Tarcza prywatności dzieli los Bezpiecznej przystani, czyli o problemie braku adekwatnego poziomu ochrony danych osobowych

Udostępnij

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on email

Histo­ria zata­cza koło: w 2013 roku Max Schrems, austriac­ki akty­wi­sta dzia­ła­ją­cy w obsza­rze ochro­ny pry­wat­no­ści i danych oso­bo­wych, zło­żył do irlandz­kie­go orga­nu ochro­ny danych oso­bo­wych skar­gę doty­czą­cą zasad umoż­li­wia­ją­cych prze­ka­zy­wa­nie danych oso­bo­wych z UE do Sta­nów Zjed­no­czo­nych w opar­ciu o prze­pi­sy Bez­piecz­nej przy­sta­ni przez Face­bo­oka. Postę­po­wa­nie przy­nio­sło sku­tek w posta­ci pytań pre­ju­dy­cjal­nych skie­ro­wa­nych przez irlandz­ki High Court do Try­bu­na­łu Spra­wie­dli­wo­ści Unii Euro­pej­skiej (TSUE). Cho­ciaż wśród pytań sfor­mu­ło­wa­nych przez High Court nie zna­la­zło się pyta­nie doty­czą­ce waż­no­ści Bez­piecz­nej przy­sta­ni, TSUE sko­rzy­stał wów­czas z oka­zji wypo­wie­dze­nia się na ten temat i w orze­cze­niu z 2015 roku stwier­dził jej nie­waż­ność.

Joan­na Mazur, Ana­li­tycz­ka DELab UW, WPiA UW

Decy­zja TSUE nie dopro­wa­dzi­ła jed­nak do koń­ca spo­ru toczą­ce­go się mię­dzy akty­wi­stą a (de fac­to) cyfro­wym gigan­tem. Nie­mal pięć lat póź­niej, 16 lip­ca 2020 roku, TSUE wydał wyrok odno­szą­cy się do serii kolej­nych pytań, któ­re sfor­mu­ło­wa­ne zosta­ły przez High Court w związ­ku z prze­for­mu­ło­wa­ną skar­gą zło­żo­ną przez Maxa Schrem­sa (tzw. Schrems II). Wśród 11 pytań wyod­ręb­nić moż­na dwa naj­waż­niej­sze zagad­nie­nia: po pierw­sze, sze­reg pytań odno­szą­cych się do stan­dar­do­wych klau­zul umow­nych doty­czą­cych prze­ka­zy­wa­nia danych oso­bo­wych pań­stwom trze­cim oraz pod­mio­tom prze­twa­rza­ją­cym dane mają­cym sie­dzi­bę w takich pań­stwach. Po dru­gie, pyta­nia doty­czą­ce gwa­ran­cji ade­kwat­ne­go pozio­mu ochro­ny danych oso­bo­wych w świe­tle Tar­czy pry­wat­no­ści, któ­ra zastą­pi­ła Bez­piecz­ną przy­stań jako akt regu­lu­ją­cy zasa­dy okre­śla­ją­ce odpo­wied­ni sto­pień ochro­ny danych oso­bo­wych prze­ka­zy­wa­nych z Unii do pod­mio­tów mają­cych sie­dzi­bę w Sta­nach Zjed­no­czo­nych.

 Standardowe klauzule umowne dotyczące przekazywania danych osobowych w świetle wyroku Schrems II

Stan­dar­do­we klau­zu­le umow­ne doty­czą­ce prze­ka­zy­wa­nia danych oso­bo­wych sta­ły się klu­czo­we dla sagi spraw ini­cjo­wa­nych dzię­ki dzia­łal­no­ści Maxa Schrem­sa w związ­ku z argu­men­ta­cją Face­bo­oka doty­czą­cą pod­staw praw­nych prze­ka­zy­wa­nia danych oby­wa­te­li UE przez spół­kę Face­bo­ok Ire­land do spół­ki Face­bo­ok Inc. w Kali­for­nii. Pod poję­ciem stan­dar­do­wych klau­zul umow­nych doty­czą­cych prze­ka­zy­wa­nia danych oso­bo­wych rozu­mia­ne są posta­no­wie­nia regu­lu­ją­ce, na pod­sta­wie wzor­ca usta­lo­ne­go w decy­zji Komi­sji, zasa­dy zapew­nia­ją­ce odpo­wied­nie gwa­ran­cje ochro­ny pry­wat­no­ści oraz pod­sta­wo­wych praw i wol­no­ści osób fizycz­nych oraz wyko­ny­wa­nia odpo­wied­nich praw w świe­tle pra­wa UE. O ile moż­li­we i zgod­ne z pra­wem jest doko­ny­wa­nie trans­fe­rów danych pomię­dzy pod­mio­ta­mi gospo­dar­czy­mi znaj­du­ją­cy­mi się w róż­nych pań­stwach w opar­ciu o klau­zu­le umow­ne, wąt­pli­wo­ści poten­cjal­nie budzić mógł brak regu­la­cji prze­ka­zy­wa­nia tych danych poza dane przed­się­bior­stwo w opar­ciu o prze­pi­sy pań­stwa trze­cie­go.

Taka sytu­acja, zgod­nie z argu­men­ta­cją Maxa Schrem­sa, ma miej­sce w wypad­ku prze­ka­zy­wa­nia danych oso­bo­wych przez pod­mio­ty dzia­ła­ją­ce w UE, pod­mio­tom ope­ru­ją­cym w Sta­nach Zjed­no­czo­nych. Obo­wią­zu­ją­ce w Sta­nach Zjed­no­czo­nych akty praw­ne pro­wa­dzić mogą do udo­stęp­nia­nia przez pod­mio­ty gospo­dar­cze, takie jak np. Face­bo­ok Inc., danych oso­bo­wych Euro­pej­czy­ków ame­ry­kań­skim służ­bom spe­cjal­nym. W wyro­ku Schrems II TSUE pod­kre­śla jed­nak, że cha­rak­ter klau­zul umow­nych – jako instru­men­tu sto­so­wa­ne­go w umo­wach pomię­dzy dwo­ma pod­mio­ta­mi gospo­dar­czy­mi – ze swej natu­ry unie­moż­li­wia zwią­za­nie tymi posta­no­wie­nia­mi władz publicz­nych pań­stwa trze­cie­go. Dla­te­go też, w odnie­sie­niu do decy­zji Komi­sji for­mu­łu­ją­cej wzór klau­zul umow­nych doty­czą­cych prze­ka­zy­wa­nia danych oso­bo­wych, nie dopa­trzył się on prze­sła­nek mogą­cych pro­wa­dzić do stwier­dze­nia jej nie­waż­no­ści.

Tarcza prywatności, czyli dlaczego Max Schrems może powiedzieć „A nie mówiłem?”

Nie ozna­cza to jed­nak, że TSUE zigno­ro­wał wąt­pli­wo­ści doty­czą­ce pozio­mu ochro­ny danych oso­bo­wych w Sta­nach Zjed­no­czo­nych, któ­re sta­no­wią głów­ną oś toczą­ce­go się od lat spo­ru. W prze­ci­wień­stwie do klau­zul umow­nych, decy­zja wyko­naw­cza Tar­cza pry­wat­no­ści odno­si się do uzna­nia za wystar­cza­ją­cy pozio­mu ochro­ny gwa­ran­to­wa­ny przez Sta­ny Zjed­no­czo­ne na warun­kach i zgod­nie z zasa­da­mi sfor­mu­ło­wa­ny­mi w tej decy­zji. Sto­so­wa­ny przez Sta­ny Zjed­no­czo­ne nad­zór, któ­ry umoż­li­wia pozy­ski­wa­nie danych prze­sy­ła­nych z UE na wiel­ką ska­lę został jed­nak przez TSUE uzna­ny za nie­zgod­ny z wymo­ga­mi pro­por­cjo­nal­no­ści (zob. pkt. 184).

Ana­li­za TSUE wyka­za­ła, że zarów­no w Tar­czy pry­wat­no­ści, jak i w pra­wie ame­ry­kań­skim, brak narzę­dzi umoż­li­wia­ją­cych jed­no­st­ce docho­dze­nia przed sądem ochro­ny jej praw jako pod­mio­tu danych. Nie został za takie uzna­ny Rzecz­nik ds. tar­czy pry­wat­no­ści, co do któ­re­go wąt­pli­wo­ści TSUE wzbu­dzi­ła jego nie­za­leż­ność oraz regu­la­cje defi­niu­ją­ce jego kom­pe­ten­cje (w wła­ści­wie ich brak) w zakre­sie oddzia­ły­wa­nia na decy­zje podej­mo­wa­ne przez służ­by spe­cjal­ne. Brak narzę­dzi gwa­ran­tu­ją­cych sku­tecz­ną ochro­nę sądo­wą oby­wa­te­lom UE sta­no­wi zaś, w świe­tle wywo­du TSUE, naru­sze­nie prze­pi­sów RODO w związ­ku z prze­pi­sa­mi Kar­ty praw pod­sta­wo­wych. W opar­ciu o tę argu­men­ta­cję i zgod­nie z przy­pusz­cze­niem sfor­mu­ło­wa­nym przez Maxa Schrem­sa jesz­cze w 2016 roku, TSUE stwier­dził nie­waż­ność Tar­czy pry­wat­no­ści.

Skut­kiem stwier­dze­nia nie­waż­no­ści Tar­czy pry­wat­no­ści nie jest jed­nak cał­ko­wi­ty zakaz doko­ny­wa­nia trans­fe­rów danych pomię­dzy UE a Sta­na­mi Zjed­no­czo­ny­mi. Jak wska­zu­je w wyro­ku TSUE, jest moż­li­we powo­ły­wa­nie się na sytu­acje prze­wi­dzia­ne w art. 49 RODO, któ­ry wymie­nia przy­pad­ki umoż­li­wia­ją­ce trans­fer danych w razie bra­ku decy­zji uzna­ją­cej poziom ochro­ny w pań­stwie trze­cim za ade­kwat­ny do unij­ne­go. Ponad­to, war­to pod­kre­ślić kon­se­kwen­cje TSUE w sto­so­wa­niu wykład­ni dążą­cej do unie­moż­li­wie­nia ame­ry­kań­skim służ­bom spe­cjal­nym dostę­pu do danych Euro­pej­czy­ków oraz w zakre­sie pro­mo­wa­nia roli, któ­rą może odgry­wać UE w pro­mo­cji stan­dar­dów wyso­kiej ochro­ny danych oso­bo­wych na świe­cie. W szer­szym świe­tle dys­ku­sji o sto­so­wa­nych przez przed­się­bior­stwa z Doli­ny Krze­mo­wej mode­lach biz­ne­so­wych jako np. kapi­ta­li­zmie nad­zo­ru, wyrok sta­no­wi jasny sygnał koniecz­no­ści poszu­ki­wa­nia innych roz­wią­zań, któ­re w bar­dziej nomen omen ade­kwat­ny spo­sób uwzględ­nia­ły­by ochro­nę pry­wat­no­ści i danych oso­bo­wych jako pra­wa pod­sta­wo­we.

Lin­ki do innych postów doty­czą­cych dzia­łań Maxa Schrem­sa.

Przewiń do góry