W ubiegłym tygodniu w mediach można było przeczytać liczne artykuły na temat wyroku w sprawie zwanej „Schrems II” (czyli wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 r. w sprawie C‑311/18; polskie tłumaczenia wyroku można znaleźć tutaj ). Dlaczego Schrems II? Otóż spór Maximillina Schremsa z Facebook Ireland (powiązanej z Facebook Incorporated z siedzibą w Stanach Zjednoczonych) trwa już wiele lat. Sama, jeszcze na studiach, podczas swojego pierwszego wystąpienia na konferencji naukowej, miałam okazję poruszyć temat pierwszego wyroku Trybunału, który zapewne powinien być obecnie nazwany wyrokiem „Schrems I”. Nie ma wątpliwości – zarówno pierwszy jak i drugi wyrok będą miały duży wpływ na przekazywanie danych osobowych Europejczyków do Stanów Zjednoczonych.

Jak to się właściwie zaczęło?

Jednym z użytkowników Facebooka, od 2008 r., był wspomniany Maximillian Schrems. Jego dane, tak jak dane innych użytkowników portalu, były przekazywane i przetwarzane na serwerach znajdujących się na terytorium USA. W 2013 r., po ujawnieniu przez Edwarda Snowdena informacji na temat działalności amerykańskich służb wywiadowczych, Schrems złożył skargę do Komisarza Ochrony Danych (ang. Data Protection Commissionaire), będącego w Irlandii odpowiednikiem Prezesa Urzędu Ochrony Danych Osobowych, w której zażądał, aby zakazał spółce Facebook Ireland przekazywania jego danych osobowych do Stanów Zjednoczonych. Swoje żądania argumentował brakiem odpowiedniej ochrony danych osobowych przed działaniami władz publicznych. Komisarz  odrzucił jednak jego skargę uznając ją za bezpodstawną. Swoją decyzję argumentował  brakiem dowodów na to, że Narodowa Agencja Bezpieczeństwa (ang. National Seciurity Agency), czyli amerykańska agencja wywiadowcza, uzyskała dostęp do danych osobowych Maximilliana  Schremsa, powołując się jednocześnie na decyzją 2000/520, w której Komisja stwierdziła, że stopień ochrony danych w Stanach Zjednoczonych jest odpowiedni.

Maximillian Schrems nie zgodził się z decyzją Komisarza i wniósł skargę do Sądu Najwyższego (ang. High Court), który stwierdził, że nadzór elektroniczny i przechwytywanie danych osobowych przekazywanych z Unii do Stanów Zjednoczonych „służyło realizacji koniecznych i niezbędnych celów interesu publicznego”.  Uwzględnił jednak również, że zgodnie z informacjami ujawnionymi przez Edwarda Snowdena organy federalne USA znacznie przekraczały swoje kompetencje. Zauważył ponadto, że M. Schrems w rzeczywistości podważył w swojej skardze zgodność z prawem Bezpiecznej Przystani (ang. Safe Harbour), „poprzednika” Tarczy Prywatności (ang. Privacy Shield). W związku z rozpatrywaną sprawą zwrócił się z pytaniami do Trybunału w Luksemburgu (TSUE). W wydanym przez Trybunał wyroku (wyrok w sprawie C-362/14, który w polskiej wersji można znaleźć tutaj ) zostało poruszonych wiele istotnych kwestii, jednak co najważniejsze uznano, że decyzja 2000/520  jest nieważna. W efekcie powstał nowy projekt decyzji dotyczącej programu Tarcza Prywatności. I tu dochodzimy do podstaw wydania drugiego wyroku (Schrems II).

Co to Tarcza Prywatności i dlaczego była tak istotna?

W dużym skrócie Tarcza Prywatności była umową mającą istotne znaczenie dla przekazywania danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Przyjęte w niej rozwiązanie bazowało na mechanizmie samocertyfikacji przedsiębiorstw ze Stanów Zjednoczonych. W celu jej dokonania organizacje dostarczały do Departamentu Handlu USA wniosek zawierający wymagane informacje (m.in. nazwę organizacji, opis działalności oraz opis polityki prywatności dla danych osobowych). Podmioty certyfikowane musiały spełniać szereg obowiązków, mających zapewnić odpowiedni stopień ochrony praw osób, których dane dotyczą. Departament Handlu prowadzi listę organizacji, które przystąpią do programu oraz listy organizacji, które z programu zostały wykreślone. Przedsiębiorca w Unii Europejskiej mógł sprawdzić, czy podmiot, z którym zamierza podjąć współpracę znajduje się na liście, a więc jest podmiotem certyfikowanym.

Jej znaczenie wynika z art. 45 ust. 1 RODO:

„Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.” Dzięki Tarczy specjalne zezwolenie nie było konieczne, ponieważ istniała odpowiednia decyzja Komisji.

Schrems II – co stwierdził TSUE?

Najistotniejsze w wyroku „Schrems II” jest stwierdzenie nieważności decyzji Komisji. Trybunał odpowiedział też na pytanie, czy RODO będzie miało zastosowanie do przekazywania danych z państwa A do państwa B pomiędzy podmiotami gospodarczymi, jeżeli w jego trakcie lub w następstwie dane te mogą być przetwarzane przez organy władzy państwa B do celów związanych z bezpieczeństwem publicznym, obroną i bezpieczeństwem państwa (przy czym państwo A jest państwem członkowskim UE, a państwo B nie). Jak można było przewidzieć, odpowiedź była twierdząca, a więc nie da się uniknąć konsekwencji wynikających z Rozporządzenia. RODO stosuje się bowiem do „przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych” (art. 2 ust. 1 RODO), choć przewidziane są w tym zakresie pewne wyjątki. Mianowicie nie będzie podlegało mu przetwarzanie danych w ramach działalności nieobjętej zakresem prawa Unii, przetwarzanie przez państwa członkowskie w ramach wykonywania działań, o których mowa w Traktacie o Unii Europejskiej (a dokładniej w rozdziale V Traktatu, który zawiera przepisy dotyczące działań zewnętrznych Unii), przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, przetwarzanie przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Jak słusznie zauważył Trybunał, żadne ze wskazanych włączeń w takim wypadku nie zachodzi. Dotyczą one bowiem albo działań osób fizycznych albo działań państw i ich władz państwowych. Przetwarzanie nie może być wyłączone z zakresu stosowania RODO tylko dlatego, że dane mogą być przetwarzane przez organy władzy danego państwa trzeciego dla celów związanych z bezpieczeństwem publicznym, obronnością i bezpieczeństwem państwa.

Wyrok i co dalej?

Na Twitterze Maximilliana Schremsa możemy zobaczyć jak otwiera szampana. Trzeba przyznać, że ma co świętować, jednak dla przedsiębiorców jest to początek nowego wyzwania. Wyrok nie oznacza wprawdzie, że przekazywanie danych osobowych do USA stało się absolutnie niedopuszczalne, jednak sprawa znacznie się skomplikuje. Można spotkać opinie, że następca Przystani i Tarczy się nie pojawi, a nawet gdyby pojawić się miał, to nie stanie się to w najbliższych miesiącach. Oczywiście można zaprzestać przekazywania danych do Stanów Zjednoczonych, jednak nie ma wątpliwości, że dla zdecydowanej większości przedsiębiorstw nie jest to rozwiązanie realne. Trzeba więc jak najszybciej podjąć decyzje co zrobić z transferem danych.

Jak stwierdził Trybunał:

„do (…) administratora danych lub podmiotu przetwarzającego należy sprawdzenie (…), czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach.

W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania takiej ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego. Jest tak w szczególności w przypadku, gdy prawo tego państwa trzeciego nakłada na podmiot odbierający te pochodzące z Unii dane osobowe zobowiązania, które pozostają w sprzeczności z tymi klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie odpowiedniego stopnia ochrony przed dostępem do tych danych ze strony organów władz publicznych tego państwa trzeciego.”

W związku z tym pojawiają się głosy, że do wielu transferów danych do Stanów Zjednoczonych nie będzie można już stosować standardowych klauzul ochrony danych przyjętych przez Komisję ze względu na przepisy prawa USA.

Stanowisko w sprawie zajęła Europejska Rada Ochrony Danych:

„Chociaż standardowe klauzule umowne pozostają ważne, TSUE podkreśla potrzebę zapewnienia, aby w praktyce utrzymały one stopień ochrony zasadniczo równoważny temu gwarantowanemu przez RODO w świetle Karty praw podstawowych Unii Europejskiej. Ocena, czy kraje, do których przesyłane są dane, zapewniają odpowiednią ochronę,  jest  przede  wszystkim  obowiązkiem podmiotu przekazującego dane i podmiotu odbierającego dane, przy rozważaniu skorzystania ze standardowych klauzul umownych. Dokonując takiej uprzedniej oceny, podmiot przekazujący dane(w razie potrzeby z pomocą podmiotu odbierającego dane) bierze pod uwagę treść standardowych klauzul umownych, szczególne okoliczności przekazywania, jak również system prawny mający zastosowanie w kraju podmiotu odbierającego dane. Badanie tych ostatnich odbywa się w świetle niewyczerpujących czynników określonych w art. 45 ust. 2 RODO.

Jeżeli wynikiem przeprowadzonej oceny jest to, że kraj podmiotu odbierającego dane nie zapewnia zasadniczo równoważnego stopnia ochrony, podmiot przekazujący dane może rozważyć wprowadzenie dodatkowych środków w stosunku do środków zawartych w standardowych klauzulach umownych. EROD dokładnie analizuje, na czym mogłyby polegać te dodatkowe środki. (…)Jeżeli obowiązki umowne nie są lub nie mogą być przestrzegane, podmiot przekazujący dane jest zobowiązany przez standardowe klauzule umowne do zawieszenia przekazywania lub rozwiązania standardowych klauzul umownych lub do powiadomienia właściwego organu nadzorczego o zamiarze dalszego przekazywania danych. (…)

EROD dokona bardziej szczegółowej oceny wyroku i zapewni dalsze wyjaśnienia dla zainteresowanych stron oraz wytyczne dotyczące wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem.”

(tłumaczenie pochodzi ze strony Urzędu Ochrony Danych Osobowych).

Do rozstrzygnięcia Trybunału odniósł się Departament Handlu. Zadeklarował, że dalej będzie prowadził listę podmiotów certyfikowanych oraz nie zaprzestanie dalszej certyfikacji i re-certyfikacji, a podmioty certyfikowane nie zostaną zwolnione z obowiązków, jakie na siebie przyjęły.