Trybunał zajął się sprawą w związku ze skargą Maximilliana  Schremsa, obywatela Austrii, który jest od  2008 r.użytkownikiem Facebooka. Tak jak w przypadku  innych  użytkowników  mieszkających w Unii, jego dane osobowe są w całości lub części przekazywane przez Facebook Ireland na serwery należące do Facebook  Inc., znajdujące się na terytorium Stanów  Zjednoczonych,  gdzie dane  te są przetwarzane. 

Czytaj: TSUE wyjaśni czy Facebook może przekazywać dane do USA>>
 

Zakazać przekazywania danych do USA

Schrems wniósł skargę do irlandzkiego organu nadzorczego zmierzającą do  zakazania tego przekazywania. Podniósł on, że prawo i praktyka Stanów Zjednoczonych  nie zapewniają  wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju. Skarga ta została oddalona z tego powodu, że w decyzji 2000/5205 Komisja Europejska stwierdziła, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony. Wyrokiem 6 października 2015 r. Trybunał,   do   którego   pytanie prejudycjalne  skierował sąd z Irlandia, orzekł  nieważność  tej  decyzji („wyrok Schrems I). 

W następstwie tego wyroku i późniejszego uchylenia przez sąd irlandzki decyzji oddalającej skargę M. Schremsa, irlandzki organ nadzorczy wezwał go do przeformułowania skargi, biorąc pod uwagę  stwierdzenie przez Trybunał nieważności decyzji 2000/520.

 


Dane nie są tam dobrze chronione

W przeformułowanej skardze Schrems utrzymuje, że Stany  Zjednoczone nie  zapewniają  wystarczającej ochrony  danych osobowych przekazywanych do tego  kraju. Żąda on zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych, którego Facebook Ireland dokonuje obecnie na podstawie standardowych klauzul ochrony zawartych w załączniku do decyzji 2010/87. Uznawszy,  że  rozpatrzenie  skargi M.Schremsa zależy od  ważności decyzji 2010/87, irlandzki  organ  nadzorczy wszczął postępowanie  przed sądem, mające  na celu przedłożenie Trybunałowi UE  wniosku o wydanie   orzeczenia w trybie  prejudycjalnym. 

Czy decyzje KE są ważne?

Po wszczęciu tego  postępowania  Komisja  przyjęła  decyzję (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA. Poprzez swój  wniosek o wydanie orzeczenia w trybie  prejudycjalnym  sąd krajowy  zwrócił się  do Trybunału o wyjaśnienie zastosowania RODO do  przekazywania  danych  osobowych  opartego  na standardowych  klauzula ochrony zawartych w decyzji 2010/87, stopnia  ochrony  wymaganego w tym  rozporządzeniu w ramach takiego  przekazywania i obowiązków  spoczywających w tym kontekście  na  organach  nadzorczych. Irlandzki sąd podniósł ponadto  kwestię  ważności  zarówno decyzji 2010/87, jak i decyzji 2016/1250. 

W ogłoszonym 16 lipca wyroku Trybunał stwierdził, że ocena decyzji 2010/87 w świetle Karty praw podstawowych Unii  Europejskiej nie wykazuje niczego, co  mogłoby podważać jej ważność. Trybunał stwierdził natomiast, że decyzja 2016/1250 jest nieważna. 

Unia prawidłowo określa standardy ochrony

Jeśli chodzi o decyzję 2010/87, to zdaniem TSUE jej ważności nie podważa sam fakt, że zawarte w niej standardowe klauzule ochrony danych nie wiążą, ze względu na ich umowny charakter, organów państwa trzeciego, do którego mogą być przekazywane dane. Trybunał wyjaśnił natomiast, że ważność tej decyzji zależy od tego, czy przewiduje ona skuteczne mechanizmy  umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych  zostanie w przypadku  ich  naruszenia  lub  niemożności  ich przestrzegania  zawieszone  lub  zakazane. Trybunał  stwierdził, że decyzja 2010/87 wprowadza takie  mechanizmy.
W tym  względzie podkreślił, że decyzja ta ustanawia obowiązek, by podmiot przekazujący dane i podmiot odbierający sprawdził uprzednio, czy ten stopień  ochrony jest przestrzegany w danym  państwie trzecim, i że zobowiązuje ona podmiot odbierający do poinformowania podmiotu przekazującego o swej   ewentualnej  niemożności zastosowania się do  standardowych  klauzul  ochrony, w którym to przypadku do tego ostatniego należy zawieszenie przekazywania   danych lub rozwiązanie umowy zawartej z podmiotem przekazującym.

 


Dane z UE nie są w USA odpowiednio chronione

W odniesieniu do decyzji 2016/1250 TSUE stwierdził, że ustanawia ona, podobnie jak decyzja 2000/520, pierwszeństwo wymagań dotyczących bezpieczeństwa   narodowego, interesu publicznego i przestrzegania ustawodawstwa amerykańskiego, umożliwiając w ten sposób ingerencję w prawa podstawowe osób, których dane osobowe są przekazywane do tego państwa trzeciego. Zdaniem Trybunału, ograniczenia ochrony danych osobowych,  które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich danych  przekazywanych z Unii, które KE poddała  ocenie w decyzji 2016/1250, nie są uregulowane w sposób odpowiadający wymogom merytorycznie równoważnym tym, które ustanawia w prawie Unii zasada proporcjonalności, ponieważ programy nadzoru oparte na tych przepisach nie są ograniczone do tego, co ściśle konieczne. 

Nie ma gwarancji dla obywateli innych państw

Opierając się na ustaleniach zawartych w tej decyzji, Trybunał zaznaczył, że w odniesieniu do niektórych programów nadzoru ze  wspomnianego uregulowania w żaden sposób nie wynika istnienie ograniczeń ustanowionego w nim uprawnienia do wdrażania tych programów, ani  też  gwarancji  przysługujących  potencjalnie objętym tymi programami osobom nieposiadającym  obywatelstwa  amerykańskiego. Trybunał dodał, że choć uregulowanie to ustanawia wymogi, które powinny być przestrzegane przez władze amerykańskie przy wdrażaniu odpowiednich programów nadzoru, to nie przyznaje ono zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.

Przekazywanie możliwe, ale po spełnieniu warunków

Stwierdzenie nieważności decyzji Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA nie oznacza, że aktualnie nie jest możliwe przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki. Trybunał podkreślił, że w dalszym ciągu można przekazywać dane osobowe do USA w oparciu o art. 49 RODO - komentuje radca prawny Ewa Kacperek z kancelarii Hogan Lovells. 

Jak dodaje ekspertka, zgodnie z tym przepisem, przekazanie danych może nastąpić między innymi, gdy:

  • osoba, której dane dotyczą, poinformowana o ryzyku, z którym może wiązać się przekazanie danych, udzieliła wyraźnej zgody na takie przekazanie, 
  • przekazanie danych jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą, lub podejmowane jest na żądanie tej osoby w związku z planowanym zawarciem umowy, 
  • przekazanie danych jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń. 

Więcej: Po wyroku TSUE Facebook ma ograniczone możliwości przekazywania danych do USA>>
 

A Maximillian Schrems wyraził zadowolenie z wyroku Trybunału, ale stwierdził, że Trybunał już po raz kolejny potwierdził, że istnieje wyraźny konflikt pomiędzy przepisami Unii Europejskiej dotyczącymi ochrony danych osobowych i przepisami dotyczącymi nadzoru obowiązującymi w USA. 
 

USA głęboko rozczarowane wyrokiem TSUE 

USA wyrażają głębokie rozczarowanie wyrokiem Trybunału Sprawiedliwości UE, który wydaje się unieważniać kluczowy mechanizm umożliwiający przesyłanie danych między USA a Europą - napisał w czwartek w komunikacie minister handlu Wilbur Ross. I dodał, że władze amerykańskie będą dokładnie badały wyrok, aby zrozumieć jego wszystkie praktyczne konsekwencje, a także kontynuowały współpracę z Komisją Europejską i Europejską Radą Ochrony Danych przy wyjaśnianiu tej sprawy.