Wielka Izba Trybunału rozważywszy uwagi stron, wydaje trudny wyrok. Jego kwintesencją jest nieważność decyzji o adekwatności tzw. Tarczy Prywatności (Privacy Shield). Decyzja wykonawcza Komisji (UE) 2016/1250 przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA jest nieważna.

Decyzje wydane na mocy nieobowiązującej już dyrektywy 95/45/WE Parlamentu Europejskiego i Rady na mocy art. 45 ust. 9 RODO obowiązywały do czasu zmiany zastąpienia lub uchylenia. Także decyzja 2016/1250 po rozpoczęciu obowiązywania RODO pozostawała w mocy.

To już druga batalia Maximiliana Schremsa. Także w wyniku jego działań wcześniejsza decyzja Komisji w tym zakresie tj. 2000/520/WE z 26.7.2000 r. przyjęta na mocy dyrektywy 95/46/WE została zakwestionowana i straciła moc prawną. Zapadł wyrok TSUE z 6.10.2015 r. w sprawie C-362/14 Maximilian Schrems v. Data Protection Commissioner.tj. w sprawie tzw. Programu Bezpiecznej Przystani (Safe Harbor).

M. Schrems-owi chodziło o przetwarzanie jego danych osobowych przez Facebook. Obywatel Austrii był od 2008 r. użytkownikiem Facebooka. Tak jak w przypadku wszystkich obywateli Unii, jego dane przekazywał Fecebook Ireland na serwery Facebook Inc., znajdujące się na terenie USA, gdzie były przetwarzane. Po ujawnieniu przez Edwarda Snowdena (analityka pracującego dla amerykańskiej agencji bezpieczeństwa wewnętrznego), że Facebook Inc. przystąpił do amerykańskiego tajnego programu nasłuchu elektronicznego PRISM i jego dane nie służą wyłącznie Facebookowi postanowił interweniować. Schrems domagał się gwarancji, że jego dane nie będą przekazywane w sposób godzący w jego prywatność. Skargę złożył w Irlandii z uwagi na siedzibę europejskiej centrali Fecebooka. Wobec Safe Harbor TSUE wydał wyrok kwestionujący bezpieczeństwo przekazywania danych (wspomniany C-362/14 ).

Analizowana decyzja wykonawcza wydana 12.7.2016 r. przez Komisję Europejską nr 2016/1250 w sprawie adekwatności ochrony danych zapewnionej przez tzw. Tarczę Prywatności UE-USA (Dz.Urz. UE L 207, s.1 ) umożliwiała przekazywanie danych osobowych importerom, którzy przystąpią do programu. Miała duże znaczenie z uwagi na to, że USA to istotny partner gospodarczy krajów członkowskich UE, a dopuszczalność płynnego obrotu danymi jest ważnym elementem obrotu gospodarczego. Dawała możliwość dość wygodnego przekazywania danych osobowych z UE do firm amerykańskich, które zobowiązały się do przestrzegania obowiązujących w niej zasad i stosowania zawartych w niej zabezpieczeń.

Tarcza Prywatności (Privacy Shield) była sformalizowanym narzędziem (de facto umową), mającą na celu legalizację transferu danych osobowych między Unią a USA. To amerykański program, za którego zarządzanie i administrowanie odpowiadał Departament Handlu tego kraju, który sprawował nadzór nad realizacją zobowiązań podmiotów, które przestąpiły do programu. W przypadku przystąpienia do Tarczy Prywatności dane przedsiębiorstwo musiało zobowiązać się przed wspomnianym Departamentem Handlu do przestrzegania wskazanych w niej zasad. Aby uzyskać certyfikat w ramach Tarczy Poufności, musiało stosować politykę zgodną z Zasadami ochrony prywatności Tarczy. Głównym celem Tarczy obok opracowania odpowiedniego dokumentu zawierającego gwarancje prawne w zakresie przetwarzania danych osobowych na terenie USA było ustanowienie mechanizmu samo-certyfikowania dla przedsiębiorców zlokalizowanych w Stanach Zjednoczonych, oczywiście miała ona charakter fakultatywny. Na stronach departamentu handlu zamieszczano wykaz podmiotów, które przystąpiły do Tarczy. Powołano Rzecznika Tarczy, jednak kwestionowano jego niezależność.

Program regulował min. następujące aspekty:

  1. obowiązki przedsiębiorstwa w ramach Tarczy Prywatności oraz prawa, z jakich możemy skorzystać podmiot danych w związku z przetwarzaniem jego danych osobowych, 
  2. ograniczenia dotyczące korzystania z danych do różnych celów,
  3. wprowadzał zasadę minimalizacji danych i obowiązek przechowywania danych tylko przez niezbędny okres,
  4. obowiązek zabezpieczenia danych,
  5. obowiązek ochrony danych w przypadku ich przekazywania innemu przedsiębiorstwu,
  6. prawo podmiotu danych dostępu do danych i ich poprawienia,
  7. prawo podmiotu danych do wniesienia skargi i ochrony prawnej,
  8. wskazanie organu pozasądowego rozstrzygania sporów, 
  9. wskazanie krajowy organu ochrony danych,
  10. wskazanie Organu Arbitrażowego Tarczy Prywatności,
  11. podstawowe zasady Ochrony prawnej w przypadku dostępu do danych przez organy publiczne USA.

Zasadniczym pytaniem staje się czym jest decyzja o adekwatności i co właściwie oznacza. RODO i poprzednio obowiązująca dyrektywa 95/46/WE Parlamentu Europejskiego i Rady stanowią, że przekazywanie danych osobowych do państwa trzeciego może nastąpić wtedy, gdy to państwo zapewnia odpowiedni poziom ochrony tych danych. W powyższym przypadku Komisja wydaje decyzję stwierdzającą, iż taki poziom jest zadowalający i na podobnym poziomie jak w Unii chroni dane osobowe.

Decyzja o adekwatności (tu w sprawie Privacy Shield 2016/1250) jest najwygodniejszym instrumentem legalnego przekazywania danych osobowych do państwa trzeciego. Przekazywanie danych na mocy takiej decyzji musi jednak być w pełni zgodne z europejskimi przepisami (RODO). Oczywiście wspomniane rozporządzenie zapewnia inne instrumenty przekazywania, ale ten nie wymaga zezwolenia i wielu formalności.

Zgodnie z art. 45 RODO przekazywanie danych osobowych do państwa trzeciego (tu USA), sektora, sektorów lub organizacji międzynarodowej może nastąpić gdy zapewniają odpowiedni poziom ochrony. Zabezpieczeniem mogą być umowy, zawierające ustanowione w decyzji Komisji Europejskiej standardowe klauzule ochrony. Komisja wydając decyzję ocenia czy w danym państwie, podmiocie, sektorze jest akceptowalny dla niej poziom ochrony. Ocenia w stosunku do państwa trzeciego m.in.: praworządność, poszanowanie praw człowieka i podstawowych wolności, gdzie uwzględnia zagadnienia bezpieczeństwa publicznego i narodowego oraz dostępu organów publicznych do danych osobowych. Ocenia odpowiednie ustawodawstwo państwowe i sektorowe. Kolejnym aspektem, który ocenia Komisja jest istnienie i skuteczność organu nadzorczego w państwie trzecim i możliwości egzekwowania swoich praw przez osoby fizyczne. Kolejne badane aspekty to zobowiązania międzynarodowe zaciągnięte przez państwa trzecie, w szczególności w zakresie danych osobowych. Po dokonaniu oceny KE wydaje decyzję stwierdzającą, że państwo trzecie, podmiot, sektor, organizacja międzynarodowa zapewnia odpowiedni poziom ochrony.

Reasumując decyzja wykonawcza Komisji (UE) 2016/1250 z 12.7.2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA jest nieważna. Główny problem leżał w prawodawstwie amerykańskim, które nie dawało cudzoziemcom, których dane były przetwarzane możliwości pełnej realizacji swoich praw, na podobnej zasadzie jak w UE. Wskazano problem z dużym dostępem służb amerykańskich do danych takich osób i niski poziom nadzoru nad czynnościami funkcjonariuszy.

TSUE w wyroku wskazuje iż „osoby fizyczne, w tym osoby z [Unii], […] mają liczne możliwości dochodzenia roszczeń, jeżeli zostały objęte bezprawnym dozorem (elektronicznym) do celów bezpieczeństwa narodowego” (w USA). Nie uwzględniono jednak wszystkich podstaw prawnych, na jakie mogły powołać się amerykańskie organy wywiadowcze (np. rozporządzenie wykonawcze nr 12333)”. „W zakresie dotyczącym rozporządzenia wykonawczego nr 12333 ….. instytucja ta położyła nacisk w szczególności na brak jakichkolwiek środków zaskarżenia”. – cytat z wyroku.

Kluczowy fragment wyroku to:

Orzecznictwo

„Ponadto, co się tyczy zarówno programów nadzoru opartych na art. 702 FISA, jak i tych opartych na rozporządzeniu wykonawczym nr 12333, w pkt 181 i 182 niniejszego wyroku wskazano, że ani w PPD-28, ani w rozporządzeniu wykonawczym nr 12333 nie przyznano osobom, których dane są przetwarzane, praw, które mogłyby być egzekwowalne przed sądami, wobec czego osoby te nie mają prawa do skutecznego środka prawnego”.

Jednak wyrok rozwiewa wątpliwości w innych związanych z nieważnością decyzji sprawach.

Pierwsze pytanie prejudycjalne dotyczyło sytuacji, gdy dane osobowe są przekazywane przez prywatne przedsiębiorstwo z państwa członkowskiego Unii Europejskiej do prywatnego przedsiębiorstwa w państwie trzecim w celach komercyjnych. Podstawowa wątpliwość irlandzkiego organu dotyczyła dopuszczalności przekazywania takich danych przez organy w państwie trzecim dla celów bezpieczeństwa narodowego, ale także dla celów egzekwowania prawa i prowadzenia spraw zagranicznych w tym kraju trzecim (tu USA).

Trybunał wskazuje jednoznacznie że „zakresem stosowania tego rozporządzenia jest objęte przekazywanie danych osobowych przez podmiot gospodarczy mający siedzibę w jednym państwie członkowskim innemu podmiotowi gospodarczemu z siedzibą w państwie trzecim”. Odpowiedz jest twierdząca i nie ma znaczenia iż „dane te mogą być przetwarzane przez organy władzy danego państwa trzeciego w celach związanych z bezpieczeństwem publicznym, obronnością i bezpieczeństwem państwa” – cytat z sentencji wyroku.

Kolejna interpretacja dotyczy wykładni art. 46 ust. 1 RODO i art. 46 ust. 2 lit. c) RODO czyli de facto postępowania w sytuacji braku decyzji o adekwatności na podstawie art. 45 RODO i konieczności zastosowania standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2. TSUE wpodkreśla, że wskazane tam odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez RODO. Ocena powinna odbywać się na podstawie Karty praw podstawowych Unii Europejskiej. Oszacowanie stopnia ochrony powinno uwzględnić postanowienia umowne uzgodnione pomiędzy podmiotami, ale także „dostępu organów władzy publicznej państwa trzeciego do przekazanych w ten sposób danych osobowych” i „istotne elementy składające się na jego system prawny, w szczególności te wymienione w art. 45 ust. 2 wspomnianego rozporządzenia”. Wyrok nie pozostawia wątpliwości, iż zastosowane wyłącznie standardowych klauzul nie stanowi gwarancji skutecznej ochrony praw osób, których dane są przetwarzane.

Kolejna wątpliwość irlandzkiego trybunału dotyczyła sytuacji braku ważnej decyzji Komisji Europejskiej i postępowania w tym przypadku. W sentencji wyroku wskazano, iż właściwy organ (tu irlandzki) jest zobowiązany do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych. Organ orzeka w świetle całokształtu materiału dowodowego i jeżeli ochrona danych w państwie trzecim nie może zostać uznana za wystarczającą i nie może być zapewniona za pomocą innych środków orzeka zawieszenie lub zakaz transferu danych do państwa trzeciego.

Przeprowadzenie badania decyzji Komisji z 5.2.2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (notyfikowana jako dokument nr C(2010) 593) zmienionej decyzją wykonawczą Komisji (UE) 2016/2297 z 16.12.2016 r. w świetle Karty Praw Podstawowych nie wpłynęło na powyższe ustalenia.

Jak wskazano powyżej Tarcza zapewniała zupełnie racjonalne zapisy, zgodne z RODO i prawem europejskim. Jednak realizacja praw podmiotu danych nie była taka prosta i nie dotyczyła wszystkich przypadków. W USA jest wiele programów nadzoru, które nie przewidują odpowiednich gwarancji ochrony prywatności podmiotu danych. Także dostęp służb jest nieproporcjonalnie duży w stosunku do warunków europejskich i nadzór nad tym dostępem jest dyskusyjny.

TSUE stwierdził, iż prawo amerykańskie nie zapewnia odpowiedniego poziomu ochrony danych osobowych obywateli Unii. Stosowane standardowe klauzule umowne nie mogą być wykorzystane do transferu danych do USA.

Mamy nadzieję, iż USA zmieni lub zmodernizuje swoje przepisy dotyczące nadzoru nad przetwarzaniem danych osobowych obywateli państw trzecich. Trybunał po raz drugi wskazał na konflikt między unijnym prawem prywatności a amerykańskim sposobem rozumienia i realizacji nadzoru. Mamy nadzieję na wprowadzenie przez Stany Zjednoczone podobnych do europejskich praw do prywatności, w szczególności dotyczących cudzoziemców. Liczymy na to, że amerykańskie korporacje zmienią narrację w zakresie podstaw prawnych w zakresie przetwarzania danych osobowych obywateli UE na terenie USA.

Obecnie pozostają inne instrumenty wskazane w rozdziale piątym RODO. W przyszłości alternatywą mogą to być zatwierdzone kodeksy postępowania dla sektorów lub inna wersja umowy oczywiście po zmianie przepisów amerykańskich.