Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems (tzw. "Schrems II") zostanie ogłoszony już 16 lipca 2020 r. Orzeczenie dotyczy sporu, który zaistniał pomiędzy komisarzem ds. ochrony danych w Irlandii (ang. Data Protecion Commissioner, "DPC") a Facebook Ireland Ltd i Maximillianem Schremsem.
Maximillian Schrems jest znanym aktywistą na rzecz ochrony prywatności w internecie i fundatorem organizacji non-profit NOYB – European Center for Digital Rights, wszczynającej sprawy sądowe między innymi, na rzecz ochrony praw wynikających z RODO. W przeszłości M. Schrems wielokrotnie walczył o prawa do poszanowania prywatności i ochrony danych osobowych przeciwko gigantowi mediów społecznościowych, jakim jest Facebook.
Czytaj: Amnesty: Inwigilacja gigantów społecznościowych zagrożeniem dla praw człowieka>>
Jedną z jego inicjatyw o najbardziej doniosłym znaczeniu była skarga wniesiona do DPC, w której M. Schrems zażądał, aby DPC zakazał spółce Facebook Ireland przekazywania jego danych osobowych do Stanów Zjednoczonych. Podniósł między innymi, że prawo i praktyka obowiązujące w Stanach Zjednoczonych nie zapewniają wystarczającej ochrony danych osobowych przechowywanych na jego terytorium przed prowadzonymi przez organy władzy publicznej działaniami nadzorczymi. Na poparcie swoich argumentów, M. Schrems powołał ujawnione przez Edwarda Snowdena informacje na temat działalności amerykańskich służb wywiadowczych, a w szczególności służb National Security Agency (NSA) (Krajowej Agencji Bezpieczeństwa USA).
Czytaj w LEX: Transfer danych do państwa trzeciego na podstawie decyzji Komisji >
DPC oddalił skargę M. Schremsa, między innymi na tej podstawie, że wszelkie kwestie dotyczące odpowiedniego charakteru stopnia ochrony zapewnianego w Stanach Zjednoczonych powinny być rozstrzygane zgodnie z decyzją w sprawie bezpiecznej przystani, w której Komisja stwierdziła, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych przedsiębiorstwom mającym siedziby na jego terytorium, które zobowiązały się przestrzegać zasad wyrażonych w tej decyzji. Finałem postępowania zainicjowanego przez Maximilliana Schremsa był wyrok Trybunału Sprawiedliwości UE, na mocy którego Trybunał stwierdził nieważność decyzji Komisji Europejskiej stwierdzającej, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych (wyrok w sprawie C-362/14, tzw. "Schrems").
Czytaj w LEX: Podstawowe pojęcia i zasady w zakresie przekazywania danych osobowych do państw trzecich >
Na jakiej podstawie dane osobowe trafiają do USA?
Sprawa Schrems II jest pokłosiem pierwszego postępowania z udziałem M. Schremsa. Po uchyleniu decyzji oddalającej skargę Schremsa, i stwierdzającej nieważność decyzji Komisji w sprawie bezpiecznej przystani, w ramach ponowie wszczętego postępowania, DPC zwrócił się do M. Schremsa o przeformułowanie skargi. W zmienionej skardze, M. Schrems zażądał wskazania podstaw prawnych, w oparciu o które Facebook Ireland przekazuje dane osobowe użytkowników portalu Facebook z Unii Europejskiej do Stanów Zjednoczonych. Facebook Ireland wskazał, że zawarł umowę w sprawie przekazywania i przetwarzania danych ze spółką Facebook Inc. z siedzibą w USA, opartą na standardowych klauzulach umownych wprowadzonych decyzją Komisji Europejskiej 2010/87/UE, które mogą stanowić podstawę dla bezpiecznego przekazania danych osobowych do państw trzecich.
Czytaj w LEX: Standardowe klauzule ochrony danych (modelowe klauzule umowne) >
W postępowaniu M. Schrems podniósł, że standardowe klauzule umowne nie mogą stanowić podstawy dla przekazywania jego danych osobowych do Stanów Zjednoczonych, ponieważ prawo amerykańskie wymaga, aby spółka Facebook Inc. udostępniała dane osobowe swoich użytkowników amerykańskim organom, takim jak NSA i Federal Bureau of Investigation (FBI) (federalne biuro śledcze USA) w ramach programów nadzoru. Zdaniem M. Schremsa brak jest środków ochrony prawnej, które zapewniałyby egzekwowanie praw do ochrony prywatności oraz danych osobowych w tym państwie. W następstwie podniesionych przez M. Schremsa uwag, DPC uznał, że konieczne jest zbadanie przez Trybunał Sprawiedliwości UE, czy decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich nr 2010/87/UE jest ważna.
Dlaczego ten wyrok będzie istotny?
Wyrok w sprawie "Schrems II" może odpowiedzieć na pytanie, w jaki sposób podmioty mogą przekazywać dane osobowe z Europejskiego Obszaru Gospodarczego (EOG) do państw, które nie zapewniają adekwatnego stopnia ochrony danych osobowych. Zgodnie z RODO, przekazywanie danych osobowych do państw trzecich, czyli państw pozostających poza EOG, może nastąpić bez specjalnego zezwolenia i dodatkowych zabezpieczeń dopiero wtedy, gdy Komisja Europejska stwierdzi, że to państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych.
Zobacz procedurę w LEX: Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych >
Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia między innymi, praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych. Po dokonaniu oceny, czy stopień ochrony jest odpowiedni, Komisja może przyjąć decyzję stwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony.
Czytaj: Facebook i Twitter będą odpowiadać za niedozwolone wpisy>>
W razie braku powyższej decyzji podmiot może przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Takimi odpowiednimi zabezpieczeniami mogą być między innymi standardowe klauzule ochrony danych przyjęte przez Komisję. RODO przewiduje pewne wyjątki od tych zasad, na przykład możliwość przekazania danych osobowych do państwa trzeciego w oparciu o zgodę osoby, której dane dotyczą.
Czytaj w LEX: Przekazywanie danych osobowych z zastrzeżeniem odpowiednich zabezpieczeń >
Wyrok w sprawie Schrems II rozstrzygnie, czy przekazywanie danych osobowych do państw spoza EOG, które nie zapewniają odpowiedniego stopnia ochrony danych osobowych, np. do Stanów Zjednoczonych Ameryki, może być oparte na umowach inkorporujących standardowe klauzule umowne, które do tej pory były powszechnie stosowanym i prostym do wdrożenia środkiem gwarantującym odpowiednie zabezpieczenie danych osobowych. Jeśli ten sposób zabezpieczenia przekazywania danych osobowych do państw trzecich zostanie uznany za nieodpowiedni, podmioty przekazujące dane będą musiały skorzystać z innych zabezpieczeń, np. wiążących reguł korporacyjnych, które wymagają zatwierdzenia przez organ nadzorczy (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych).
Czytaj w LEX: Szczególne sytuacje uprawniające do dokonywania transferów danych >
Rzecznik generalny proponował uznanie decyzji za ważną
Opinia Rzecznika Generalnego, Henrika Saugmandsgaarda Øe przedstawiona 19 grudnia 2019 r. może rzucić światło na treść wyroku w sprawie "Schrems II", chociaż - jak pokazuje historia orzeczeń Trybunału Sprawiedliwości UE - opinie Rzeczników Generalnych nie zawsze mają przełożenie na ostateczny wynik sprawy. Zgodnie z tą opinią, Rzecznik Generalny nie znalazł jakichkolwiek okoliczności, które mogłyby wpływać na ważność decyzji 2010/87/UE z 5 lutego 2010 r. w sprawie standardowych klauzul umownych. Prawdopodobne zatem, Trybunał uzna decyzję za ważną co do zasady, jednak przy założeniu, że należało będzie oceniać dla każdego konkretnego przypadku przekazywania danych, czy prawo obowiązujące w docelowym państwie trzecim nie stoi na przeszkodzie wykonaniu zobowiązań wynikających ze standardowych klauzul umownych, a w konsekwencji czy nie uniemożliwi odpowiedniej ochrony przekazanych danych, a co za tym idzie – czy nie należało będzie zawiesić przekazywania danych do pewnych państw trzecich.
Czytaj w LEX: Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej >
Możliwe jest również, że Trybunał Sprawiedliwości UE uzna decyzję w sprawie standardowych klauzul umownych za nieważną, co spowoduje, że ta podstawa prawna nie będzie mogła być stosowana w razie przekazywania danych osobowych z Europejskiego Obszaru Gospodarczego do państw trzecich.
Autorki:
Weronika Wołosiuk, Lawyer, aplikant adwokacki, kancelaria Hogan Lovells
Ewa Kacperek, counsel, radca prawny, kancelaria Hogan Lovells
