TSUE, RODO, Facebook, ochrona danych osobowych i duży problem w relacjach USA – UE
Maximilian Schrems jest aktywistą znanym chyba wszystkim, zajmującym się tematem ochrony danych osobowych w Europie i nie tylko.
Pierwszy raz zrobiło się o nim głośno, gdy kilka lat temu złożył do irlandzkiego organu nadzoru ochrony danych osobowych skargę na działania Facebooka polegające na przekazywaniu danych osobowych użytkowników tego portalu społecznościowego, argumentując, że poziom ochrony danych osobowych w USA jest niewystarczający.
Sprawa Schrems I
W przypadku tamtej skargi, kwestią najistotniejszą była ocena decyzji Komisji Europejskiej 2000/520 dot. uznania poziomu ochrony danych osobowych w USA za adekwatny z tym w UE, zwanej „Bezpieczną przystanią („Safe Harbour”).
Irlandzki urząd odrzucił skargę uznając, że jest związany decyzją Komisji. Sąd High Court w Irlandii, do którego odwołał się Schrems, uznał to za niewystarczające i zwrócił się z pytaniem do TSUE w sprawie tejże decyzji, pytając o jej zgodność z prawem UE.
Trybunał w wyroku z października 2015 (sygn. akt: C-362/14), zwanym obecnie „Schrems I”, orzekł nieważność decyzji Safe Harbour.
Skutki krytyki Safe Harbour
Wyrok ten wywołał falę dyskusji na temat jakości systemu ochrony danych osobowych, jeśli możliwe jest ich przekazywanie poza państwa członkowskie UE, w których możliwości badania skuteczności systemu ochrony praw osób, których dane dotyczą, przez instytucje UE i państw członkowskich są znikome bądź de facto żadne.
Jak można się domyślać, wyrok nie spotkał się z aprobatą amerykańskiej administracji i przedstawicieli sektora gospodarczego. Należy też pamiętać, że trwały wówczas prace legislacyjne nad RODO i pojawiło się wiele wątpliwości co do tego, czy przepisy te prawidłowo odnoszą się do wątpliwości podniesionych przez sędziów TSUE w uzasadnieniu wyroku co do efektywności systemu unijnego ochrony danych osobowych.
Schrems II
To nie był jednak koniec postępowania w sprawie skargi Maximiliana Schremsa. Sąd irlandzki uchylił decyzję administracyjną i nakazał przeprowadzenie postępowania ponownie.
Schrems w dalszym ciągu domagał się zobowiązania Facebooka do zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych, ze względu na fakt, że kraj ten nie zapewnia wystarczającej ochrony tychże danych.
Organ irlandzki uznał, że niezbędna jest ocena przez TSUE zgodności z prawem UE decyzji Komisji nr 2010/87 w sprawie standardowych klauzul ochrony – o co zwrócił się do Trybunału za pośrednictwem sądu krajowego.
W międzyczasie ponadto, Komisja wydała nową decyzję 2016/1250 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną Tarczą Prywatności (Privacy Shield).
Sąd irlandzki wniósł o zbadanie przez TSUE obu tych decyzji w świetle uchwalonych już wówczas przepisów RODO.
Tarcza prywatności pod ostrzałem TSUE
W pierwszej kolejności Trybunał uznał, że decyzja Komisji w sprawie standardowych klauzul ochrony jest zgodna z prawem z uwagi na fakt, że zawiera ona mechanizmy, które skutecznie umożliwiają zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony.
Ponadto powoduje, że na podstawie określonych w decyzji klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane.
Odnosząc się natomiast w drugiej kolejności do Privacy Shield, Trybunał stwierdził jej niezgodność z prawem UE – zwłaszcza z przepisami Karty praw podstawowych oraz RODO – ze względu na to, że decyzja przyznaje pierwszeństwo wymagań dotyczących bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustawodawstwa amerykańskiego, umożliwiając w ten sposób ingerencję w prawa podstawowe osób, których dane osobowe są przekazywane do Stanów Zjednoczonych.
Konsekwencją tego jest to, że chociaż sama decyzja określa wymogi, które powinny być przestrzegane przez władze amerykańskie przy wdrażaniu odpowiednich programów nadzoru, to nie przyznaje ona zainteresowanym osobom praw, które mogą stanowić podstawę do odwołania i kontroli sądowej. To podstawowy zarzut podniesiony i uznany przez TSUE.
Trybunał też orzekł, wbrew temu co deklarowała Komisja, że mechanizm mediacyjny określony w Privacy Shield nie jest wystarczającą gwarancją kontroli sądowej i nie zapewnia osobie której dane dotyczą środka odwoławczego przed organem zapewniającym zabezpieczenia merytorycznie równoważne zabezpieczeniom wymaganym prawem Unii.
Dalsze skutki
Widać wyraźnie, że potrzebna jest zmiana paradygmatu zasad współpracy między Unią a Stanami w sprawie ochrony danych, skoro druga i kolejna decyzja co do tych zasad zostaje przez sąd unijny uchylona jako wadliwa.
Pamiętać trzeba jednak o tym, że dyskusja ta będzie nad wyraz trudna z uwagi na zupełnie inne podejście aksjologiczne do tego tematu wyrażające się choćby w samych różnicach w siatce pojęciowej – UE mówi o ochronie danych, USA o ochronie prywatności.
Z drugiej strony bez właściwego uregulowania kwestii wymiany informacji i danych osobowych, rozwój gospodarczy – w obecnej sytuacji gospodarki opartej na wiedzy – będzie bardzo utrudniony.