TSUE po raz drugi uchylił zawarte pomiędzy UE a USA porozumienie umożliwiające przekazywanie danych osobowych obywateli Unii do Stanów Zjednoczonych.
Pisaliśmy jakiś czas temu o tym, że nadciąga koniec Facebooka, jakiego znamy, a przekazywanie danych osobowych z UE do USA stoi pod znakiem zapytania. Jeśli jesteś użytkownikiem Facebooka, Instagrama, korzystasz z innych serwisów bądź usług chmurowych, które wymagają przekazania udostępnionych danych osobowych poza UE (szczególnie do USA), wiedz, że dzisiejszy wyrok TSUE w sprawie C-311/18, potocznie zwanej jako „Schrems II”, może zmienić reguły przetwarzania danych osobowych przez korporacje zlokalizowane poza UE.
Będę grał w grę. A może nie?
Można powiedzieć, że od pewnego czasu toczy się pewnego rodzaju gra dotycząca przetwarzania danych osobowych obywateli UE poza jej obszarem. Ze względu na przebieg rozgrywek, ta gra jest trochę jak szachy (nie ulega wątpliwości, że oparta jest na strategii), a trochę jak tenis stołowy (laik może mieć wrażenie, że nie dzieje się nic, a ktoś, kto zna zasady gry, wie, że dzieje się bardzo wiele). Tyle tylko, w przypadku „gry” w dane osobowe, drużyny składają się ze znacznie większej liczby rozgrywających, których pewnie należałoby zaliczyć do ekstraklasy, jeśli taka istniałaby w tej wirtualnej (w sumie nie tylko) grze. Co więcej, uczestnikami tej gry, choćby nieświadomie, są również wszyscy ci obywatele UE, którzy udostępnili swoje dane osobowe podmiotom, posiadającym serwery poza Unią i tym samym, dochodzi do transferu przekazanych danych osobowych poza obszar wspólnotowy, a w następstwie do ich przetwarzania.
Wszyscy zainteresowani tematem powinni zapamiętać, ze kolejny etap gry w dane osobowe wieńczy (choć nie mamy co do tego pewności) dzisiejszy wyrok luksemburskiego trybunału, występującego w roli arbitra. W tym miejscu warto zapamiętać nazwisko pewnego człowieka, europejskiego aktywisty, który sporo namieszał we wspomnianej grze i w znacznym stopniu przyczynił się do wydania dzisiejszego wyroku przez TSUE, a tym samym do fiaska Tarczy Prywatności. Ten aktywista doprowadził również do unieważnienia dokumentu, który został zastąpiony Tarczą Prywatności, tzw. programu „bezpiecznej przystani”. Zarówno Tarcza Prywatności, jak również program „bezpiecznej przystani” służyły korporacjom jako argumenty (jedne z wielu) umożliwiające przetwarzanie danych obywateli UE poza granicami Unii. Oba dokumenty zostały wytrącone z rąk korporacji przede wszystkim za sprawą austriackiego prawnika Maximiliana Schremsa, który od pewnego czasu prowadzi coś na kształt współczesnej krucjaty, mającej na celu ochronę danych osobowych obywateli UE. Dziś na swoim koncie na Twitterze, Schrems opublikował film, na którym otwiera szampana (nawiasem mówiąc, bezalkoholowego), opijając wyrok TSUE.
Co to jest Tarcza Prywatności?
Przydługi wstęp miał na celu zobrazowanie dość skomplikowanego problemu. Nie tylko prawnego, ale też, a może w szczególności, problemu-hybrydy, bo zagadnienie dotyka również aspektów społeczno-ekonomicznych. Temat jest złożony, również z tego względu, że angażuje zarówno przedstawicieli korporacji, którym zarzuca się niezgodne z prawem przetwarzanie danych osobowych, jak również użytkowników usług oferowanych przez te korporacje, aktywistów (jak Schrems), a nawet państwa lub związki państw, w tym funkcjonujące w nich organy nadzoru czy ciała orzekające. W tym miejscu warto wspomnieć, czym w ogóle jest unieważniona przez TUSE Tarcza Prywatności, jakim celom miała służyć i dlaczego sprawa zawisła przed Trybunałem. Wspomniana Tarcza Prywatności (Privacy Shield) jest niczym innym, jak sformalizowanym narzędziem (de facto umową), mającym na celu legalizację transferu danych osobowych pomiędzy UE a USA. Cztery lata temu, 12 lipca 2016 roku, Komisja Europejska przyjęła decyzję wdrażającą umowę Tarczy Prywatności. Głównym celem, przyświecającym wdrożeniu dokumentu było m.in.:
- ustanowienie mechanizmu samocertyfikowania dla przedsiębiorców zlokalizowanych w Stanach Zjednoczonych,
- zapewnienie odpowiedniego poziomu ochrony danych osobowych przekazywanych przez podmiot unijny do przedsiębiorstwa zlokalizowanego na terenie USA,
- opracowanie dokumentu zawierającego gwarancje prawne dotyczące przetwarzania danych osobowych na terytorium Stanów Zjednoczonych.
Warto wspomnieć, że przystąpienie do Tarczy Prywatności przez poszczególnych przedsiębiorców zlokalizowanych na terenie USA miało charakter fakultatywny, a w sytuacji, gdy administrator unijny współpracował z przedsiębiorcą ze Stanów Zjednoczonych, to na podmiocie unijnym spoczywał obowiązek w zakresie weryfikacji, czy kontrahent posiada certyfikat. O Tarczy Prywatności sporo dyskutowano w mediach bezpośrednio przed wejściem w życie RODO, w szczególności na ten temat, czy Tarcza Prywatności zachowa aktualność oraz jaka będzie relacja wspomnianych dokumentów względem siebie. Co prawda, RODO nie odebrało Tarczy Prywatności racji bytu, ale zasadność jej istnienia zakwestionował TSUE w dzisiejszym wyroku. W pewien sposób historia zatacza krąg, bo podobny los spotkał w zasadzie siostrzany dokument, tzw. umowę „bezpiecznej przystani”, gdy 6 października 2015 roku TSUE, w sprawie Schrems (C-362/14), unieważnił decyzję KE 2000/520/WE z dnia 26 lipca 2000 r. w sprawie zapewniania przez podmioty z USA adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA.
Dlaczego Schrems świętuje?
U podstaw konfliktu, w wyniku którego zapadł dzisiejszy wyrok TSUE, spoczywa rozbieżność pomiędzy amerykańskimi przepisami dotyczącymi nadzoru, a przepisami UE dotyczącymi ochrony danych osobowych. Sprawca zamieszania, Max Schrems, obywatel UE, korzystał z usług Facebooka od 2008 r. Jak wiadomo, każda osoba zamieszkała na terenie Unii Europejskiej, chcąc korzystać z Facebooka, w momencie rejestracji do serwisu musi zawrzeć umowę. W przypadku Schremsa doszło do zawarcia umowy z Facebook Ireland (spółką zależną Facebook Inc., która ma siedzibę w USA). Niektóre dane osobowe użytkowników Facebook Ireland, przebywających na terenie UE, są przenoszone na zlokalizowane na terenie USA, serwery należące do Facebook Inc. Po rozpoczętej przez Edwarda Snowdena aferze dotyczącej m.in. PRISM, Schrems stwierdził, że nie godzi się, aby umieszczone przez niego na Facebooku dane przetwarzane były na terenie USA.
W tzw. sprawie „Schrems II”, w której zapadł dzisiejszy wyrok, istotne są dwie kwestie, tj. zasadność istnienia Tarczy Prywatności oraz ważność standardowych klauzul umownych. Zarówno Tarcza Prywatności, jak również standardowe klauzule umowne mogły być wykorzystywane przez Facebooka jako argument uzasadniający zgodność przetwarzania danych z prawem UE. W tym miejscu warto podkreślić, że RODO dopuszcza rozwiązanie w którym podmioty pozaunijne dobrowolnie zobowiązują się do przestrzegania zasad UE z zakresu ochrony danych osobowych, przykładowo, poprzez stosowanie standardowych klauzul umownych lub zawieranie stosownych porozumień.
Przystąpienie do Tarczy Prywatności UE-USA również stanowiło przykład takiego dobrowolnego zobowiązania. Efektem zmagań Schremsa jest dzisiejszy wyrok TSUE odbierający Tarczy Prywatności rację bytu. Warto jednak podkreślić, że samo uznanie przez Trybunał nieważności przedmiotowego dokumentu, nie sprawia, że automatycznie dane osobowe przestaną być przekazywane i przetwarzane na terenie USA. Jednak z wypowiedzi Schremsa, udostępnionej na stronie założonej przez niego fundacji, wynika, że rozstrzygnięcie TSUE jest dla niego satysfakcjonujące:
Jestem bardzo zadowolony z wyroku. Wygląda na to, że Trybunał śledził nas we wszystkich aspektach. (…) Oczywiste jest, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru, jeśli amerykańskie firmy chcą nadal odgrywać ważną rolę na rynku UE. (…) Trybunał po raz drugi wyjaśnił, że istnieje konflikt między unijnym prawem prywatności a amerykańskim prawem nadzoru. Ponieważ UE nie zmieni swoich podstawowych praw, aby zadowolić NSA, jedynym sposobem na przezwyciężenie tego konfliktu jest wprowadzenie przez Stany Zjednoczone solidnych praw do prywatności dla wszystkich ludzi – w tym cudzoziemców. Tym samym reforma nadzoru staje się kluczowa dla interesów biznesowych Doliny Krzemowej.
Gra nadal się toczy
Dzisiejszy wyrok z pewnością sprawi, że korporacje pokroju Facebooka zmuszone będą do rozważenia zmiany narracji w zakresie podstaw prawnych legalizujących przetwarzanie danych osobowych obywateli UE na terenie USA. Orzeczenie to zamyka pewien etap gry w przetwarzanie danych osobowych, która pewnie szybko się nie zakończy. Na final countdown musimy jeszcze poczekać (o ile w ogóle jest to możliwe).