W poprzednim wpisie omówiłem kwestie związane z opinią Rzecznika Generalnego Yvesa Bota z dnia 23 września 2015 r. wydanej w sprawie C-362/14 Maximillian Schrems/Data Protection Commissioner toczącej się przed Trybunałem Sprawiedliwości Unii Europejskiej. Dzisiaj chcę poruszyć temat wyroku Trybunału wydanego 06 października w sprawie oraz omówić jego treść i główne tezy.
Na wstępie zaznaczę, iż pomimo tego, że orzeczenie z dnia 06 października jest w swoim przekazie jednoznaczne (wyraźnie mówi o nieważności Decyzji KE 200/520/WE „Decision 2000/520 is invalid”), do tej pory odpowiednie organy, zarówno państw członkowskich jak i Unii Europejskiej niewiele poczyniły w celu wprowadzenia zasad płynących z treści uzasadnienia w życie. Oczywiście wyrażenie przez kolejne gremia instytucji, fundacji oraz stowarzyszeń etc. słuszności tez wyroku nic dla zwykłego obywatela Unii Europejskiej nie zmieni, a dane nadal będą przekazywane do USA i możliwe, że będą wykorzystywane tak jak stwierdzono w orzeczeniu. Możemy mieć jedynie nadzieję, że treść orzeczenia jest dobrym sygnałem do przyszłych, realnych, a nie teoretycznych zmian w prawie oraz co najważniejsze do zmian w procesie jego stosowania. Mam tu na myśli w szczególności przepisy przyszłego rozporządzenia w sprawie ochrony danych osobowych oraz finalnego kształtu umowy UE-USA, a także większą inicjatywę organów nadzorczych i odpowiednich instytucji UE w zakresie stosowania prawa nawet wobec największych partnerów politycznych i gospodarczych UE (bo przecież nie od dzisiaj było wiadomo, że służby USA posiadały dane Europejczyków).
Zmiany te są konieczne. Szczególnie w procesie weryfikacji przekazywania danych do podmiotów, które z jednej strony faktycznie dbają o bezpieczeństwo przekazywanych im danych (przynajmniej nie słyszymy o niekontrolowanym czy nieautoryzowanym dostępie do danych osobowych np. Użytkowników serwisów społecznościowy), a z drugiej strony podmioty te są skłonne „dobrowolnie” przekazywać dane służbom swojego kraju w niewiadomym celu. Na marginesie pozostawimy dywagacje na temat „racji stanu” takiego postępowania.
Wracając do wyroku to w treści jego uzasadnienia Trybunał jednoznacznie wskazał, że w zakresie rozpatrywania skargi w przedmiocie naruszenia zasady adekwatności poziomu ochrony danych przekazywanych do innego państwa trzeciego (w tym przypadku do Stanów Zjednoczonych Ameryki), którego obowiązujące przepisy i praktyka prawna nie gwarantują odpowiedniego poziomu ochrony, skierowanej do niezależnego urzędnika, urzędnik ten nie jest związany odmiennymi ustaleniami Wspólnoty zawartymi w decyzji Komisji z dnia 26 lipca 2000 r. (2000/520/WE). Co więcej organ taki musi zbadać sprawę indywidualnie w świetle nowych okoliczności faktycznych zaistniałych w międzyczasie, po dacie publikacji decyzji Komisji 2000/520/WE.
Trybunał jasno wskazuje, że przepisy dyrektywy 95/46 w zakresie, w jakim regulują przetwarzanie danych osobowych w sposób mogący naruszyć podstawowe wolności, w szczególności prawa do poszanowania życia prywatnego, muszą być interpretowane w świetle praw podstawowych gwarantowanych przez Kartę Praw Podstawowych Unii Europejskiej (38).
Trybunał zwraca również uwagę na niezależność organów ochrony danych osobowych w Państwach Członkowskich, których utworzenie, jak stwierdzono w motywie 62 preambuły do dyrektywy 95/46, było istotnym elementem ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych (41). Organy te muszą w szczególności zapewnić odpowiednią równowagę pomiędzy, poszanowaniem podstawowego prawa do prywatności a interesami wymagającymi swobodnego przepływu danych osobowych (42).
Trybunał podnosi, że przekazywanie danych osobowych do państw trzecich może następować jedynie w pełnej zgodności z przepisami przyjętymi przez Państwa Członkowskie na mocy dyrektywy. W tym zakresie, w rozdziale IV dyrektywy, w którym pojawiają się artykuły 25 i 26, UE stworzyła system przeznaczony do zapewnienia, że Państwa Członkowskie mogą nadzorować przekazywanie danych osobowych do państw trzecich. I ponieważ, zgodnie z artykułem 8 (3) Karty i art 28 dyrektywy 95/46, krajowe organy nadzorcze są odpowiedzialne za monitorowanie zgodności z przepisami UE w zakresie ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych, każdemu z nich przysługuje kompetencja, aby sprawdzić, czy przekazywanie danych osobowych z własnego Państwa Członkowskiego do państwa trzeciego jest zgodne z wymogami określonymi w dyrektywie 95/46.
Trybunał nie neguje zasady wynikającej z art. 25 (6) dyrektywy 95/46 tj. uznania przez KE, że państwo trzecie zapewnia prawidłowy stopień ochrony, jednak w ocenie Trybunału fakt wydania decyzji nie może wyeliminować lub ograniczyć uprawnień wyraźnie przyznanych krajowym organy nadzorczym na mocy artykułu 8 (3) Karty i art 28 dyrektywy 95/46. Co więcej przepisy te nie przewidują żadnego wyjątku w kwestiach, w których Komisja przyjęła decyzję zgodnie z art 25 (6). Wobec tego nawet jeśli Komisja przyjęła decyzję zgodnie z art 25 (6) dyrektywy o zapewnieniu prawidłowego stopnia ochrony, krajowe organy nadzorcze, rozpatrując roszczenia wniesionego przez osobę dotyczące ochrony jej praw i wolności w zakresie przetwarzania danych osobowych, muszą być w stanie zbadać, w sposób całkowicie niezależny, czy przekazanie tych danych do państwa trzeciego jest zgodne z wymaganiami określonymi w dyrektywie.
Co do istoty gwarantowania przez państwo trzecie odpowiedniego stopnia ochrony Trybunał stwierdza, że środki ochrony stosowane w państwie trzecim mogą się różnić od tych, które stosuje się w Unii Europejskiej. Środki te muszą być jednak w praktyce skuteczne w zakresie zapewnienia ochrony, zasadniczo równoważnej z gwarancją ochrony obowiązującej w ramach regulacji Unii Europejskiej. W związku z tym, badając poziom ochrony zapewnianej przez państwo trzecie, Komisja jest zobowiązana do oceny treści obowiązujących przepisów w tym kraju oraz praktyk mających na celu zapewnienie zgodności z tymi przepisami, co nakłada obowiązek uwzględnienia wszystkich okoliczności dotyczących przekazywania danych osobowych do państwa trzeciego. W tym celu Komisja, musi należycie zbadać czy państwo trzecie, w rzeczywistości zapewnia poziom ochrony praw podstawowych w istocie równoważny z poziomem zagwarantowanym w porządku prawnym UE. Dotyczy to również badania po wydaniu odpowiedniej decyzji.
W aspekcie decyzji 2000/520 Trybunał wskazał (90), że Komisja sama stwierdziła w swoich komunikatach z 2013 r., że władze USA były w stanie uzyskać dostęp do danych osobowych przekazywanych z państw członkowskich do Stanów Zjednoczonych i przetwarzać je w sposób niezgodny, w szczególności z celami, dla których zostały przekazane co więcej w sposób nieproporcjonalny w stosunku do ochrony bezpieczeństwa narodowego oraz, że osoby, których dane zostały w sposób nieodpowiedni wykorzystane nie miał żadnych środków administracyjnych lub sądowych umożliwiających im przeciwdziałanie takim praktykom.
Wobec powyższego Trybunał w orzeczeniu skupił się na nieważności art. 1 i 3 decyzji mówiących o spełnieniu przesłanki adekwatności poziomu ochrony danych osobowych (art. 1) oraz uprawnieniach właściwych władz Państw Członkowskich w zakresie zawieszenia przepływu danych (art. 3).
Trybunał stwierdził, że art. 1 decyzji 2000/520 nie spełnia wymogów określonych w art 25 (6) dyrektywy 95/46 wobec braku adekwatności poziomu ochrony gwarantowanej w USA. Następnie wskazał, że przyjmując z kolei art. 3 decyzji 2000/520 Komisja przekroczyła kompetencje, która zostały jej przyznane w artykule 25 (6) dyrektywy 95/46 i że art. 3 jest zaprzeczeniem uprawnień nadzorczych organów krajowych wynikających z art 28 dyrektywy 95/46. Mając na uwadze, że Artykuły 1 i 3 decyzji 2000/520 są nierozerwalnie związane z artykułami 2 i 4 tej decyzji oraz jej załączników, Trybunał orzekł, że ich nieważność wpływa na ważność decyzji w całości .
Reasumując Trybunał stwierdził to co od kliku lat było wiadome, a mianowicie, że dane osobowe Europejczyków przekazywane do USA nie są chronione na takim poziomie jak w UE. Szkoda, że tak późno.
Więcej na: