Maksymilian Schrems, obywatel austriacki, korzystał z Facebooka od roku 2008. Dane dostarczane przez M. Schremsa w ramach jego facebookowej aktywności były przekazywane za pośrednictwem irlandzkiej spółki córki Facebook na serwery znajdujące się w Stanach Zjednoczonych, gdzie były przetwarzane. M. Schrems uznał, że w świetle informacji ujawnionych w 2013 roku przez Edwarda Snowdena, dotyczących działalności służb wywiadowczych Stanów Zjednoczonych (w szczególności Agencji Bezpieczeństwa Narodowego ("NSA"), prawo i praktyka w Stanach Zjednoczonych nie zapewniają dostatecznej ochrony przed ingerencją władz publicznych w dane przekazywane do tego kraju. Z tych przyczyn M. Schrems wniósł skargę do irlandzkiego Komisarza Ochrony Danych, który jednak ją odrzucił, wskazując, że w decyzji z dnia 26 lipca 2000 r. Komisja Europejska uznała, że w ramach systemu "bezpiecznej przystani" (Safe Harbour), Stany Zjednoczone zapewniają odpowiedni poziom ochrony przekazywanych danych osobowych. M. Schrems odwołał się do austriackiego Sądu Najwyższego, który z kolei skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej.

Trybunał Sprawiedliwości stwierdził, że istnienie decyzji Komisji o Safe Harbour nie może eliminować lub nawet zmniejszyć dostępnych dla krajowych organów ochrony danych osobowych uprawnień wynikających z Karty Praw Podstawowych Unii Europejskiej (Karta) i Dyrektywy o Ochronie Danych Osobowych (Dyrektywa). Trybunał podkreślił gwarantowane przez Kartę prawo do ochrony danych osobowych i zadania powierzone krajowym organom ochrony danych, które muszą być w stanie zbadać, w sposób całkowicie niezależny, czy transfer danych osobowych danej osoby do państwa trzeciego jest zgodny z wymogami określonymi w Dyrektywie.

Trybunał wskazał również, że posiada kompetencję do stwierdzania czy decyzja Komisji o systemie Safe Harbour jest ważna. Trybunał uznał, że Komisja była zobowiązana do weryfikacji, czy Stany Zjednoczone w rzeczywistości zapewniają, ze względu na ich prawo krajowe lub międzynarodowe zobowiązania, poziom ochrony praw podstawowych równoważny poziomowi zagwarantowanemu w UE na mocy Dyrektywy w świetle Karty. Tymczasem Komisja nie dokonała takiej weryfikacji, a jedynie dokonała analizy schematu Safe Harbour. Trybunał zauważył, że wprawdzie amerykańskie przedsiębiorstwa mogą podlegać decyzji Safe Harbour, to już amerykańskie instytucje publiczne jej muszą stosować, a nadto wymogi bezpieczeństwa narodowego, interesu publicznego i organów ścigania Stanów Zjednoczonych przeważają nad systemem Safe Harbour. Konsekwencją takiej sytuacji jest uznanie, że prawo amerykańskie może prowadzić do wyrządzenia szkody dla podstawowego prawa do poszanowania prywatności.

Biorąc pod uwagę faktyczne pozbawienie europejskich organów ochrony danych osobowych przez decyzję Safe Harbour kompetencji do badania zgodności z Dyrektywą transferu danych osobowych do Stanów Zjednoczonych, a także zagrożenie dla prywatności Europejczyków ze strony amerykańskich organów publicznych, Trybunał uznał decyzję Safe Harbour za nieważną.

Konsekwencje orzeczenia Trybunału Sprawiedliwości są bardzo poważne, bowiem uniemożliwiają przekazywanie danych osobowych do Stanów Zjednoczonych nie tylko Facebookowi, ale wszystkim innym podmiotom, które korzystały dotychczas ze schematu Safe Harbour. W wielu przypadkach konieczne stało się uzyskanie zgody na transfer narodowych organów ochrony danych osobowych (GIODO w Polsce), jej brak będzie zaś prowadził do przekazania danych osobowych z naruszeniem prawa. Co więcej, dotyczy to również transferów danych, które były w trakcie wykonywania w dacie wydania wyroku przez Trybunał.

Sytuacja, która powstała w wyniku orzeczenia wymagała interwencji ze strony członków Grupy Roboczej Art. 29 (grupa robocza obejmująca organy ochrony danych osobowych z krajów Unii, europejskiego inspektora ochrony danych osobowych oraz utworzona na podstawie art. 29 Dyrektywy). Unijne organy ochrony danych w stanowisku z 16 października 2015 r. podzieliły ustalenia Trybunału i doszły do wniosku, że jest konieczne, aby mieć solidne i wspólne stanowisko w sprawie wykonania wyroku Trybunału. Grupa Robocza wezwała z tych przyczyn państwa UE i instytucje europejskie do pilnej dyskusji z władzami Stanów Zjednoczonych w celu znalezienia rozwiązań politycznych, prawnych i technicznych umożliwiających transfer danych na terytorium Stanów Zjednoczonych z poszanowaniem praw podstawowych, w kontekście prawa do prywatności. Zaproponowano negocjacje w ramach prac nad tworzeniem nowego Safe Harbour. Wszystkie te kwestie dotyczą niestety odległej przyszłości, natomiast praktyka funkcjonowania przedsiębiorców wymaga natychmiastowych działań.

Rozwiązanie praktyczne ad hoc, które wskazała Grupa Robocza, polega na możliwości stosowania tzw. standardowych klauzul umownych i wiążących reguł korporacyjnych przy przekazywaniu danych osobowych do Stanów Zjednoczonych. Zarówno klauzule jak i reguły mogą być nadal używane jako najlepsze remedium na powstałą sytuację. Wymaga to jednak szybkiego działania, dużej pracy po stronie prawników oraz inspektorów ochronnych danych osobowych dla wdrożenia tych rozwiązań przez podmioty przekazujące dane osobowe do Stanów Zjednoczonych celem przetwarzania tych danych.

Członkowie Grupy Roboczej ustalili dodatkowo, że gdyby do końca stycznia 2016 roku nie doszło do znalezienia odpowiedniego rozwiązania z władzami Stanów Zjednoczonych problemu nieważności Safe Harbour, unijne organy ochrony danych są zobowiązane do podjęcia wszelkich niezbędnych działań, które prowadzić będą do wyegzekwowania obowiązków wymaganych przez prawo.

Zdaniem autora

Rekomendacja stosowania tzw. standardowych klauzul umownych i wiążących reguł korporacyjnych przy przekazywaniu danych osobowych do Stanów Zjednoczonych nie wprowadza wprawdzie zmiany w stosunku do obecnego stanu prawnego, jednak jest istotnym sygnałem dla krajowych inspektorów ochrony danych osobowych w zakresie kierunku rozwiązywania problemu powstałego po unieważnieniu Safe Harbour. W praktyce z pewnością szybciej i prościej można wykorzystać standardowe klauzule umowne ochrony danych osobowych, zostały one bowiem zaakceptowane przez Komisję Europejską i nie wymagają zatwierdzenia inspektora ochrony danych, jak ma to miejsce w przypadku wiążących reguł korporacyjnych. Należy przy tym pamiętać, że standardowe klauzule umowne powinny spełniać również szereg wymogów, między innymi technicznych, zgodnych z przepisami polskiego prawa, co z kolei może prowadzić do trudności z ich praktycznym wdrożeniem w ramach międzynarodowych struktur korporacyjnych.

Mec. Artur Piechocki, radca prawny z APLaw Artur Piechocki

Oprac. mat