Student wygrywa z Facebookiem, Unia zwiększa ochronę naszych danych

Unia zwiększa ochronę prawną procesu przetwarzania naszych danych osobowych. O skutkach ostatniego wyroku Trybunału Sprawiedliwości UE pisze prawnik.

Aktualizacja: 03.10.2015 10:51 Publikacja: 03.10.2015 08:35

Foto: Fotorzepa

Adwokat Generalny Yves Bot w swojej opinii z 23 września 2015 r., wydanej w sprawie Schrems v. irlandzki komisarz ochrony danych (C- 362/14), negatywnie ocenił amerykański system zabezpieczeń należytego przetwarzania danych osobowych obywateli UE, (danych) które pozyskiwane są w Europie, a przetwarzane za Atlantykiem.

Opinia Adwokata Generalnego nie wiąże Trybunału Sprawiedliwości UE, ale prawdopodobieństwo negatywnego dla Facebooka rozstrzygnięcia zasadniczo wzrosło. Cała sprawa bezpośrednio oddziałuje także na takich gigantów jak Apple, Google, Microsoft i Yahoo, gdyż wyrok zgodny z opinią oznaczać będzie trudne do ocenienia nakłady na przeformatowanie procesu przetwarzania danych i budowę chińskich murów pomiędzy zbiorami danych pozyskiwanych w Europie i poza nią. Takie rozwiązania mogą utrudnić dostęp służb specjalnych USA do informacji o obywatelach UE, ale wiara, że zostanie on w ten sposób wyeliminowany, graniczy z naiwnością.

Milowy krok

Nie zmienia to faktu, że właśnie organy unijne robią istotny krok w stronę zwiększenia ochrony prawnej procesu przetwarzania naszych danych osobowych czy mówiąc językiem Karty Praw Podstawowych – w stronę wzmocnienia prawa do poszanowania życia prywatnego i rodzinnego (art. 6) oraz prawa do ochrony danych osobowych (art. 7).

Sprawę rozpoczął austriacki student Maximilian Schrems, który od 2008 r. korzystał z Facebooka. Pod wpływem informacji ujawnionych przez Edwarda Snowdena o przetwarzaniu danych osobowych zgromadzonych w Europie przez władze amerykańskie, a zwłaszcza przez National Security Agency (NSA), Austriak uznał, że jego dane osobowe nie są wystarczająco chronione, i rozpoczął postępowanie o przywrócenie stanu zgodnego z prawem (w jego ocenie) w Irlandii, czyli miejscu rejestracji europejskiej spółki zależnej Facebooka. Od strony formalnej poszło o to, czy w świetle „oryginalnie zatytułowanej" decyzji Komisji 2000/520 z 26 lipca 2000 r. w sprawie „adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA" (Dz. Urz. WE 215, 25.8.2000), właściwe władze państwa członkowskiego w ogóle mogą (powinny) analizować poziom bezpieczeństwa danych przetwarzanych w USA. Innymi słowy: czy w trakcie rozpatrywania wniosku skarżącego, który twierdzi, że obowiązujące w USA przepisy i praktyka prawna nie gwarantują adekwatnej ochrony jego danych, właściwy organ jest „bezwzględnie związany odmiennymi ustaleniami Wspólnoty zawartymi w decyzji Komisji z 26 lipca 2000 r. nr 2000/520/CE"?

Dziki Zachód

Przedstawiając swoją opinię, Yves Bot konstatuje, że władze krajowe (w Polsce GIODO) mają prawo uznać, że przekazanie do USA danych naruszałoby akceptowalny poziom ochrony prywatności, i to bez względu na to, co wynika z ogólnej oceny wyrażonej przez Komisję Europejską. Kompetencje przyznane Komisji przez dyrektywę 95/46 z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dyrektywa) nie ograniczają kompetencji przyznanych przez ten akt prawny władzom krajowym. Oczywiście z tej perspektywy pogląd Komisji wyrażony na podstawie art. 25 ust. 6 dyrektywy nie knebluje władzy państwa członkowskiego. Dla porządku odnotujmy, iż wspomniany art. 25 ust. 6 stanowi, że „Komisja może stwierdzić (...), że państwo trzecie zapewnia prawidłowy stopień ochrony (...), co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło (...) w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych".

Adwokat Generalny idzie dalej i stwierdza, że państwo członkowskie musi móc podejmować środki konieczne do zagwarantowania praw podstawowych, w tym wspomnianego prawa do ochrony danych osobowych (art. 7). Nadto odnosi się w swojej opinii bezpośrednio do realiów amerykańskich, konstatując, że prawo i praktyka ukształtowana w Stanach Zjednoczonych umożliwia – na ogromną skalę – gromadzenie i przetwarzanie danych obywateli UE i niestety nie towarzyszy temu ustanowienie efektywnych, niezależnych zabezpieczeń dla osób, których dane są przetwarzane. W jego opinii pojawia się teza, iż żaden niezależny organ publiczny w USA nie jest uprawniony do monitorowania naruszeń ochrony danych osobowych w procesie ich przetwarzania przez służby odpowiedzialne za bezpieczeństwo publiczne.

Co dalej?

Jeżeli Trybunał podzieli stanowisko wyrażone w opinii, to uznając prymat praw podstawowych nad z natury swej retrospektywnymi decyzjami Komisji – wydawanymi na podstawie art. 25 ust. 6 dyrektywy – w sprawie modelu ochrony danych osobowych w państwach trzecich, doprowadzi do zalegalizowania w relacjach zewnętrznych różnych modeli ochrony danych osobowych. Można sobie wyobrazić, że władze irlandzkie nie zakwestionują bezpieczeństwa (z perspektywy obywatela UE) procesu przetwarzania danych w USA, a władze innego państwa członkowskiego postanowią przeciwnie.

Można przyjąć, że Adwokat Generalny przeprowadza w swojej opinii dowód na nieprawidłowość głównych tez decyzji 2000/520. Skoro jednak nie można owej decyzji w tym postępowaniu przed Trybunałem zmienić (sprawa C-362/14), to zostaje przedstawiony sposób na jej faktyczne „zneutralizowanie". Można mieć wątpliwości, czy w tym przypadku cel uświęca środki. Może lepiej byłoby zmienić decyzję 2000/520, niż doprowadzić do fragmentacji europejskiego standardu w zakresie ochrony danych osobowych w relacjach z krajami trzecimi.

„Bezpieczna przystań"

Cała sprawa na razie jest też wyraźną krytyką procesu samooceny w zakresie zabezpieczeń dla podmiotów danych, które są przetwarzane na mocy International Safe Harbor Privacy Principles. Amerykańskie podmioty na mocy ww. siedmiu głównych zasad, wypracowanych z dużym udziałem amerykańskiego Departamentu Handlu, mogą poprawić bezpieczeństwo przetwarzania danych Europejczyków na mocy samoregulacji, co w zamyśle czyni je „bezpieczną przystanią" z perspektywy standardów unijnych. Krytyka takiego rozwiązania, ze względu na jego nieefektywność, jest z całą pewnością niemarginalna, by wspomnieć pracę Chrisa Connolly'ego „US Safe Harbor – Fact or Fiction?" (Privacy Laws and Business International, grudzień 2008 r.).

Autor jest radcą prawnym, ekonomistą

Adwokat Generalny Yves Bot w swojej opinii z 23 września 2015 r., wydanej w sprawie Schrems v. irlandzki komisarz ochrony danych (C- 362/14), negatywnie ocenił amerykański system zabezpieczeń należytego przetwarzania danych osobowych obywateli UE, (danych) które pozyskiwane są w Europie, a przetwarzane za Atlantykiem.

Opinia Adwokata Generalnego nie wiąże Trybunału Sprawiedliwości UE, ale prawdopodobieństwo negatywnego dla Facebooka rozstrzygnięcia zasadniczo wzrosło. Cała sprawa bezpośrednio oddziałuje także na takich gigantów jak Apple, Google, Microsoft i Yahoo, gdyż wyrok zgodny z opinią oznaczać będzie trudne do ocenienia nakłady na przeformatowanie procesu przetwarzania danych i budowę chińskich murów pomiędzy zbiorami danych pozyskiwanych w Europie i poza nią. Takie rozwiązania mogą utrudnić dostęp służb specjalnych USA do informacji o obywatelach UE, ale wiara, że zostanie on w ten sposób wyeliminowany, graniczy z naiwnością.

Pozostało 84% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Bogusław Chrabota: Między cyberbezpieczeństwem i nadgorliwością
Materiał Promocyjny
BaseLinker uratuje e-sklep przed przestojem
Opinie Prawne
Ewa Szadkowska: Dlaczego Andrzej Duda woli konserwować trybunalskie patologie
Opinie Prawne
Dawid Kulpa, Mikołaj Kozak: „Trial” po polsku?
Opinie Prawne
Leszek Kieliszewski: Schemat Ponziego, czyli co łączy przypadek Palikota z kłopotami Cinkciarza
Opinie Prawne
Marek Isański: Bezprawie to nie prawo, III RP to nie PRL. Przynajmniej tak miało być