Historia zatacza koło: w 2013 roku Max Schrems,
austriacki aktywista działający w obszarze ochrony prywatności i danych
osobowych, złożył do irlandzkiego organu ochrony danych osobowych skargę dotyczącą
zasad umożliwiających przekazywanie danych osobowych z UE do Stanów
Zjednoczonych w oparciu o przepisy Bezpiecznej przystani przez Facebooka.
Postępowanie przyniosło skutek w postaci pytań prejudycjalnych skierowanych
przez irlandzki High Court do Trybunału Sprawiedliwości Unii Europejskiej
(TSUE). Chociaż wśród pytań sformułowanych przez High Court nie znalazło się
pytanie dotyczące ważności Bezpiecznej przystani, TSUE skorzystał wówczas
z okazji wypowiedzenia się na ten temat i w orzeczeniu z 2015 roku stwierdził jej nieważność (post na ten temat).
Decyzja TSUE nie doprowadziła jednak do końca sporu toczącego
się między aktywistą a (de facto) cyfrowym gigantem. Niemal pięć lat
później, 16 lipca 2020 roku, TSUE wydał wyrok odnoszący się do serii
kolejnych pytań, które sformułowane zostały przez High Court w związku z
przeformułowaną skargą złożoną przez Maxa Schremsa (tzw. Schrems II). Wśród 11 pytań wyodrębnić
można dwa najważniejsze zagadnienia: po pierwsze, szereg pytań odnoszących się
do standardowych klauzul umownych dotyczących przekazywania danych osobowych
państwom trzecim oraz podmiotom przetwarzającym dane mającym siedzibę w takich
państwach. Po drugie, pytania dotyczące gwarancji adekwatnego poziomu ochrony
danych osobowych w świetle Tarczy prywatności, która zastąpiła Bezpieczną
przystań jako akt regulujący zasady określające odpowiedni stopień ochrony
danych osobowych przekazywanych z Unii do podmiotów mających siedzibę w Stanach
Zjednoczonych.
Standardowe klauzule umowne dotyczące przekazywania
danych osobowych w świetle wyroku Schrems II
Standardowe klauzule umowne dotyczące przekazywania
danych osobowych stały się kluczowe dla sagi spraw inicjowanych dzięki
działalności Maxa Schremsa w związku z argumentacją Facebooka dotyczącą podstaw
prawnych przekazywania danych obywateli UE przez spółkę Facebook Ireland do
spółki Facebook Inc. w Kalifornii. Pod pojęciem standardowych klauzul umownych
dotyczących przekazywania danych osobowych rozumiane są postanowienia
regulujące, na podstawie wzorca ustalonego w decyzji Komisji, zasady zapewniające odpowiednie
gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych
oraz wykonywania odpowiednich praw w świetle prawa UE. O ile możliwe i zgodne z
prawem jest dokonywanie transferów danych pomiędzy podmiotami gospodarczymi
znajdującymi się w różnych państwach w oparciu o klauzule umowne, wątpliwości
potencjalnie budzić mógł brak regulacji przekazywania tych danych poza dane
przedsiębiorstwo w oparciu o przepisy państwa trzeciego.
Taka sytuacja, zgodnie z argumentacją Maxa Schremsa, ma
miejsce w wypadku przekazywania danych osobowych przez podmioty działające w
UE, podmiotom operującym w Stanach Zjednoczonych. Obowiązujące w Stanach
Zjednoczonych akty prawne prowadzić mogą do udostępniania przez podmioty
gospodarcze, takie jak np. Facebook Inc., danych osobowych Europejczyków
amerykańskim służbom specjalnym. W wyroku Schrems II TSUE podkreśla
jednak, że charakter klauzul umownych – jako instrumentu stosowanego w umowach
pomiędzy dwoma podmiotami gospodarczymi – ze swej natury uniemożliwia związanie
tymi postanowieniami władz publicznych państwa trzeciego. Dlatego też, w
odniesieniu do decyzji Komisji formułującej wzór klauzul umownych dotyczących
przekazywania danych osobowych, nie dopatrzył się on przesłanek mogących
prowadzić do stwierdzenia jej nieważności.
Tarcza prywatności, czyli dlaczego Max Schrems może
powiedzieć „A nie mówiłem?”
Nie oznacza to jednak, że TSUE zignorował wątpliwości dotyczące
poziomu ochrony danych osobowych w Stanach Zjednoczonych, które stanowią główną
oś toczącego się od lat sporu. W przeciwieństwie do klauzul umownych, decyzja
wykonawcza Tarcza prywatności odnosi się do uznania za
wystarczający poziomu ochrony gwarantowany przez Stany Zjednoczone na warunkach
i zgodnie z zasadami sformułowanymi w tej decyzji. Stosowany przez Stany
Zjednoczone nadzór, który umożliwia pozyskiwanie danych przesyłanych z UE na
wielką skalę został jednak przez TSUE uznany za niezgodny z wymogami
proporcjonalności (zob. pkt. 184).
Analiza TSUE wykazała, że zarówno w Tarczy prywatności,
jak i w prawie amerykańskim, brak narzędzi umożliwiających jednostce
dochodzenia przed sądem ochrony jej praw jako podmiotu danych. Nie został za
takie uznany Rzecznik ds. tarczy prywatności, co do którego wątpliwości
TSUE wzbudziła jego niezależność oraz regulacje definiujące jego kompetencje (w
właściwie ich brak) w zakresie oddziaływania na decyzje podejmowane przez
służby specjalne. Brak narzędzi gwarantujących skuteczną ochronę sądową obywatelom
UE stanowi zaś, w świetle wywodu TSUE, naruszenie przepisów RODO w związku z
przepisami Karty praw podstawowych. W oparciu o tę argumentację i zgodnie
z przypuszczeniem sformułowanym przez Maxa
Schremsa jeszcze w 2016 roku, TSUE stwierdził nieważność Tarczy prywatności.
Skutkiem stwierdzenia nieważności Tarczy prywatności nie
jest jednak całkowity zakaz dokonywania transferów danych pomiędzy UE a Stanami
Zjednoczonymi. Jak wskazuje w wyroku TSUE, jest możliwe powoływanie się na
sytuacje przewidziane w art. 49 RODO, który wymienia przypadki umożliwiające
transfer danych w razie braku decyzji uznającej poziom ochrony w państwie
trzecim za adekwatny do unijnego. Ponadto, warto podkreślić konsekwencje TSUE w
stosowaniu wykładni dążącej do uniemożliwienia amerykańskim służbom specjalnym
dostępu do danych Europejczyków oraz w zakresie promowania roli, którą może
odgrywać UE w promocji standardów wysokiej ochrony danych osobowych na świecie.
W szerszym świetle dyskusji o stosowanych przez przedsiębiorstwa z Doliny
Krzemowej modelach biznesowych jako np. kapitalizmie nadzoru, wyrok stanowi
jasny sygnał konieczności poszukiwania innych rozwiązań, które w bardziej nomen
omen adekwatny sposób uwzględniałyby ochronę prywatności i danych osobowych
jako prawa podstawowe.
Autor: Joanna Mazur
Brak komentarzy:
Prześlij komentarz