Historia zatacza koło: w 2013 roku Max Schrems, austriacki aktywista działający w obszarze ochrony prywatności i danych osobowych, złożył do irlandzkiego organu ochrony danych osobowych skargę dotyczącą zasad umożliwiających przekazywanie danych osobowych z UE do Stanów Zjednoczonych w oparciu o przepisy Bezpiecznej przystani przez Facebooka. Postępowanie przyniosło skutek w postaci pytań prejudycjalnych skierowanych przez irlandzki High Court do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Chociaż wśród pytań sformułowanych przez High Court nie znalazło się pytanie dotyczące ważności Bezpiecznej przystani, TSUE skorzystał wówczas z okazji wypowiedzenia się na ten temat i w orzeczeniu z 2015 roku stwierdził jej nieważność.
Joanna Mazur, Analityczka DELab UW, WPiA UW
Decyzja TSUE nie doprowadziła jednak do końca sporu toczącego się między aktywistą a (de facto) cyfrowym gigantem. Niemal pięć lat później, 16 lipca 2020 roku, TSUE wydał wyrok odnoszący się do serii kolejnych pytań, które sformułowane zostały przez High Court w związku z przeformułowaną skargą złożoną przez Maxa Schremsa (tzw. Schrems II). Wśród 11 pytań wyodrębnić można dwa najważniejsze zagadnienia: po pierwsze, szereg pytań odnoszących się do standardowych klauzul umownych dotyczących przekazywania danych osobowych państwom trzecim oraz podmiotom przetwarzającym dane mającym siedzibę w takich państwach. Po drugie, pytania dotyczące gwarancji adekwatnego poziomu ochrony danych osobowych w świetle Tarczy prywatności, która zastąpiła Bezpieczną przystań jako akt regulujący zasady określające odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do podmiotów mających siedzibę w Stanach Zjednoczonych.
Standardowe klauzule umowne dotyczące przekazywania danych osobowych w świetle wyroku Schrems II
Standardowe klauzule umowne dotyczące przekazywania danych osobowych stały się kluczowe dla sagi spraw inicjowanych dzięki działalności Maxa Schremsa w związku z argumentacją Facebooka dotyczącą podstaw prawnych przekazywania danych obywateli UE przez spółkę Facebook Ireland do spółki Facebook Inc. w Kalifornii. Pod pojęciem standardowych klauzul umownych dotyczących przekazywania danych osobowych rozumiane są postanowienia regulujące, na podstawie wzorca ustalonego w decyzji Komisji, zasady zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw w świetle prawa UE. O ile możliwe i zgodne z prawem jest dokonywanie transferów danych pomiędzy podmiotami gospodarczymi znajdującymi się w różnych państwach w oparciu o klauzule umowne, wątpliwości potencjalnie budzić mógł brak regulacji przekazywania tych danych poza dane przedsiębiorstwo w oparciu o przepisy państwa trzeciego.
Taka sytuacja, zgodnie z argumentacją Maxa Schremsa, ma miejsce w wypadku przekazywania danych osobowych przez podmioty działające w UE, podmiotom operującym w Stanach Zjednoczonych. Obowiązujące w Stanach Zjednoczonych akty prawne prowadzić mogą do udostępniania przez podmioty gospodarcze, takie jak np. Facebook Inc., danych osobowych Europejczyków amerykańskim służbom specjalnym. W wyroku Schrems II TSUE podkreśla jednak, że charakter klauzul umownych – jako instrumentu stosowanego w umowach pomiędzy dwoma podmiotami gospodarczymi – ze swej natury uniemożliwia związanie tymi postanowieniami władz publicznych państwa trzeciego. Dlatego też, w odniesieniu do decyzji Komisji formułującej wzór klauzul umownych dotyczących przekazywania danych osobowych, nie dopatrzył się on przesłanek mogących prowadzić do stwierdzenia jej nieważności.
Tarcza prywatności, czyli dlaczego Max Schrems może powiedzieć „A nie mówiłem?”
Nie oznacza to jednak, że TSUE zignorował wątpliwości dotyczące poziomu ochrony danych osobowych w Stanach Zjednoczonych, które stanowią główną oś toczącego się od lat sporu. W przeciwieństwie do klauzul umownych, decyzja wykonawcza Tarcza prywatności odnosi się do uznania za wystarczający poziomu ochrony gwarantowany przez Stany Zjednoczone na warunkach i zgodnie z zasadami sformułowanymi w tej decyzji. Stosowany przez Stany Zjednoczone nadzór, który umożliwia pozyskiwanie danych przesyłanych z UE na wielką skalę został jednak przez TSUE uznany za niezgodny z wymogami proporcjonalności (zob. pkt. 184).
Analiza TSUE wykazała, że zarówno w Tarczy prywatności, jak i w prawie amerykańskim, brak narzędzi umożliwiających jednostce dochodzenia przed sądem ochrony jej praw jako podmiotu danych. Nie został za takie uznany Rzecznik ds. tarczy prywatności, co do którego wątpliwości TSUE wzbudziła jego niezależność oraz regulacje definiujące jego kompetencje (w właściwie ich brak) w zakresie oddziaływania na decyzje podejmowane przez służby specjalne. Brak narzędzi gwarantujących skuteczną ochronę sądową obywatelom UE stanowi zaś, w świetle wywodu TSUE, naruszenie przepisów RODO w związku z przepisami Karty praw podstawowych. W oparciu o tę argumentację i zgodnie z przypuszczeniem sformułowanym przez Maxa Schremsa jeszcze w 2016 roku, TSUE stwierdził nieważność Tarczy prywatności.
Skutkiem stwierdzenia nieważności Tarczy prywatności nie jest jednak całkowity zakaz dokonywania transferów danych pomiędzy UE a Stanami Zjednoczonymi. Jak wskazuje w wyroku TSUE, jest możliwe powoływanie się na sytuacje przewidziane w art. 49 RODO, który wymienia przypadki umożliwiające transfer danych w razie braku decyzji uznającej poziom ochrony w państwie trzecim za adekwatny do unijnego. Ponadto, warto podkreślić konsekwencje TSUE w stosowaniu wykładni dążącej do uniemożliwienia amerykańskim służbom specjalnym dostępu do danych Europejczyków oraz w zakresie promowania roli, którą może odgrywać UE w promocji standardów wysokiej ochrony danych osobowych na świecie. W szerszym świetle dyskusji o stosowanych przez przedsiębiorstwa z Doliny Krzemowej modelach biznesowych jako np. kapitalizmie nadzoru, wyrok stanowi jasny sygnał konieczności poszukiwania innych rozwiązań, które w bardziej nomen omen adekwatny sposób uwzględniałyby ochronę prywatności i danych osobowych jako prawa podstawowe.
Linki do innych postów dotyczących działań Maxa Schremsa.