Program Safe Harbour nie może już stanowić podstawy do przesyłania danych Europejczyków za Atlantyk. Unijny trybunał uznał zatwierdzającą go decyzję KE za nieważną.
Dr Grzegorz Sibiga adiunkt w Instytucie Nauk Prawnych PAN / Dziennik Gazeta Prawna
Katarzyna Szymielewicz prawniczka i prezeska Fundacji Panoptykon / Dziennik Gazeta Prawna
Dr Paweł Litwiński adwokat, ekspert Instytutu Allerhanda / Dziennik Gazeta Prawna
Dr Piotr Bodył-Szymala ekonomista i radca prawny / Dziennik Gazeta Prawna
Według Trybunału Sprawiedliwości Unii Europejskiej amerykańskie służby mają zbyt łatwy dostęp do danych osobowych przechowywanych przez tamtejsze firmy, w tym serwisy takie jak Facebook. To oznacza, że decyzja Komisji Europejskiej uznająca USA za kraj bezpiecznej przystani jest nieważna. W konsekwencji ponad 5 tys. amerykańskich firm, które przystąpiły do Safe Harbour, może stracić podstawy do transferu danych z UE do USA.
Wspomniany program miał gwarantować, że ochrona danych osobowych w Stanach Zjednoczonych odpowiada tej, jaka obowiązuje w UE. Tak przynajmniej twierdziła KE w decyzji z 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani. Wczoraj TSUE uznał ją za nieważną.
Początek sprawie dał austriacki student prawa Maximillian Schrems, który zażądał od Facebooka, by przestał transferować jego dane do USA. Po ujawnionej przez Edwarda Snowdena aferze PRISM doszedł do wniosku, że skoro amerykańskie służby mają praktycznie nieograniczony dostęp do jego danych, to nie powinny być one tam transferowane.
Nikt nie weryfikował zasadności decyzji KE
Wyrok może mieć przełomowe znaczenie dla wyznaczania reguł przekazywania danych osobowych z państw członkowskich do każdego państwa poza Unią. Do tego przełomu mogą doprowadzić dwa stanowiska zawarte w orzeczeniu.
Po pierwsze uznano, że organy ds. ochrony danych osobowych w państwach unijnych mają kompetencje do weryfikowania, czy przekazywanie danych do określonego państwa spełnia wymogi określone w unijnym prawie ochrony danych, i to mimo pozytywnej decyzji Komisji Europejskiej w tym względzie. To bardzo ważne, bowiem w tych postępowaniach będzie badane, czy państwo importera faktycznie zapewnia odpowiedni poziom tej ochrony. Porzucony został automatyzm takiej oceny oparty tylko na decyzjach komisji, których zasadność później w praktyce nie była weryfikowana w konkretnych sprawach.
Po wtóre, stwierdzając nieważność decyzji Komisji Europejskiej w sprawie bezpiecznej przystani, trybunał wskazał standardy wymagane u państwa importera, jeżeli w Unii mamy uznać je za zapewniające wystarczający poziom ochrony. Nieakceptowany jest dostęp do wszystkich transferowanych danych przez organy władzy publicznej państwa importera bez poszanowania podstawowych zasad ochrony danych osobowych, w tym zasady celowości i adekwatności. Nie można również pozbawiać osób, których dane dotyczą, ich podstawowych praw. W krótkiej perspektywie wyrok oznacza także potrzebę wypracowania nowego rozwiązania pozwalającego na transfer danych między Unią a Stanami Zjednoczonymi, ponieważ obecnie może się on odbywać tylko na zasadach ogólnych ustanowionych w dyrektywie 95/46/WE.
Wyrok TSUE to zapowiedź obstrukcji w relacjach z Ameryką
Nie sposób przewidzieć, jakie stanowiska będą zajmować krajowe organy ochrony danych osobowych po stwierdzeniu nieważności decyzji KE uznającej USA za kraj bezpiecznej przystani. Z jednej strony wyrok potwierdza, że amerykańskie prawo – w zakresie, w jakim umożliwia masową inwigilację Europejczyków – jest nie do pogodzenia z europejskimi standardami i żadne zobowiązania umowne nie ochronią klientów amerykańskich firm przed takim zagrożeniem. Z drugiej jednak, obserwując dotychczasowe perypetie Maximiliana Schremsa w walce z Facebookiem i ewidentną opieszałość irlandzkiego organu, który w tej sprawie nie podjął żadnej wiążącej decyzji, można się spodziewać, że przynajmniej niektóre organy wydadzą jednak decyzje pozwalające na przekazywanie danych do USA. Jeśli tak się stanie, praktyczne skutki wyroku trybunału będą miały raczej wymiar proceduralny – zmienią się podstawy przekazywania danych, ale nie zmieni się standard ich ochrony.
Trudno natomiast przecenić skutki dzisiejszego wyroku na poziomie politycznym. W kontekście trwających prac nad nowymi ramami prawnymi dla ochrony prywatności, które mają obowiązywać również firmy amerykańskie, oraz negocjacji TTIP – szerokiego porozumienia przewidującego ujednolicenie standardów regulacyjnych – jest to jasny sygnał, że Unia Europejska może stawiać Stanom Zjednoczonym twarde warunki. Wyrok TSUE to zapowiedź politycznych i prawnych obstrukcji w przekazywaniu danych, jeśli Amerykanie nie zdecydują się na wzmocnienie standardów ich ochrony, przynajmniej w sferze ich udostępniania organom publicznym.
Koniec prostego przekazywania danych za Atlantyk
W toczącym się w Irlandii postępowaniu piłka jest teraz po stronie Facebooka, bo to on powoływał się na Safe Harbour jako podstawę legalizującą transfer. Teraz – skoro Safe Harbour nie wchodzi w grę – musi powołać się na inną podstawę (np. standardowe klauzule umowne, czy uzyskiwanie zgody samych użytkowników Facebooka). W praktyce trudno mu jednak będzie z nich skorzystać. Standardowe klauzule umowne, czyli wzory umów transferowych, są zatwierdzane przez Komisję Europejską odpowiednią decyzją, a trybunał wyraźnie wskazał, że nawet w przypadku takiej decyzji krajowe organy ochrony danych powinny badać, czy transfer danych pozostaje w zgodzie z prawem europejskim. Zgoda użytkowników byłaby zgodą wymuszoną, a więc również nie wchodzi w grę, co więcej w Polsce musiałaby być wyrażana na piśmie. Koniec końców – to irlandzki organ ochrony danych osobowych będzie więc musiał samodzielnie podjąć decyzję o zgodzie lub jej braku na transfer danych do USA. Będzie ją musiał podjąć ze świadomością tego, że organy władzy publicznej USA mają dostęp do takich danych bez poszanowania europejskich standardów ochrony danych.
Wyrok ma jednak dużo szersze znaczenie. Dla tysięcy firm amerykańskich, które korzystały z porozumienia Safe Harbour, oznacza on brak prostego systemu przekazywania danych osobowych z Europy do USA. A skorzystanie z innych mechanizmów legalizujących taki transfer – jak już wspomniałem – będzie trudne. Oczywiście nie możemy wykluczyć, że Unia zawrze z USA kolejną umowę w rodzaju Safe Harbour – niedawno przecież zawarto Umbrella Agreement dotyczącą przekazywania danych osobowych dla celów związanych ze zwalczaniem przestępczości. Wtedy taka umowa znów mogłaby stanowić podstawę prawną przekazywania danych – a pamiętajmy, że doprowadzenie do stwierdzenia nieważności Safe Harbour zajęło 15 lat.
Trybunał skończył z zaklinaniem rzeczywistości
To rozstrzygnięcie należy odbierać na kilku poziomach. Po pierwsze, to koniec pewnej fikcji i zaklinania rzeczywistości. Chociaż od co najmniej kilku lat powszechnie wiadomo było, że prawo amerykańskie nie zapewnia ochrony danych na równi z prawem europejskim, to w obrocie wciąż funkcjonowała decyzja KE uznająca USA za kraj bezpiecznej przystani. A to oznaczało, że przedsiębiorstwom amerykańskim najłatwiej było się na nią powołać. Teraz będą musiały się bardziej wysilić, tworząc bardziej restrykcyjne polityki w zakresie ochrony danych.
Po drugie wyrok ten pokazuje – co mnie osobiście cieszy – że żyjemy w rzeczywistości, w której austriacki student może skutecznie walczyć o swe prawa z Komisją Europejską i globalnymi korporacjami. Po trzecie wyrok oczywiście będzie miał bezpośrednie znaczenie dla sporu rozstrzyganego w Irlandii. Wbrew temu orzeczeniu nie spodziewam się jednak rozstrzygnięcia zakazującego transferu danych do USA. Facebook będzie jednak musiał wykazać, że zapewnia należyty poziom ochrony. Podobnie jak inne amerykańskie firmy, od których również obywatele państw członkowskich UE będą mogli zażądać, by przestały przekazywać dane do USA. To zresztą może spowodować różne podejście krajowych organów ochrony danych osobowych. Do innych wniosków może dojść organ z Niemiec, gdzie stosunkowo rygorystycznie podchodzi się do ochrony danych, a do innych w Irlandii, która jest bardziej liberalna.
W praktyce wyrok otwiera krajowym organom ochrony danych drogę do postępowań kontrolnych, które mogą się zakończyć uznaniem, że dane z konkretnych europejskich spółek nie mogą być przekazywane do USA. Biorąc jednak pod uwagę, jak elastyczne i łagodne reguły transferu danych przewiduje obecnie obowiązująca dyrektywa, wydaje się to mało prawdopodobne. Przede wszystkim transfer danych nadal będzie możliwy na podstawie szerokich i stosunkowo łatwych do wykazania przesłanek, jak konieczność przekazywania danych dla realizacji umowy, wymóg wynikający z prawa czy zgoda osoby, której dane dotyczą. Co więcej, nawet w braku takich podstaw, firmy, które chcą lub muszą przekazywać dane do USA, będą mogły wystąpić o indywidualną zgodę organu. Aby taką zgodę uzyskać, firma będzie musiała wykazać, że zapewniła odpowiednie zabezpieczenia w zakresie ochrony prywatności.
ORZECZNICTWO
Wyrok TSUE z 6 października 2015 r., sprawa nr C-362/14. www.serwisy.gazetaprawna.pl/orzeczenia