Nie można nakazać europejskiej firmie, by ujawniła informacje o swych klientach na potrzeby toczącego się w USA postępowania – uznał amerykański sąd apelacyjny.
DGP
Wyrok jest precedensowy, gdyż amerykańskie sądy niespecjalnie przejmują się polskimi czy szerzej – europejskimi przepisami. W tej sprawie uznały (w obydwu instancjach), że nasze regulacje o ochronie danych osobowych nie pozwalają wymagać od firm przekazywania informacji o klientach, gdyż mogłoby to narazić na odpowiedzialność karną.
Chodzi o portal internetowy z treściami pornograficznymi ePorner należący do polskiej spółki cywilnej. W 2015 r. pozew przeciwko niej złożyła amerykańska firma AMA Multimedia. Zarzuciła naruszenie praw autorskich poprzez publikację filmów w serwisie oraz wykorzystanie znaku towarowego, a także nieuczciwą konkurencję.
– W odpowiedzi na pozew złożyłem wniosek o jego oddalenie ze względu na brak jurysdykcji sądów amerykańskich nad podmiotami, które nie mają z USA żadnego kontaktu, poza działającą tutaj stroną internetową. AMA Multimedia sprzeciwiła się temu, twierdząc, że mój klient ma podobno rozlegle kontakty w Stanach Zjednoczonych i dlatego sprawa powinna zostać rozpoznana przez tutejszy sąd – relacjonuje Jakub Mędrala, adwokat z kancelarii The Medrala Law w Las Vegas, który reprezentował polską spółkę.

Brak jurysdykcji

Chodziło o ustalenie, czy działalność ePorner jest adresowana na amerykański rynek. Zdaniem AMA Multimedia świadczyć o tym miała już sama rejestracja domeny internetowej u arizońskiego rejestratora. Firma przekonywała, że serwis internetowy ma wielu użytkowników mieszkających w USA. Aby to udowodnić, wystąpiła z wnioskiem o udostępnienie danych osobowych użytkowników. Gdyby okazało się, że znaczna ich część to Amerykanie, łatwiej byłoby przekonać sąd, że sprawa podlega pod tamtejszą jurysdykcję.
Jakub Mędrala sprzeciwił się temu wnioskowi. RODO jeszcze wówczas nie obowiązywało, dlatego powołał się na ówczesną ustawę o ochronie danych osobowych (25 maja 2018 r. została ona zastąpiona przez nową ustawę o tej samej nazwie i jednocześnie zaczęto również stosować wprost RODO).
– Twierdziłem, że udostępnienie danych użytkowników firmie AMA Multimedia czy też nawet sądowi będzie oznaczać złamanie przepisów o ochronie danych osobowych, co naraża wspólników na odpowiedzialność i to karną – zauważa adwokat z Las Vegas.
Sąd okręgowy w Arizonie przyznał mu rację, odmawiając nakazania udostępnienia danych i uznając, że sprawa nie podlega pod amerykańską jurysdykcję. AMA Multimedia złożyła jednak apelację, dodatkowo powołując się na stosowane już wówczas RODO oraz „Privacy Shield” (Tarczę Prywatności), czyli zatwierdzony przez Komisję Europejską program pozwalający na wymianę danych między UE a USA. Sąd Apelacyjny dla Dziewiątego Okręgu nie wziął jednak nowych przepisów pod uwagę, gdyż w czasie składania pierwszego wniosku RODO jeszcze nie obowiązywało.
Ostatecznie 10 sierpnia 2020 r. wspomniany sąd apelacyjny oddalił pozew. – Ze względu na prawodawstwo amerykańskie decyzja ta jest przede wszystkim istotna w zakresie jurysdykcji amerykańskich sądów nad zagranicznymi operatorami stron internetowych. Jest to wiążący precedens w podobnych sprawach w zachodnich stanach – komentuje mec. Mędrala. Sąd Apelacyjny dla Dziewiątego Okręgu obejmuje stany takie jak: Alaska, Arizona, Kalifornia, Idaho, Nevada, Montana, Oregon, Waszyngton czy nawet Hawaje.
Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, który doradzał pozwanemu jako ekspert z zakresu europejskiego prawa ochrony danych, zwraca uwagę, że wyrok jest również precedensowy, jeśli chodzi o przekazywanie danych do USA.
– Nie znam innego takiego orzeczenia. Dotychczas sądy amerykańskie raczej nie przejmowały się czymś tak prozaicznym z ich perspektywy, jak europejskie prawo ochrony danych osobowych, które przecież w USA nie ma odpowiednika – zauważa prawnik.

Tak samo pod RODO

Wyrok oparto na uchylonej już ustawie o ochronie danych osobowych z 1997 r. W zdaniu odrębnym pojawiła się sugestia, że być może przekazanie danych osobowych byłoby możliwe na podstawie RODO. Zdaniem dr. Litwińskiego tak jednak nie jest.
– Wątek ustawy z 1997 r. pojawia się dlatego, że sprawa ciągnie się od czasu, gdy ta ustawa jeszcze obowiązywała. Poza tym specyfika systemu prawnego UE z aktami prawa wspólnotowego (RODO) i krajowego (ustawa o ochronie danych osobowych z 2018 r.) była dość trudna do uchwycenia dla prawników z USA. Dodatkowy zamęt wprowadzało to, że odpowiedzialność karna za przetwarzanie danych sprzeczne z prawem, czyli m.in. za transfer danych bez podstawy prawnej, nie wynika wcale z RODO, ale z polskich przepisów – wyjaśnia dr Paweł Litwiński.
– Oczywiście jednak RODO nie umożliwia przekazania danych do USA – zasady transferu danych z RODO, w porównaniu z tymi z ustawy z 1997 r., w zasadzie się nie zmieniły – podkreśla prawnik.
Co więcej, po wyroku Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 r. w głośnej sprawie Maxa Schremsa przestała istnieć jedna z głównych podstaw umożliwiających transfer danych z UE do USA. Trybunał stwierdził bowiem nieważność wspomnianego programu „Privacy Shield” (wyrok w sprawie C-311/18).