Przed Trybunałem Sprawiedliwości Unii Europejskiej rozpoczęło się we wtorek długo wyczekiwane, precedensowe postępowanie dotyczące legalności wykorzystywania przez Facebooka prywatnych danych Europejczyków, w tym przekazywania ich amerykańskim służbom wywiadowczym.

Sędziowie z Luksemburga mają za zadanie rozstrzygnąć dylemat, przed którym stanął sąd irlandzki (High Court of Ireland): czy generalny inspektor danych osobowych może zakazać krajowym firmom transferu informacji na temat ich europejskich klientów do Stanów Zjednoczonych, gdzie ustawodawstwo nie gwarantuje standardów ochrony prywatności podobnych do tych obowiązujących w państwach UE?

To jedno z pytań, jakie pojawiło się w kontekście toczącego się od roku przed sądem w Dublinie sporu między a lokalnym GIODO a 26-letnim austriackim prawnikiem i aktywistą Maxem Schremsem. Bezpośrednim impulsem do zainicjowania sprawy było ujawnienie przez Edwarda Snowdena programu masowych podsłuchów elektronicznych PRISM, w ramach którego korporacje technologiczne takie jak Facebook czy Apple przekazywały amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA) m.in. prywatne dane Europejczyków.

Jednak batalia młodego Austriaka z amerykańskim gigantem zaczęła się tak naprawdę już w 2011 r., kiedy to udało mu się wydobyć od spółki zależnej Facebooka w Irlandii kopie zapasowe zgromadzonych na serwerach firmy danych na swój temat. Jak się okazało, był to 1222-stronnicowy pakiet zawierający nie tylko wszystkie zamieszczone przez Schrema wpisy, zdjęcia i listy „polubień”, ale także usunięte kilka lat wcześniej komentarze, zapisy przeprowadzonych rozmów, rejestry miejsc logowania i wiele innych informacji, które już od dawna powinny były nie istnieć. Po tym odkryciu 26-latek złożył 22 skargi do irlandzkiego GIODO (tzw. komisarza ochrony danych) na naruszenie przez Facebooka unijnych przepisów w zakresie ochrony danych osobowych poprzez m.in. przechowywanie informacji usuniętych przez samych użytkowników, nadmierne i niekontrolowane przetwarzanie danych osobowych bez wyraźnej zgody tych, których one dotyczą, udostępnianie prywatnych informacji na potrzeby aplikacji na smartfony oraz śledzenie aktywności internautów na zewnętrznych stronach (za pomocą przycisku „lubię to”).

Po przeprowadzeniu audytu irlandzki GIODO opublikował raport zawierający dość daleko idące rekomendacje dla europejskiej spółki zależnej Facebooka, w tym wprowadzenie zmian w polityce prywatności, ograniczenie możliwości wykorzystywania danych użytkowników do zamieszczania reklam profilowanych, a także zakaz śledzenia internautów za pomocą przycisku „lubię to”. Zalecenia te nie miały jednak charakteru wiążącego i zgodnie z irlandzkim prawem obie strony – czyli aktywiści i korporacja – musiały przystąpić do negocjacji, których efektem miało być wypracowanie „polubownego rozwiązania”. Facebook ostatecznie zgodził się na dokonanie kilku drobnych zmian w swojej polityce prywatności i mimo narzekań aktywistów, że żadna z rekomendacji nie została w pełni zrealizowana, irlandzki GIODO był skłonny je zaakceptować.

Przełom nastąpił w czerwcu 2013 r., kiedy po ujawnieniu afery PRISM austriacki aktywista złożył do komisarza ochrony danych kolejną skargę przeciwko Facebookowi. Tym razem dowodził, że komercyjny transfer danych osobowych z europejskich firm do Stanów Zjednoczonych jest niezgodny z unijnymi przepisami, gdyż amerykańskie prawo nie zapewnia standardu ochrony prywatności podobnego do tego, jaki gwarantują przepisy UE. A przekazanie NSA milionów informacji dotyczących Europejczyków przez Facebooka jest tego najlepszym dowodem.

Schrems zakwestionował tym samym funkcjonujący od 2000 r. program Safe Harbour, który zapewnia uczestniczącym w nim firmom amerykańskim możliwość korzystania z przywilejów związanych z eksportem i wykorzystaniem informacji przysługujących podmiotom unijnym. Dyrektywa 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych co do zasady zakazuje bowiem transferu informacji z UE do państw trzecich pozbawionych adekwatnych zabezpieczeń prawnych (a za taki kraj powszechnie uchodzą Stany Zjednoczone). Dla amerykańskich przedsiębiorstw stworzono wyjątek właśnie w postaci Safe Harbour. Aby przystąpić do programu muszą one jedynie zadeklarować, że zapewniają „odpowiedni” (w myśl art. 25 i 26 dyrektywy 95/46) poziom ochrony danych oraz wystąpić do Departamentu Handlu USA o wpis na listę certyfikowanych członków programu.

Zdaniem Schremsa afera PRISM stanowiła kolejny argument na to, że firmy zza Atlantyku powinny stracić specjalny status. Tym niemniej irlandzki GIODO uznał, że udostępnienie NSA przez spółkę Facebook Ireland – za pośrednictwem swojej spółki matki – prywatnych informacji pozostaje w zgodzie z przepisami unijnymi i odmówił podjęcia interwencji w tej sprawie. Natomiast sąd rozpatrujący odwołanie od tej decyzji stwierdził wprawdzie, że adresatem pozwu młodego aktywisty powinien być raczej amerykański specjalny sąd ds. wywiadu (Foreign Intelligence Surveillance Court), ale docenił powagę poruszonego w nim problemu konstytucyjnego. Ostatecznie zdecydował więc o zawieszeniu postępowania i wystąpienia do Trybunału Sprawiedliwości UE o odpowiedź na pytanie, czy GIODO może zawiesić stosowanie programu Safe Harbour, jeśli zachodzą pewne nadzwyczajne okoliczności (takie jak choćby ujawniona afera PRISM). Czy w takiej sytuacji organy krajowe miałby obowiązek (lub może) wszcząć odpowiednie śledztwo?

Decyzja trybunału luksemburskiego w tej sprawie będzie miała znaczenie przede wszystkim dla tysięcy firm technologicznych, takich jak Twitter, Facebook, Google czy Yahoo, które dzięki transferowi danych osobowych (np. informacji o lokalizacji użytkownika) mogą zarabiać na sprzedaży reklam kontekstowych. Jak podaje dziennik „Wall Street Journal”, w Europie Zachodniej wydatki na reklamę internetową w 2015 r. osiągną 34,8 mld euro, co oznacza 8,5 proc. wzrost w stosunku do roku poprzedniego.

Opinia rzecznika generalnego w sprawie ochrony danych przekazywanych do USA w ramach programu Safe Harbour zostanie opublikowana 24 czerwca, a w kolejnych miesiącach orzeczenie wstępne wyda TSUE.

Sprawa Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14)