Max Schrems jest młodym austriackim prawnikiem, który po doniesieniach Edwarda Snowdena o inwigilacji prowadzonej przez amerykańskie służby wywiadowcze (program PRISM) złożył skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez serwis społecznościowy Facebook. Schrems uznał, że firma, umożliwiając wywiadowi USA nieograniczony dostęp do informacji jego dotyczących, narusza przysługujące mu prawo do ochrony danych osobowych, które w Europie jest bardziej poważane niż w Stanach Zjednoczonych Ameryki…

Skarga została złożona w Irlandii, gdzie znajduje się europejska siedziba firmy. Była rozpatrywana od poziomu irlandzkiego organu ds. ochrony danych osobowych (Data Protection Commissioner) do Wysokiego Sądu Irlandii (High Court of Ireland), który zwrócił się z pytaniem o interpretację prawa do Trybunału Sprawiedliwości UE (sprawa C-362/14). Tym prawem jest decyzja Komisji Europejskiej o uznaniu USA za kraj zapewniający ochronę danych na poziomie europejskim. Tylko do takich państw można przesyłać dane osobowe bez specjalnych obostrzeń. Pod koniec września sprawa doczekała się opinii rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej. Opinia jest często podstawą wyroku wydawanego przez Trybunał, więc warto się z nią zapoznać. Przedtem jednak warto wskazać, czego dotyczy decyzja Komisji.

Safe Harbor. Czym jest Bezpieczna przystań?

Komisja Europejska, podobnie jak Państwa członkowskie, może uznać, że inne kraje zapewniają ochronę danych osobowych odpowiednią do poziomu europejskiego. Oznacza to przestrzeganie tych zasad ujętych w unijnej dyrektywie o ochronie danych osobowych, m.in. ochrony przed nieupoważnionym dostępem i uprawnień osoby do kontroli prawidłowego przetwarzania dotyczących jej danych(w tym dochodzenia roszczeń i odszkodowań). Jeżeli kraj nie spełnia tych wymogów, to przenoszenie do niego danych nie może się odbywać np. bez zgody osoby, której one dotyczą. A wiadomo, że jej uzyskanie nie zawsze jest łatwe. W przypadku USA Komisja uznała, że program Bezpiecznej przystani (Safe Harbor) spełnia te wymogi i możliwe jest przesyłanie danych Europejczyków bez dodatkowych obostrzeń. W istocie Safe Harbor polega na tym, że jest systemem samocertyfikacji. Przykładowo dostawca hostingu sam stwierdza, że spełnia wymogi i zobowiązuje się ich dotrzymywać. Departament Handlu (część rządu USA), który odpowiada za program może prowadzić kontrole, jednakże są one sporadyczne z uwagi na ogromną liczbę usługodawców w nim uczestniczących.

Gdzie jest problem?

W tym miejscu wracamy do opinii rzecznika generalnego TS UE. Jak wspomniałem powyżej, opinie zawierają ocenę stanu faktycznego i prawnego sprawy, przez co mogą zostać poparte przez sędziów w wyroku Trybunału. W tym przypadku rzecznik, p. Yves Bot stwierdził, że decyzja Komisji jest nieważna. Może to oznaczać, iż swobodne przekazywanie danych Europejczyków do USA będzie musiało się skończyć. Rzecznik swoje stanowisko poparł m.in. następującymi argumentami. „Prawo i praktyka USA pozwalają na gromadzenie na szeroką skalę przekazywanych danych osobowych obywateli Unii, przy czym wspomniani obywatele nie mają zapewnionej skutecznej ochrony prawnej. (…) dostęp, jaki przysługuje amerykańskim służbom specjalnym do przekazywanych danych, stanowi ingerencję w prawo do poszanowania życia prywatnego i w prawo do ochrony danych osobowych, które są zagwarantowane w Karcie. (…) Dostęp do danych osobowych przysługujący amerykańskim służbom specjalnym obejmuje w sposób ogólny każdą osobę i wszystkie środki komunikacji elektronicznej, a także wszystkie przekazywane dane (w tym treść wiadomości) (…)”.

Jakie mogą być konsekwencje?

Może to oznaczać znaczące ograniczenie programu Bezpieczna przystań i zaprzestanie przesyłania informacji o Europejczykach do USA. Europejscy przedsiębiorcy mogą być zmuszeni do ograniczenia korzystania z usług amerykańskich firm świadczących usługi elektroniczne. Albo też będą musieli spełniać wymogi określone w przepisach krajowych, zezwalające na transfery danych poza UE. W przypadku Polski może to wymagać uzyskiwania zgody osób, których dane dotyczą. Ewentualnie możliwe będzie stosowanie standardowych klauzul umownych albo wiążących reguł korporacyjnych, którymi zapewnia się respektowanie prawa europejskiego w kontaktach biznesowych. Wzrosnąć może także atrakcyjność europejskich usługodawców (hosting, chmura obliczeniowa itp.) dla firm, jeżeli odpowiednio wykorzystają całą sytuację.

Z pewnością wyrok będzie miał istotne konsekwencje dla organów ochrony danych osobowych i uczestników rynku, którym zależy na przestrzeganiu prawa. Jaką będą one miały postać, dowiemy się już wkrótce. Trybunał ma wydać wyrok już jutro – 6 października. Po jego wydaniu można się spodziewać reakcji organów ds. ochrony danych osobowych, w tym także Generalnego Inspektora Ochrony Danych Osobowych, który będzie prawdopodobnie propagować informacje o wyroku i przedstawiać swoje stanowisko w sprawie. Na łamach Lookreatywni.pl przekażemy Wam wszystkie wiadomości o dalszym rozwoju wypadków.

***

AKTUALIZACJA:

We wtorek 6 października Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym przychylił się do opinii rzecznika generalnego i stwierdził nieważność decyzji Komisji stwierdzającej, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych. Zdaniem Trybunału dane europejskich internautów nie są w USA dostatecznie zabezpieczone przed dostępem do nich tamtejszych władz. Omówienie wyroku Trybunału Sprawiedliwości w sprawie C-362/14 znajdziesz tutaj.

Trybunał Sprawiedliwości UE uznał zatem porozumienie w sprawie przekazywania danych do USA (Safe Harbor) za nieważne. Warto przypomnieć, że umowa Safe Harbor, zawarta między Komisją Europejską a resortem handlu USA, umożliwiała ponad 4 tys. amerykańskich firm przetwarzanie danych handlowych i osobowych ich klientów w Europie. Safe Harbor było porozumieniem, do którego amerykańskie firmy przystępowały dobrowolnie, zobowiązując się do przestrzegania zasad postępowania z danymi. Nic dziwnego, że zaniepokojenie wyrokiem Trybunału Sprawiedliwości wyraziła już Amerykańska Izba Handlowa w UE (AmCham EU), która reprezentuje amerykańskie firmy działające na terenie Unii we wszystkich sektorach gospodarki:

Obawiamy się, że  decyzja Trybunału ograniczy swobodny przepływ danych przez Atlantyk, niekorzystnie wpłynie na ożywienie gospodarcze UE oraz budowę wspólnego rynku cyfrowego” – powiedziała szefowa AmCham EU Susan Danger

Jakie praktyczne konsekwencje ma wyrok Trybunału dla polskich firm?

Jeśli Twoja firma przetwarza dane osobowe czy też udostępnia je firmom, które mają siedzibę na terytorium Stanów Zjednoczonych to znaczy, że musisz koniecznie zrewidować podstawę przetwarzania danych. Program “Safe Harbor” przestał obowiązywać 6 października 2015r. Dalsze przekazywanie danych osobowych do Stanów Zjednoczonych na jego podstawie jest niezgodne z prawem.

***

Zobacz także:

Stanowisko Ministerstwa Administracji i Cyfryzacji dot. Bezpiecznej przystani

Czy dane osobowe naprawdę są takie ważne?

Fot.: zdjęcie autorstwa Rawpixel.com pochodzi z banku zdjęć Fotolia