawny transfer danych za Atlantyk. Za cel wybrała sobie czołowe spółki z różnych dziedzin, m.in. MTV, Ikeę, Leroy Merlin, Sephorę czy Tele2. W tym gronie jest też pięć polskich firm: TVN, TVP, Interia, Onet-RASP i PKO BP.

W skargach skierowanych do prezesa Urzędu Ochrony Danych Osobowych (i jego odpowiedników w innych krajach) pojawia się zarzut przesyłania naszych danych firmom Google i Facebook, które przetwarzają je w USA. Tam zaś nieskrępowany dostęp mają do nich amerykańskie służby. To fundament skarg Schremsa – ujawniona przez Edwarda Snowdena totalna inwigilacja Europejczyków przez amerykańską Agencję Bezpieczeństwa Narodowego.

W skargach skierowanych przeciwko 101 firmom chodzi o zarządzane przez nie strony internetowe, np. polskie Player.pl, Jakdojade.pl czy Pkobp.pl. Na każdej z nich znajduje się kod Google czy Facebooka, służący chociażby do analizy ruchu na stronie. Problem w tym, że wiąże się to z transferem adresu IP czy danych z plików cookie do Stanów Zjednoczonych, co – zdaniem NOYB – nie ma podstaw prawnych.

Wcześniej podstawę prawną takich działań stanowiły specjalne programy współpracy unijno-amerykańskiej: „Safe Harbour” (Bezpieczna Przystań) i jego następca „Privacy Shield” (Tarcza Prywatności). Obydwa już nie działają – Max Schrems doprowadził przed Trybunałem Sprawiedliwości Unii Europejskiej do stwierdzenia ich nieważności (właśnie ze względu na zbyt łatwy dostęp amerykańskich służb do danych).

Mimo wydanego przed miesiącem wyroku w sprawie „Privacy Shield”, transfer nie został wstrzymany. Uwzględnienie przez unijnych regulatorów argumentów wskazanych w złożonych właśnie skargach oznaczałoby zablokowanie przesyłu. Amerykańscy giganci musieliby przetwarzać dane na terenie Unii Europejskiej, a to oznaczałoby rewolucyjne wręcz zmiany.

W każdej ze 101 spraw skarżących reprezentuje NOYB – European Center for Digital Rights. To organizacja non profit walcząca o cyfrowe prawa. Założył ją w 2017 r. Austriak Max Schrems, który zasłynął z tego, że w 2015 r. doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. W lipcu 2020 r. wygrał kolejną sprawę przed Trybunałem Sprawiedliwości Unii Europejskiej, który stwierdził nieważność następcy „Safe Harbour”, czyli porozumienia „Privacy Shield” (tarcza prywatności). Teraz, po miesiącu od tego ostatniego orzeczenia, NOYB dowodzi, że transfer danych do USA jest bezprawny.

Skupia się na dwóch firmach, Facebook i Google, tyle że w rzeczywistości chodzi o tysiące europejskich przedsiębiorców korzystających z tych serwisów.

– Przeprowadziliśmy szybkie badania na stronach internetowych państw UE pod kątem stosowania kodu z Facebooka i Google’a. Te fragmenty kodu przekazują dane każdego odwiedzającego stronę Google’a lub Facebooka. A obie firmy przyznają, że przekazują dane Europejczyków do Stanów Zjednoczonych w celu ich przetworzenia, przy czym mają prawny obowiązek udostępnienia ich amerykańskim agencjom takim jak Agencja Bezpieczeństwa Narodowego – mówi Max Schrems.

To właśnie nieskrępowany dostęp amerykańskich służb do danych stał się powodem stwierdzenia nieważności „Privacy Shield” przez TSUE. Chodzi o aferę ujawnioną przez Edwarda Snowdena. Pokazał on, że wspomniana agencja w każdej chwili może mieć dostęp do danych Europejczyków zgromadzonych na serwerach w USA. To zaś nie odpowiada wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost – nie ma żadnej gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to rzeczywiście konieczne i uzasadnione choćby względami bezpieczeństwa. Dlatego też tarcza prywatności przestała istnieć.

Dokąd idą dane

W sprawach skierowanych przeciwko TVN, TVP, Interia i Onet-RAS chodzi o przekazywanie danych firmie Google, a w ostatniej o przepływ danych do Facebooka. W przypadku Google’a powodem jest wykorzystanie przez spółki kodu Google Analytics. Znaleziono go m.in. na należącej do TVN stronie player.pl czy zarządzanego przez Onet-RAS serwisu jakdojade.pl. Kod Google Analytics pozwala na mierzenie ruchu na wspomnianych stronach. Problem w tym, że zebrane w ten sposób dane wędrują do USA. A zdaniem NOYB nie ma ku temu podstaw prawnych. Organizacja podkreśla w swych skargach, że usługa Google Analytics nie jest niezbędna do działania stron.

W przypadku strony pkobp.pl chodzi o usługę Facebook Connect, która pozwala na logowanie się za pośrednictwem konta na Facebooku.

– Skargi te mają w mojej ocenie na celu zmobilizowanie organów takich jak polski UODO do definitywnego zatrzymania transferów danych do USA. To również kolejny sygnał dla europejskich (w tym polskich) firm, że powinny dokonać poważnej weryfikacji tego, z jakimi podmiotami współpracują i być może poszukać europejskich alternatyw w miejsce usług oferowanych przez amerykańskich gigantów takich jak Google czy Facebook – komentuje Karolina Iwańska z Fundacji Panoptykon.

W praktyce wyrok TSUE, choć bardzo znaczący, nie wpłynął na firmy. Dane do USA jak płynęły, tak płyną.

– Niewiele się stało w ciągu tego miesiąca, poza czysto techniczną operacją przejścia z transferów opartych o Privacy Shield na transfery oparte o standardowe klauzule umowne. Ale to nadal są te same transfery, realizowane przez te same podmioty, w tym samym otoczeniu prawnym i biznesowym – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.

Paneuropejski wymiar

Trudno dzisiaj przesądzać, jakie szanse na wygranie spraw ma NOYB. We wszystkich skargach domaga się tego samego – zakazania dalszego transferu danych.

– Myślę, że Max Schrems wyciąga zbyt daleko idące wnioski z wyroku TSUE. Tarcza prywatności została unieważniona, ale co do standardowych klauzul umownych TSUE w zasadzie nakazał europejskim administratorom dokonanie dodatkowej analizy ryzyka „inwigilacji USA” dla praw i wolności osób, których dane przetwarzają, aby ocenić, czy w konkretnym przypadku zapewniają one adekwatny do unijnego poziom ochrony danych – komentuje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.

– Podmioty, których dotyczy skarga, muszą więc przeprowadzić dodatkową analizę tego, czy informacje zbierane o gościach ich stron samodzielnie lub w agregacji z innymi danymi pozyskiwanymi przez Google Analytics (lub też przez Facebooka) mogą stanowić nadmierne zagrożenie praw lub wolności gości stron przy zainteresowaniu nimi przez amerykańskie służby – dodaje prawnik.

Wspomniane przez niego standardowe klauzule umowne rzeczywiście formalnie działają i wciąż można na nich opierać transfer transatlantycki. Tyle że te same argumenty, które legły u podstaw stwierdzenia nieważności tarczy prywatności, można zastosować również do nich. Nie ma więc gwarancji legalności. Wynika to wprost z motywu 135 wyroku. „W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego” – napisano w uzasadnieniu orzeczenia.

Skargi dotyczą firm z 30 różnych krajów, więc trafiły do różnych organów.

– Ponieważ mają one jednak charakter paneuropejski, w mojej ocenie każdy z tych organów powinien skorzystać z możliwości, jaką daje art. 64 ust. 2 RODO i zwrócić się o opinię do Europejskiej Rady Ochrony Danych. Taka opinia powinna zapewnić jednolite podejście europejskich organów nadzorczych do złożonych skarg – a problem jest ogromny, bo chodzi o przesądzenie, czy standardowe klauzule umowne mogą stanowić podstawę transferu danych do USA – zwraca uwagę dr Paweł Litwiński.