Trybunał zajął się sprawą w związku ze skargą Maximilliana Schremsa, obywatela Austrii, który jest od 2008 r.użytkownikiem Facebooka. Tak jak w przypadku innych użytkowników mieszkających w Unii, jego dane osobowe są w całości lub części przekazywane przez Facebook Ireland na serwery należące do Facebook Inc., znajdujące się na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane.
Czytaj: TSUE wyjaśni czy Facebook może przekazywać dane do USA>>
Zakazać przekazywania danych do USA
Schrems wniósł skargę do irlandzkiego organu nadzorczego zmierzającą do zakazania tego przekazywania. Podniósł on, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju. Skarga ta została oddalona z tego powodu, że w decyzji 2000/5205 Komisja Europejska stwierdziła, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony. Wyrokiem 6 października 2015 r. Trybunał, do którego pytanie prejudycjalne skierował sąd z Irlandia, orzekł nieważność tej decyzji („wyrok Schrems I).
W następstwie tego wyroku i późniejszego uchylenia przez sąd irlandzki decyzji oddalającej skargę M. Schremsa, irlandzki organ nadzorczy wezwał go do przeformułowania skargi, biorąc pod uwagę stwierdzenie przez Trybunał nieważności decyzji 2000/520.
Dane nie są tam dobrze chronione
W przeformułowanej skardze Schrems utrzymuje, że Stany Zjednoczone nie zapewniają wystarczającej ochrony danych osobowych przekazywanych do tego kraju. Żąda on zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych, którego Facebook Ireland dokonuje obecnie na podstawie standardowych klauzul ochrony zawartych w załączniku do decyzji 2010/87. Uznawszy, że rozpatrzenie skargi M.Schremsa zależy od ważności decyzji 2010/87, irlandzki organ nadzorczy wszczął postępowanie przed sądem, mające na celu przedłożenie Trybunałowi UE wniosku o wydanie orzeczenia w trybie prejudycjalnym.
Czy decyzje KE są ważne?
Po wszczęciu tego postępowania Komisja przyjęła decyzję (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA. Poprzez swój wniosek o wydanie orzeczenia w trybie prejudycjalnym sąd krajowy zwrócił się do Trybunału o wyjaśnienie zastosowania RODO do przekazywania danych osobowych opartego na standardowych klauzula ochrony zawartych w decyzji 2010/87, stopnia ochrony wymaganego w tym rozporządzeniu w ramach takiego przekazywania i obowiązków spoczywających w tym kontekście na organach nadzorczych. Irlandzki sąd podniósł ponadto kwestię ważności zarówno decyzji 2010/87, jak i decyzji 2016/1250.
W ogłoszonym 16 lipca wyroku Trybunał stwierdził, że ocena decyzji 2010/87 w świetle Karty praw podstawowych Unii Europejskiej nie wykazuje niczego, co mogłoby podważać jej ważność. Trybunał stwierdził natomiast, że decyzja 2016/1250 jest nieważna.
Unia prawidłowo określa standardy ochrony
Jeśli chodzi o decyzję 2010/87, to zdaniem TSUE jej ważności nie podważa sam fakt, że zawarte w niej standardowe klauzule ochrony danych nie wiążą, ze względu na ich umowny charakter, organów państwa trzeciego, do którego mogą być przekazywane dane. Trybunał wyjaśnił natomiast, że ważność tej decyzji zależy od tego, czy przewiduje ona skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane. Trybunał stwierdził, że decyzja 2010/87 wprowadza takie mechanizmy.
W tym względzie podkreślił, że decyzja ta ustanawia obowiązek, by podmiot przekazujący dane i podmiot odbierający sprawdził uprzednio, czy ten stopień ochrony jest przestrzegany w danym państwie trzecim, i że zobowiązuje ona podmiot odbierający do poinformowania podmiotu przekazującego o swej ewentualnej niemożności zastosowania się do standardowych klauzul ochrony, w którym to przypadku do tego ostatniego należy zawieszenie przekazywania danych lub rozwiązanie umowy zawartej z podmiotem przekazującym.
Dane z UE nie są w USA odpowiednio chronione
W odniesieniu do decyzji 2016/1250 TSUE stwierdził, że ustanawia ona, podobnie jak decyzja 2000/520, pierwszeństwo wymagań dotyczących bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustawodawstwa amerykańskiego, umożliwiając w ten sposób ingerencję w prawa podstawowe osób, których dane osobowe są przekazywane do tego państwa trzeciego. Zdaniem Trybunału, ograniczenia ochrony danych osobowych, które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich danych przekazywanych z Unii, które KE poddała ocenie w decyzji 2016/1250, nie są uregulowane w sposób odpowiadający wymogom merytorycznie równoważnym tym, które ustanawia w prawie Unii zasada proporcjonalności, ponieważ programy nadzoru oparte na tych przepisach nie są ograniczone do tego, co ściśle konieczne.
Nie ma gwarancji dla obywateli innych państw
Opierając się na ustaleniach zawartych w tej decyzji, Trybunał zaznaczył, że w odniesieniu do niektórych programów nadzoru ze wspomnianego uregulowania w żaden sposób nie wynika istnienie ograniczeń ustanowionego w nim uprawnienia do wdrażania tych programów, ani też gwarancji przysługujących potencjalnie objętym tymi programami osobom nieposiadającym obywatelstwa amerykańskiego. Trybunał dodał, że choć uregulowanie to ustanawia wymogi, które powinny być przestrzegane przez władze amerykańskie przy wdrażaniu odpowiednich programów nadzoru, to nie przyznaje ono zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.
Przekazywanie możliwe, ale po spełnieniu warunków
Stwierdzenie nieważności decyzji Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA nie oznacza, że aktualnie nie jest możliwe przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki. Trybunał podkreślił, że w dalszym ciągu można przekazywać dane osobowe do USA w oparciu o art. 49 RODO - komentuje radca prawny Ewa Kacperek z kancelarii Hogan Lovells.
Jak dodaje ekspertka, zgodnie z tym przepisem, przekazanie danych może nastąpić między innymi, gdy:
- osoba, której dane dotyczą, poinformowana o ryzyku, z którym może wiązać się przekazanie danych, udzieliła wyraźnej zgody na takie przekazanie,
- przekazanie danych jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą, lub podejmowane jest na żądanie tej osoby w związku z planowanym zawarciem umowy,
- przekazanie danych jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
Więcej: Po wyroku TSUE Facebook ma ograniczone możliwości przekazywania danych do USA>>
A Maximillian Schrems wyraził zadowolenie z wyroku Trybunału, ale stwierdził, że Trybunał już po raz kolejny potwierdził, że istnieje wyraźny konflikt pomiędzy przepisami Unii Europejskiej dotyczącymi ochrony danych osobowych i przepisami dotyczącymi nadzoru obowiązującymi w USA.
USA głęboko rozczarowane wyrokiem TSUE
USA wyrażają głębokie rozczarowanie wyrokiem Trybunału Sprawiedliwości UE, który wydaje się unieważniać kluczowy mechanizm umożliwiający przesyłanie danych między USA a Europą - napisał w czwartek w komunikacie minister handlu Wilbur Ross. I dodał, że władze amerykańskie będą dokładnie badały wyrok, aby zrozumieć jego wszystkie praktyczne konsekwencje, a także kontynuowały współpracę z Komisją Europejską i Europejską Radą Ochrony Danych przy wyjaśnianiu tej sprawy.