Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems (tzw. "Schrems II") został ogłoszony 16 lipca 2020 r. Orzeczenie dotyczy sporu, który zaistniał pomiędzy komisarzem ds. ochrony danych w Irlandii (ang. Data Protection Commissioner, "DPC") a Facebook Ireland Ltd i Maximillianem Schremsem.
Czytaj: TSUE: Nie można przekazywać danych osobowych do USA, bo nie są dobrze chronione>>
Maximillian Schrems jest znanym aktywistą na rzecz ochrony prywatności w internecie i fundatorem organizacji non-profit NOYB – European Center for Digital Rights, wszczynającej sprawy sądowe między innymi, na rzecz ochrony praw wynikających z RODO. W przeszłości M. Schrems wielokrotnie walczył o prawa do poszanowania prywatności i ochrony danych osobowych przeciwko gigantowi mediów społecznościowych, jakim jest Facebook.
Sprawa Schrems II jest pokłosiem pierwszego postępowania z udziałem M. Schremsa (wyrok w sprawie C-362/14, tzw. "Schrems"). W postępowaniu wszczętym przez DPC, M. Schrems zażądał wskazania podstaw prawnych, w oparciu o które Facebook Ireland przekazuje dane osobowe użytkowników portalu Facebook z Unii Europejskiej do Stanów Zjednoczonych. Facebook Ireland wskazał, że zawarł umowę w sprawie przekazywania i przetwarzania danych ze spółką Facebook Inc. z siedzibą w USA, opartą na standardowych klauzulach umownych wprowadzonych decyzją Komisji Europejskiej 2010/87/UE, które mogą stanowić podstawę dla bezpiecznego przekazania danych osobowych do państw trzecich.
W postępowaniu M. Schrems podniósł, że standardowe klauzule umowne nie mogą stanowić podstawy dla przekazywania jego danych osobowych do Stanów Zjednoczonych, ponieważ prawo amerykańskie wymaga, aby spółka Facebook Inc. udostępniała dane osobowe swoich użytkowników amerykańskim organom, takim jak NSA i Federal Bureau of Investigation (FBI) (federalne biuro śledcze USA) w ramach programów nadzoru. Zdaniem M. Schremsa brak jest środków ochrony prawnej, które zapewniałyby egzekwowanie praw do ochrony prywatności oraz danych osobowych w tym państwie. W następstwie podniesionych przez M. Schremsa uwag, DPC uznał, że konieczne jest zbadanie przez Trybunał Sprawiedliwości UE, czy decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich nr 2010/87/UE jest ważna.
JAK OCENIAĆ ZABEZPIECZENIA PRZEKAZANIA DANYCH OSOBOWYCH DO PAŃSTW TRZECICH
Wyrok w sprawie "Schrems II" rzuca światło na kwestię oceny odpowiedniego zabezpieczenia przekazania danych osobowych. Zgodnie z wyrokiem, ocena poziomu ochrony zapewnianej w ramach takiego przekazania musi w szczególności uwzględniać zarówno klauzule umowne uzgodnione między administratorem danych lub podmiotem przetwarzającym z siedzibą w Unii Europejskiej, a odbiorcą danych mającym siedzibę w państwie trzecim, a w odniesieniu do dostępu organów publicznych tego państwa trzeciego do przekazywanych danych osobowych - odpowiednie aspekty systemu prawnego tego państwa trzeciego, w szczególności te określone w sposób niewyczerpujący w RODO, tj. między innymi praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych.
OBOWIĄZEK ZAWIESZENIA LUB ZAKAZANIA PRZEKAZANIA DANYCH DO PAŃSTWA TRZECIEGO
W wyroku w sprawie "Schrems II" Trybunał wskazał na obowiązek spoczywający na podmiocie przekazującym dane i podmiocie odbierającym dane, który polega na uprzedniej weryfikacji, czy stopień ochrony danych jest przestrzegany w danym państwie trzecim oraz obowiązek poinformowania podmiotu przekazującego przez podmiot odbierający o swojej ewentualnej niemożności zastosowania się do standardowych klauzul ochrony. W takim przypadku, podmiot przekazujący powinien zawiesić przekazywanie danych lub rozwiązać umowę zawartą z takim podmiotem. Ponadto Trybunał podkreślił, że o ile nie zostanie wydana prawomocna decyzja Komisji o stwierdzeniu odpowiedniego stopnia ochrony, organ nadzorczy (w Polsce – Prezes Urzędu Ochrony Danych Osobowych) ma obowiązek zawiesić lub zakazać przekazania danych do państwa trzeciego zgodnie ze standardowymi klauzulami ochrony danych przyjętymi przez Komisję, jeżeli w opinii tego organu i w świetle wszystkich okoliczności tego przekazania, istnieją przeszkody w wykonaniu zobowiązań wynikających ze standardowych klauzul umownych a ochrona przekazywanych danych wymagana przez prawo UE oraz Kartę Praw Podstawowych Unii Europejskiej, nie może być zapewniona innymi środkami, jeżeli administrator lub podmiot przetwarzający sam nie zawiesił ani nie zakończył przekazania danych osobowych.
WAŻNOŚĆ DECYZJI W SPRAWIE STANDARDOWYCH KLAUZUL UMOWNYCH
Trybunał stwierdził, że ważność decyzji Komisji w sprawie standardowych klauzul umownych zależy od tego, czy zgodnie z wymogami RODO, interpretowanymi w świetle Karty Praw Podstawowych UE, taka decyzja w sprawie standardowych klauzul zawiera skuteczne mechanizmy, które umożliwiają w praktyce zapewnienie zgodności z poziomem ochrony wymaganym przez prawo UE oraz że przekazywanie danych osobowych zgodnie z klauzulami takiej decyzji może być zawieszone lub zabronione w przypadku naruszenia takich klauzul lub niemożności ich zastosowania.
Trybunał wskazał, że standardowe klauzule umowne zawierają skuteczne mechanizmy, które gwarantują możliwość zawieszenia lub zakazania przekazania danych osobowych, jeżeli odbiorca danych nie przestrzega tych klauzul lub nie jest w stanie ich przestrzegać.
CO Z TARCZĄ PRYWATNOŚCI?
Trybunał podniósł, że kwestia, czy ustalenia decyzji w sprawie Tarczy Prywatności, odnośnie tego, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony, są wiążące, jest istotna dla celów oceny obowiązku weryfikacji możliwości wypełnienia zobowiązań wynikających ze standardowych klauzul umownych, które spoczywają zarówno na administratorze, jak i odbiorcy danych osobowych, a także obowiązku zawieszenia lub zakazania przekazania danych osobowych.
Trybunał podkreślił, że decyzja w sprawie Tarczy Prywatności jest wiążąca dla organów nadzorczych w zakresie, w jakim stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony, a zatem skutkuje zezwoleniem na przekazywanie danych osobowych w ramach Tarczy Prywatności UE-USA. W związku z tym, dopóki Trybunał nie uzna tej decyzji za nieważną, właściwy organ nadzorczy nie może zawiesić ani zakazać przekazywania danych osobowych podmiotowi, który przestrzega Tarczy Prywatności.
W konsekwencji Trybunał przeanalizował kwestię ważności decyzji w sprawie Tarczy Prywatności. Trybunał uznał, że wbrew treści decyzji, ograniczenia ochrony danych osobowych, które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich danych przekazywanych z Unii do tego państwa trzeciego, brak przyznania zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami oraz brak odpowiedniej ochrony sądowej, stanowią o niemożności zapewnienia przez Stany Zjednoczone odpowiedniego stopnia ochrony danych osobowych, a w konsekwencji uznał decyzję w sprawie Tarczy Prywatności za nieważną.
CO MAJĄ ZROBIĆ PODMIOTY PRZEKAZUJĄCE DANE OSOBOWE DO USA?
Stwierdzenie nieważności decyzji Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA nie oznacza, że aktualnie nie jest możliwe przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki. Trybunał podkreślił, że w dalszym ciągu można przekazywać dane osobowe do USA w oparciu o art. 49 RODO. Zgodnie z tym przepisem, przekazanie danych może nastąpić między innymi, gdy:
- osoba, której dane dotyczą, poinformowana o ryzyku, z którym może wiązać się przekazanie danych, udzieliła wyraźnej zgody na takie przekazanie,
- przekazanie danych jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą, lub podejmowane jest na żądanie tej osoby w związku z planowanym zawarciem umowy,
- przekazanie danych jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
SCHREMS ZADOWOLONY Z WYROKU
Max Schrems wyraził zadowolenie z wyroku Trybunału i stwierdził, że Trybunał już po raz kolejny potwierdził, że istnieje wyraźny konflikt pomiędzy przepisami Unii Europejskiej dotyczącymi ochrony danych osobowych i przepisami dotyczącymi nadzoru obowiązującymi w USA. Zdaniem M. Schrems'a, ponieważ UE nie zmieni swoich podstawowych praw, aby zadowolić NSA, jedynym sposobem przezwyciężenia tego konfliktu jest wprowadzenie przez USA solidnych praw do prywatności wszystkich osób - w tym cudzoziemców. Reforma nadzoru staje się zatem kluczowa dla interesów biznesowych Doliny Krzemowej.
Autorki:
Weronika Wołosiuk, Lawyer, aplikant adwokacki, kancelaria Hogan Lovells
Ewa Kacperek, counsel, radca prawny, kancelaria Hogan Lovells
