Dane osobowe Europejczyków trzeba chronić przed Facebookiem

Każdy kraj członkowski ma prawo zawiesić przekazywanie danych osobowych europejskich użytkowników Facebooka do serwerów w Stanach Zjednoczonych, jeśli uzna, że nie będą one tam właściwie chronione.

Publikacja: 23.09.2015 12:15

Dane osobowe Europejczyków trzeba chronić przed Facebookiem

Foto: 123RF

Nie stoi temu na przeszkodzie decyzja Komisji Europejskiej z 2000 r., w której uznano Stany Zjednoczone za „bezpieczną przystań" dla danych osobowych Europejczyków.

Taką opinię otrzymał od rzecznika generalnego Yves'a Bota Trybunał Sprawiedliwości UE, który niedługo będzie rozpatrywał pytanie irlandzkiego trybunału w sprawie uprawnień organów krajowych przy realizacji ochrony danych osobowych. Co więcej - Yves Bot uważa, że decyzja KE z 2000 r. jest nieważna.

Dane wyciekają przez Irlandię

Maximillian Schrems, obywatel austriacki, korzysta z Facebooka od 2008 r. Tak jak w przypadku innych użytkowników zamieszkałych w Unii, dane zamieszczane przez Schremsa na Facebooku są transferowane, w całości lub w części, do serwerów znajdujących się na terytorium USA, gdzie są przechowywane. Pośredniczy w tym irlandzka spółka zależna Facebooka.

Schrems wniósł skargę do irlandzkiego organu ochrony danych (odpowiednik polskiego GIODO) twierdząc, że w świetle informacji podanych w 2013 r. do wiadomości publicznej przez Edwarda Snowdena na temat działalności służb specjalnych USA, zarówno prawo, jak i i praktyka w USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez rząd amerykański danych przekazywanych do USA.

Skarga Schremsa została oddalona, przede wszystkim z tego powodu, że USA zostały uznane przez Komisję Europejską za kraj, w którym dane osobowe są odpowiednio chronione. O co chodzi? Unijna dyrektywa z 1995 r. o przetwarzaniu danych osobowych stanowi, że przekazywanie tego rodzaju danych do państwa spoza UE może nastąpić wtedy, gdy zapewni ono odpowiedni stopień ochrony tych danych. Czy tak jest, stwierdza Komisja Europejska w drodze decyzji. Od momentu jej wydania dane mogą być transferowane do państwa spoza Unii. W decyzji z 26 lipca 2000 r. Komisja stwierdziła, że w ramach systemu zwanego „bezpieczną przystanią" USA zapewniają odpowiedni stopień ochrony przekazywanych na ich terytorium danych osobowych.

High Court of Ireland, przed którym zawisł spór, zadał Trybunałowi w Luksemburgu pytania zmierzające do ustalenia, czy decyzja Komisji uniemożliwia organom krajowym prowadzenie dochodzenia w sprawie takich skarg, jak skarga Schremsa.

Oddzielne kompetencje

Przed wydaniem wyroku przez Trybunał, w sprawie wypowiedział się rzecznik generalny. Jego opinia nie jest wiążąca dla TSUE, ale w praktyce Trybunał często się nią kieruje przy orzekaniu.

Rzecznik generalny Yves Bot uważa, że decyzja Komisji stwierdzająca odpowiedni stopień ochrony danych osobowych w państwie trzecim, nie może zniweczyć czy nawet ograniczyć uprawnień, jakie przysługują krajowym organom nadzorującym ochronę danych.

- Gdyby krajowe organy nadzorcze były związane w bezwzględny sposób decyzjami wydawanymi przez Komisję, w sposób nieuchronny ograniczałoby to całkowitą niezależność, z jakiej korzystają one na mocy dyrektywy – podkreślił rzecznik.

Dlatego, jeśli organ krajowy twierdzi, że przekazywanie danych narusza ochronę obywateli Unii, ma prawo zawiesić to przekazywanie, niezależnie od ogólnej oceny wyrażonej przez Komisję w wydanej przez nią decyzji. Uprawnienie przyznane Komisji na mocy dyrektywy nie ma bowiem wpływu na uprawnienia przyznane tą samą dyrektywą krajowym organom nadzorczym. Innymi słowy - Komisja nie ma kompetencji do ograniczenia uprawnień krajowych organów nadzorczych.

Skargę trzeba zbadać

Rzecznik przyznał, że krajowe organy nadzorcze są prawnie związane decyzją Komisji. Fakt ten nie może jednak prowadzić do sytuacji, w której skargi obywateli są oddalane bezwzględnie, czyli natychmiast i bez przeprowadzenia jakiegokolwiek badania ich zasadności. Tym bardziej, że stwierdzenie odpowiedniego stopnia ochrony to kompetencja dzielona między Komisję a państwa członkowskie.

- Z pewnością decyzja Komisji odgrywa istotną rolę w zakresie ujednolicania warunków przekazywania danych w obrębie państw członkowskich, lecz takie ujednolicenie może trwać tylko do momentu podważenia tego stwierdzenia – w szczególności w ramach skargi, którą krajowe organy nadzorcze muszą rozpoznać na mocy przyznanych im dyrektywą uprawnień w zakresie prowadzenia dochodzenia i wydawania zakazów – podkreślił Rzecznik.

Jego zdaniem, w przypadku stwierdzenia nieprawidłowości w systemie ochrony danych w państwie trzecim, do którego przekazywane są dane osobowe Europejczyków, państwa członkowskie powinny dysponować odpowiednimi środkami, które zapewnią poszanowanie praw podstawowych chronionych Kartą praw podstawowych Unii Europejskiej. Wśród nich znajdują się prawo do poszanowania życia prywatnego i rodzinnego oraz prawo do ochrony danych osobowych.

Wielki Brat zza oceanu

W ocenie rzecznika TSUE powinien także rozważyć kwestię ważności decyzji KE z 2000 r. bo nie zawiera ona wystarczających gwarancji ochrony obywateli państw UE i została wprowadzona w życie w sposób, który nie spełnia wymogów ustanowionych w dyrektywie o ochronie danych i w Karcie praw podstawowych.

Chodzi o to, że zarówno prawo jak i praktyka USA pozwalają na gromadzenie na szeroką skalę danych osobowych obywateli Unii, prawo dostępu do nich maja także amerykańskie służby specjalne. Zdaniem rzecznika jest to ingerencja w prawo do poszanowania życia prywatnego i w prawo do ochrony danych osobowych, które są zagwarantowane w Karcie praw podstawowych. Jednocześnie obywatele UE nie mają zapewnionej skutecznej ochrony prawnej.

- Nie mogą zrealizować prawa do bycia wysłuchanym na temat zatrzymywania i kontrolowania dotyczących ich danych w USA. Taka ingerencja w chronione Kartą prawo obywateli Unii do skutecznego środka prawnego jest sprzeczna z unijną zasadą proporcjonalności, tym bardziej, że nadzór sprawowany przez amerykańskie służby specjalne jest masowy i nieukierunkowany – zauważył rzecznik.

USA nie są bezpieczną przystanią

Jak napisał w swojej opinii Yves Bot, dostęp do danych osobowych przysługujący amerykańskim służbom specjalnym obejmuje każdą osobę i wszystkie środki komunikacji elektronicznej, a także wszystkie przekazywane dane (w tym treść wiadomości), bez dokonania żadnego rozróżnienia lub ograniczenia albo ustanowienia wyjątku w zależności od zamierzonego celu interesu ogólnego.

W tych okolicznościach – ocenił Yves Bot - nie można w żadnym wypadku uznać, że USA zapewniają odpowiedni stopień ochrony, tym bardziej, że system „bezpiecznej przystani", określony w decyzji Komisji, nie zawiera gwarancji zapobiegających masowemu i powszechnemu dostępowi do przekazywanych danych. Żaden niezależny organ nie jest bowiem w stanie kontrolować w USA naruszeń względem obywateli Unii zasad ochrony danych osobowych popełnianych przez podmioty publiczne, takie jak amerykańskie agencje bezpieczeństwa.

- Komisja powinna zawiesić stosowanie decyzji, nawet jeśli prowadzi obecnie negocjacje z USA w celu zaprzestania łamania przez ten kraj praw obywateli UE. - Skoro Komisja postanowiła rozpocząć negocjacje z USA, to sama musiała już wcześniej uznać, że stopień ochrony danych zapewniany przez to państwo w ramach systemu „bezpiecznej przystani" nie jest już odpowiedni, a decyzja z 2000 r. nie przystaje do rzeczywistej sytuacji – zauważył Yves Bot.

Komentarz

dr Edyta Bielak – Jomaa, Generalny Inspektor Ochrony Danych Osobowych

Opinia Rzecznika Generalnego w sprawie C – 362/14 Maximillian Schrems /Data Protection Commissioner jest kolejnym i ważnym krokiem na drodze zmierzającej do rozstrzygnięcia jednej z najbardziej palących obecnie kwestii dotyczących ochrony danych osobowych. Musimy jednak pamiętać, że opinia nie wiąże TSUE, stąd nie przesądza o rozstrzygnięciu Trybunału, jakie zapewne zapadnie w najbliższych miesiącach.

Ważne jest to, że opinia Rzecznika Generalnego wpisuje się w utrwalony już w linii orzeczniczej Trybunału pogląd podkreślający bardzo mocno znaczenie gwarancji niezależności organów ochrony danych osobowych – odnosząc je do kompetencji organów ochrony danych w zakresie rozstrzygania spraw dotyczących przekazywania danych osobowych do państw trzecich, co do których Komisja Europejska wydała decyzję o odpowiednim poziomie ochrony danych osobowych.

Rzecznik Generalny odniósł się także do kryteriów oceny poziomu ochrony danych osobowych w państwie trzecim, podkreślając wiele wątpliwości dotyczących funkcjonowania obecnej decyzji Komisji Europejskiej w sprawie programu „Bezpiecznej Przystani", na co od dłuższego czasu zwracali uwagę rzecznicy ochrony danych osobowych w UE.

W związku z wątpliwościami podniesionymi przez Rzecznika warto pamiętać o możliwości zastosowania innych instrumentów legalizujących transfer danych do państw trzecich, takich jak np. standardowe klauzule umowne, których użycie – co wymaga podkreślenia – od 1 stycznia br. zwalnia administratorów danych przekazujących dane osobowe do państw trzecich, z uzyskania uprzedniej zgody Generalnego Inspektora.

Generalny Inspektor będzie z tym większą niecierpliwością czekał na rozstrzygnięcie Trybunału w tej bardzo ważnej kwestii.

Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Sądy i trybunały
Dr Tomasz Zalasiński: W Trybunale Konstytucyjnym gorzej już nie będzie
Konsumenci
TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku
Nieruchomości
Właściciele starych budynków mogą mieć problem. Wygasają ważne przepisy
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Prawo rodzinne
Przy rozwodzie z żoną trzeba się też rozstać z częścią krów