[Era Safe Harbor]

Wyrokiem z dnia 6 października 2015 roku (sprawa C-362/14) Trybunał Sprawiedliwości Unii Europejskiej (dalej: Trybunał) stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z dnia 26 lipca 2000 roku (dalej: Decyzja), a w konsekwencji odebrał programowi Safe Harbor walor gwarantujący adekwatny poziom ochrony danych osobowych.

Przypomnijmy, że Safe Harbor został wypracowany przez Komisję Europejską i Departament Handlu USA jako praktyczny sposób na pokonanie różnic w podejściu do ochrony danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Wysokie standardy wyznaczone przez Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 roku (dalej: Dyrektywa) przesądzały o klasyfikacji Stanów Zjednoczonych jako państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych – by posłużyć się terminologią używaną w polskiej ustawie implementującej Dyrektywę (chodzi tu o ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych; dalej: Ustawa). Taka klasyfikacja zasadniczo wyklucza możliwość przekazywania danych do Stanów Zjednoczonych. Ale od czego są wyjątki?

[Istota Safe Harbor]

Akceptując program Safe Harbor, Unia Europejska w istocie uznała adekwatność poziomu ochrony danych osobowych w USA. Zgodnie zaś z art. 26 ust. 3 akapit trzeci Dyrektywy państwa członkowskie UE obowiązane były do podjęcia koniecznych środków w celu zastosowania się do Decyzji. Odtąd wystarczyło, by amerykańska firma dokonała autocertyfikacji i zadeklarowała zgodność z zasadami programu Safe Harbor wobec Departamentu Handlu USA, a system ochrony danych osobowych UE akceptował bez sprzeciwu przekazanie wrażliwych danych do państwa, gdzie standardy ochrony tych danych były poza weryfikacją, kontrolą lub wprost łamane, jak to ujawniła afera PRISM.

[Użytkownik Schrems]

Sposobność do oceny programu Safe Harbor w świetle Karty Praw Podstawowych Unii Europejskiej i Dyrektywy przez Trybunał dała sprawa wywołana przez Maximiliana Schremsa, cokolwiek nieprzeciętnego użytkownika serwisu społecznościowego Facebook. Ten austriacki prawnik i aktywista zwrócił się do irlandzkiego organu ochrony danych osobowych (Data Protection Commissioner; dalej DPC) ze skargą, w której zakwestionował legalność transferu danych na serwery znajdujące się w Stanach Zjednoczonych. Skarga została zaadresowana do DPC jako organu właściwego do nadzoru nad europejską odnogą (Facebook Ireland) amerykańskiego serwisu (Facebook Inc.), oparta była o zarzut niewłaściwego zabezpieczenia jego danych i zmierzała do wprowadzenia zakazu na przekazywanie jego danych osobowych do USA.

DPC odrzucił skargę Schremsa jako bezzasadną, wskazując, po pierwsze, że nie było dowodu na ingerencję w jego dane osobowe ze strony NSA (National Security Agency, tj. amerykańskiej agencji wywiadowczej), a po drugie, że adekwatność poziomu ochrony danych osobowych w Stanach Zjednoczonych została przesądzona w Decyzji.

[Pryncypialny Trybunał]

Sprawa Schremsa znalazła się przed Trybunałem dzięki pytaniu prejudycjalnemu, z którym zwrócił się irlandzki Sąd Najwyższy, prosząc o wyjaśnienie, czy krajowy organ danych osobowych może kontrolować poziom bezpieczeństwa danych osobowych w państwie, co do którego Komisja Europejska wydała decyzję potwierdzającą adekwatny poziom ochrony. To pytanie zostało uzasadnione względem na art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, z którymi – w przekonaniu irlandzkiego sądu – Decyzja stała w sprzeczności. Tym samym Trybunał miał rozstrzygnąć o legalności Decyzji; i to uczynił.

Trybunał zwrócił uwagę, że transfer danych osobowych jest tylko jednym z przykładów operacji na danych, a zatem poza szczególnymi regulacjami, jak te dotyczące przekazania danych do państwa trzeciego, podlega ogólnym regulacjom dotyczącym przetwarzania danych. W konsekwencji krajowe organy ochrony danych osobowych, takie jak DPC (czy polski GIODO – przyp. TB), są uprawnione i obowiązane do wykonywania swoich nadzorczych kompetencji w zakresie poprawności przetwarzania takich danych, w tym do merytorycznego rozpatrywania skarg podmiotów danych osobowych. Trybunał podkreślił, że Decyzja nie może stanowić uzasadnienia dla ograniczenia ochrony praw i wolności w zakresie przetwarzania danych osobowych.

Poszedł też dalej i pokazał, co oznacza krytyczne podejście do kwestii deklarowanego poziomu ochrony danych osobowych: Korzystając ze swoich unikalnych kompetencji, unieważnił Decyzję jako opartą na wadliwych przesłankach oraz funkcjonującą w państwie, którego system prawny kompromituje istotę fundamentalnego prawa do szacunku dla życia prywatnego.

[Nowa era]

W efekcie wyroku ws. Schrems przeciwko DPC odpadła przesłanka legalizująca transfer danych osobowych do Stanów Zjednoczonych. Oznacza to na przykład, że administratorzy danych osobowych podlegający prawu polskiemu będą musieli skorzystać z innych wyjątków przewidzianych przez Ustawę dla dalszego korzystania z serwerów zlokalizowanych w USA. Oznacza to również, że transfer do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, będzie przedmiotem nieskrępowanego badania ze strony GIODO i sądów, z perspektywy praw podstawowych podmiotów danych osobowych i szczegółowych przepisów o ochronie danych osobowych.

Jednocześnie, na co zwraca uwagę Fundacja Panoptykon (zob.: http://bit.ly/1L6ctqN), wyrok Trybunału należy analizować również na poziomie politycznym. Jak stwierdza Katarzyna Szymielewicz cytowana przez Gazetę Prawną (zob.: http://bit.ly/1PhZUhu), komentowany tu wyrok „to zapowiedź politycznych i prawnych obstrukcji w przekazywaniu danych, jeśli Amerykanie nie zdecydują się na wzmocnienie standardów ich ochrony, przynajmniej w sferze ich udostępniania organom publicznym”.

Koniec końców warto śledzić temat, w oczekiwaniu na stanowisko Grupy Roboczej art. 29, względnie na kolejne decyzje Komisji Europejskiej, wyroki Trybunału i wreszcie na unijne rozporządzenie o ochronie danych osobowych – w każdym razie ze swojej strony obiecuję relacjonować co istotniejsze ustalenia w kwestii transferu danych do USA.