Era Safe Harbor
Wyrokiem z dnia 6 października 2015 roku Trybunał Sprawiedliwości Unii Europejskiej (dalej: Trybunał) stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z dnia 26 lipca 2000 roku (dalej: Decyzja), a w konsekwencji odebrał programowi Safe Harbor walor gwarantujący adekwatny poziom ochrony danych osobowych.
Przypomnijmy, że Safe Harbor został wypracowany przez Komisję Europejską i Departament Handlu USA jako praktyczny sposób na pokonanie różnic w podejściu do ochrony danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Wysokie standardy wyznaczone przez Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 roku (dalej: Dyrektywa) przesądzały o klasyfikacji Stanów Zjednoczonych jako państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych – by posłużyć się terminologią używaną w polskiej ustawie implementującej Dyrektywę (chodzi tu o ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych; dalej: Ustawa). Taka klasyfikacja zasadniczo wyklucza możliwość przekazywania danych do Stanów Zjednoczonych. Ale od czego są wyjątki…
Istota Safe Harbor
Akceptując program Safe Harbor, Unia Europejska w istocie uznała adekwatność poziomu ochrony danych osobowych w USA. Zgodnie zaś z art. 26 ust. 3 akapit trzeci Dyrektywy państwa członkowskie UE obowiązane były do podjęcia koniecznych środków w celu zastosowania się do Decyzji. Odtąd wystarczyło, by amerykańska firma zadeklarowała zgodność z zasadami programu Safe Harbor i zgłosiła się do Departamentu Handlu USA, a system ochrony danych osobowych UE akceptował bez sprzeciwu przekazanie wrażliwych danych do państwa, gdzie standardy ochrony tych danych były poza weryfikacją, kontrolą lub wprost łamane, jak to ujawniła afera PRISM.
Użytkownik Schrems
Sposobność do oceny programu Safe Harbor w świetle Karty Praw Podstawowych Unii Europejskiej i Dyrektywy przez Trybunał dała sprawa wywołana przez Maximiliana Schremsa, cokolwiek nieprzeciętnego użytkownika serwisu społecznościowego Facebook. Ten austriacki prawnik i aktywista zwrócił się do irlandzkiego organu ochrony danych osobowych (Data Protection Commissioner; dalej DPC) ze skargą, w której zakwestionował legalność transferu danych na serwery znajdujące się w Stanach Zjednoczonych. Skarga została zaadresowana do DPC jako organu właściwego do nadzoru nad europejską odnogą (Facebook Ireland) amerykańskiego serwisu (Facebook Inc.), oparta była o zarzut niewłaściwego zabezpieczenia jego danych i zmierzała do wprowadzenia zakazu na przekazywanie jego danych osobowych do USA.
DPC odrzucił skargę Schremsa jako bezzasadną, wskazując, po pierwsze, że nie było dowodu na ingerencję w jego dane osobowe ze strony NSA (National Security Agency, tj. amerykańskiej agencji wywiadowczej), a po drugie, że adekwatność poziomu ochrony danych osobowych w Stanach Zjednoczonych została przesądzona w Decyzji.
Pryncypialny Trybunał
Sprawa Schremsa znalazła się przed Trybunałem dzięki pytaniu prejudycjalnemu, z którym zwrócił się irlandzki Sąd Najwyższy, prosząc o wyjaśnienie, czy krajowy organ danych osobowych może kontrolować poziom bezpieczeństwa danych osobowych w państwie, co do którego Komisja Europejska wydała decyzję potwierdzającą adekwatny poziom ochrony. To pytanie zostało uzasadnione względem na art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, z którymi – w przekonaniu irlandzkiego sądu – Decyzja stała w sprzeczności. Tym samym Trybunał miał rozstrzygnąć o legalności Decyzji; i to uczynił.
Trybunał zwrócił uwagę, że transfer danych osobowych jest tylko jednym z przykładów operacji na danych, a zatem poza szczególnymi regulacjami, jak te dotyczące przekazania danych do państwa trzeciego, podlega ogólnym regulacjom dotyczącym przetwarzania danych. W konsekwencji krajowe organy ochrony danych osobowych, takie jak DPC (czy polski GIODO – przyp. TB), są uprawnione i obowiązane do wykonywania swoich nadzorczych kompetencji w zakresie poprawności przetwarzania takich danych, w tym do merytorycznego rozpatrywania skarg podmiotów danych osobowych. Trybunał podkreślił, że Decyzja nie może stanowić uzasadnienia dla ograniczenia ochrony praw i wolności w zakresie przetwarzania danych osobowych.
Poszedł też dalej i pokazał, co oznacza krytyczne podejście do kwestii deklarowanego poziomu ochrony danych osobowych: Korzystając ze swoich unikalnych kompetencji, unieważnił Decyzję jako opartą na wadliwych przesłankach oraz funkcjonującą w państwie, którego system prawny kompromituje istotę fundamentalnego prawa do szacunku dla życia prywatnego.
Nowa era
W efekcie wyroku ws. Schrems przeciwko DPC odpadła przesłanka legalizująca transfer danych osobowych do Stanów Zjednoczonych. Oznacza to na przykład, że administratorzy danych osobowych podlegający prawu polskiemu będą musieli skorzystać z innych wyjątków przewidzianych przez Ustawę dla dalszego korzystania z serwerów zlokalizowanych w USA. Oznacza to również, że transfer do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, będzie przedmiotem nieskrępowanego badania ze strony GIODO i sądów, z perspektywy praw podstawowych podmiotów danych osobowych i szczegółowych przepisów o ochronie danych osobowych.
Jednocześnie, na co zwraca uwagę Fundacja Panoptykon (zob.: http://bit.ly/1L6ctqN), wyrok Trybunału należy analizować również na poziomie politycznym. Jak stwierdza Katarzyna Szymielewicz w Gazecie Prawnej (zob.: http://bit.ly/1PhZUhu), komentowany tu wyrok „to zapowiedź politycznych i prawnych obstrukcji w przekazywaniu danych, jeśli Amerykanie nie zdecydują się na wzmocnienie standardów ich ochrony, przynajmniej w sferze ich udostępniania organom publicznym”.
Koniec końców warto śledzić temat, w oczekiwaniu na stanowisko Grupy Roboczej art. 29, względnie na kolejne decyzje Komisji Europejskiej, wyroki Trybunału i wreszcie na unijne rozporządzenie o ochronie danych osobowych – w każdym razie ze swojej strony obiecujemy relacjonować co istotniejsze ustalenia w kwestii transferu danych do USA.