Ochrona danych osobowych w firmie i szkolenia ABI
Widmo kataklizmu amerykańskich koncernów

Widmo kataklizmu amerykańskich koncernów

shutterstock_27949292

Głośna sprawa ujawnienia przez Ewdarda Snowdena działalności programu PRISM ponownie odciska swoje piętno. Tym razem podmiotem, który podważył zasady przekazywania danych Europejczyków przez amerykańskie koncerny takie jak Facebook, Google oraz Apple  jest Rzecznik Generalny Trybunału Sprawiedliwości Unii Europejskiej –  Yves Bot. Zdaniem rzecznika decyzja Komisji Europejskiej z dnia 26 lipca 2000 r stwierdzająca odpowiedni stopień ochrony danych osobowych w Stanach Zjednoczonych nie uniemożliwia krajowym organom nadzoru zawieszenia przekazywania danych osobowych Europejczyków do serwerów znajdujących się w Stanach Zjednoczonych. Ponadto rzecznik generalny uważa, że decyzja ta jest nieważna.

Opinia Yvesa Bota z dnia 23 września 2015 r. dotyczy sprawy C-362/14 Maximillian Schrems/Data Protection Commissioner prowadzonej przed Trybunałem Sprawiedliwości Unii Europejskiej na wniosek High Court of Ireland o wydanie orzeczenia w trybie prejudycjalnym.

Maximillian Schrems to austriacki aktywista, korzystający z Facebooka od 2008 r. Tak jak w przypadku innych użytkowników zamieszkałych w Unii, dane zamieszczane przez M. Schremsa na Facebooku są przekazywane, w całości lub w części, z irlandzkiej spółki zależnej Facebooka do serwerów znajdujących się na terytorium USA, gdzie są one przechowywane. Po upublicznieniu przez Edwarda Snowdena informacji na temat działalności służb specjalnych USA (w szczególności National Security Agency – NSA) Maximillian Schrems wniósł skargę do irlandzkiego organu ochrony danych twierdząc, że prawo i praktyka USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez państwo amerykańskie danych przekazywanych do tego państwa. Organ irlandzki oddalił skargę w szczególności z tego względu, że w decyzji z dnia 26 lipca 2000 r. KE stwierdziła, że w ramach systemu zwanego „bezpieczną przystanią” („Safe Harbour”) USA zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych. Sprawa znalazła swój dalszy bieg w High Court of Ireland, który skierował w trybie prejudycjalnym do TSUE pytanie o treści:

Czy jeżeli w trakcie rozpatrywania skargi skierowanej do niezależnego urzędnika, któremu z mocy ustawy powierzono funkcje administracyjne i wykonawcze w odniesieniu do ustawodawstwa dotyczącego ochrony danych, dane osobowe przekazywane są do innego państwa trzeciego (w tym przypadku do Stanów Zjednoczonych Ameryki), którego obowiązujące przepisy i praktyka prawna nie gwarantują – w ocenie skarżącego – adekwatnej ochrony osoby, której owe dane dotyczą, urzędnik ten jest bezwzględnie związany odmiennymi ustaleniami Wspólnoty zawartymi w decyzji Komisji z dnia 26 lipca 2000 r. (2000/520/WE1 ), uwzględniając art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej (2000/C 364/012 ), niezależnie od przepisu art. 25 ust. 6 dyrektywy 95/46/WE.

Zgodnie z przepisami Dyrektywy 95/46/WE przekazywanie danych do państwa trzeciego może nastąpić, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony tych danych. Na mocy dyrektywy Komisja Europejska ma kompetencje do potwierdzenia stosowania przez państwo trzecie odpowiedniego stopnia ochrony danych. W związku z takim uprawnieniem na mocy decyzji z dnia 26 lipca 2000 r. (2000/520/WE) zatwierdzony został przez Unię Europejską program „Safe Harbour” – umożliwiający amerykańskim podmiotom gospodarczym sprostanie wymaganiom Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych. Uzyskanie certyfikatu programu „Safe Harbour” przez uczestniczące w nim podmioty zapewnia, że gwarantują one odpowiedni poziom ochrony danych osobowych, który określa Dyrektywa 95/46/WE.

Istotnym zagadnieniem, które pojawiło się na gruncie wskazanego wcześniej sporu jest kwestia, czy decyzja Komisji 2000/520/WE ma na celu uniemożliwienie krajowemu organowi nadzorczemu prowadzenia dochodzenia w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony i, w stosownym przypadku, zawieszenia kwestionowanego przekazywania danych.

Zdaniem rzecznika istnienie decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych nie może zniweczyć ani nawet ograniczyć uprawnień, jakie przysługują krajowym organom nadzorczym na mocy dyrektywy o przetwarzaniu danych osobowych. Poza tym rzecznik generalny ocenił, że decyzja Komisji jest nieważna, a uprawnienia interwencyjne krajowych organów nadzorczych uwzględniając ich istotną rolę w zakresie ochrony danych nie mogą zostać ograniczone. Co to może oznaczać?

Zgodnie z przyjętym punktem widzenia rzecznika, krajowe organy nadzorcze w przypadku stwierdzenia, że przekazywanie danych do państwa trzeciego narusza ochronę ich obywateli odnośnie przetwarzania dotyczących ich danych,  uprawnione do zawieszenia tego przekazywania, niezależnie od ogólnej oceny przeprowadzonej przez Komisję w wydanej przez nią decyzji.

W aspekcie wykorzystywania danych osobowych przez amerykańskie koncerny oraz powszechną wiedzę na temat ich przekazywania odpowiednim służbom specjalnym może skutkować to zawieszeniem stosowania decyzji Komisji, nawet jeśli obecnie prowadzi ona negocjacje z USA w celu zaprzestania stwierdzonych uchybień. Co finalnie może zablokować przekazywanie danych obywateli krajów Unii Europejskiej do USA.

Trafnym wydaje się również argument rzecznika w którym stwierdza on, że skoro Komisja postanowiła rozpocząć negocjacje z USA, to oznacza, że wcześniej stwierdziła, że stopień ochrony zapewniany przez to państwo w ramach systemu bezpiecznej przystani nie jest już odpowiedni i że decyzja z 2000 r. nie jest już dostosowana do rzeczywistej sytuacji.

Mając na uwadze jak wielkie interesy leżą na szali można być pewnym, że żadnego wstrzymania przekazywania danych do USA nie będzie. Jednak stanowisko  Yvesa Bota jest potwierdzeniem faktu, że ochrona praw Europejczyków w aspekcie ochrony danych osobowych  i prawa do prywatności powinna być respektowana również przez wielkie koncerny i rząd USA. Kolejną kwestią jest potwierdzenie rzeczywistego braku przydatności i skuteczności programu „Bezpiecznej Przystani” w obecnym kształcie oraz potrzeby wprowadzenia jasnych i przejrzystych zasad przekazywania danych do USA.

Więcej na:

– Sprawa Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14),

– Opinia rzecznika Yves Bot z dnia 23 września 2015 r. w sprawie c-362/14,

– Komunikat prasowy TSUE z dnia 23 września 2015 r.

Marcin Kaleta

Prezes Zarządu