Facebook bez „safe harbour” (wyrok w sprawie M. Schremsa, C-362/14)

Czysto informacyjnie: w dzisiejszym wyroku Trybunał Sprawiedliwości EU stwierdził nieważność decyzji Komisji Europejskiej uznającej, że amerykańskie reguły odnoszące się do zabezpieczenia danych osobowych są wystarczające dla zapewnienia prawidłowego przekazywania danych osobowych (wyrok z 6 października 2015 r. w sprawie Maksymiliana Schrems, C-362/14).


wyrok przekazywanie danych Facebook


O sprawie pisałem przy okazji wydania przez rzecznika generalnego opinii do sprawy (por. „Ponadto rzecznik generalny uważa, że decyzja ta jest nieważna„).

Konsekwencją orzeczenia jest zniweczenie skutków prawnych decyzji KE z 2000 r. (2000/520/EC) — w myśl której krajowe organy ochrony danych osobowych (na przykład nasz GIODO) nie są uprawnione do badania warunków na jakich dane osobowe Europejczyków są przekazywane administratorom ze Stanów Zjednoczonych, ponieważ apriorycznie warunki te zostały uznane za wystarczające (zapewniające bezpieczeństwo danych).

Wyrok ma kluczowe znaczenie w sporze pomiędzy M. Schremsem a serwisem Facebook dotyczącym prywatności jego użytkowników — natomiast na pewno nie wynika z niego ani to, że Facebook musi zwijać manatki z Europy, ani też, że konta użytkowników zostaną skasowane. Natomiast w jego konsekwencji każdy kto uzna, że być może jego prywatność została zagrożona lub naruszona poprzez to, że jego dane osobowe są przechowywane w ramach infrastruktury amerykańskiej, może żądać zbadania warunków w jakich przetwarzane są jego dane osobowe — zaś GIODO nie może odmówić podjęcia czynności powołując się na decyzję KE z 2000 roku.

Cytując komunikat prasowy po rozprawie:

W następstwie wydania tego wyroku irlandzki organ nadzorczy jest zobowiązany do zbadania skargi M. Schremsa z wszelką wymaganą starannością i – po przeprowadzeniu dochodzenia – do wydania decyzji, czy należy zawiesić, na mocy dyrektywy, przekazywanie danych europejskich użytkowników Facebooka do USA z tego względu, że państwo to nie zapewnia odpowiedniego stopnia ochrony danych osobowych.

Zatem dopiero po rozpoznaniu skargi wniesionej przez Maksymiliana Schremsa przez irlandziego GIODO może się okazać, że Facebook nie zapewnia prawidłowych warunków zachowania prywatności użytkowników. A nieprawidłowości te mogą wynikać m.in. z tego, że jak się okazało służby specjalne USA mogą mieć dostęp do danych osobowych użytkowników przekazywanych z państw europejskich — zaś zasady dostępu do takich danych powinny podlegać prawodawstwu europejskiemu (por. „O tym, że urząd urzędowi może (przekazać dane osobowe człowieka tylko za podstawą prawną” dot. wyroku TSUE w sprawie C-201/14). Takie regulacje oznaczają w rezultacie pogwałcenie prawa do życia prywatnego.

(Zamiast komentarza krótka dygresja: czy tylko ja odnoszę wrażenie, że szkoda, że TSUE nie widzi podobnych bolączek w przypadku inwigilacji obywateli europejskich przez rodzime służby specjalne? No i ciekawe jak wyglądałaby ocena innych porozumień zawieranych przez KE a dotykających naszej prywatności…)

  • MR

    A więc wojna:)

  • Potraktujemy sprawę jako depeszę emską!

  • b52t

    Ładnie, ciekawe jaka będzie ostateczne decyzja/wyrok w tej sprawie, bo to jednak, bądź co bądź,to będzie ważny temat. Oczywiście fejsik nie zniknie z UE.
    Do komentarza/dygresji: jest jednakowoż lekka różnica między tym, że dane o użytkownikach pobierają korporacje (inne sprawa, że użytkownicy bardzo często dają dużo za dużo informacji albo akceptują „appki”, które patroszą ich szmartfony), wywiad zupełnie obcej strony, a co innego krajowe służby bezpieczeństwa. EU i poszczególne państwa powinny chronić swoich obywateli. No, ale to takie tam założenie z gatunku nasze jest lepsze niż obce. ;-)

  • Oczywiście, że jest różnica, ale różnica jest także tutaj:

    – użytkownik Fejsbóka życzy sobie mieć konto w serwisie (więc może wystarczy wymusić odpowiednie stosowanie przepisów o przekazywaniu danych do państwa trzeciego?),

    – ja sobie mogę nie życzyć inwigilacji przez służby specjalne (z naciskiem na mogę).

  • Czy tam się nie wkradło nadmiarowe „nie”? Albo coś nie rozumiem, albo zdanie „stwierdził nieważność decyzji Komisji Europejskiej uznającej, że amerykańskie reguły odnoszące się do zabezpieczenia danych osobowych nie(?) są wystarczające dla zapewnienia prawidłowego przekazywania danych osobowych” – nie pasuje mi do reszty artykułu.

  • Racja — za bardzo chciałem zamanifestować moją postawę (NIE! NIE!).

    Dzięki! :)

  • Dzięki za interesujący wpis. Trochę pogooglowałem na temat Safe Harbour i mogę polecić wywiad z prawnikiem specjalizującym się w ochronie danych osobowych. W jasny sposób wyjaśnia jak żyć po Safe Harbour?

  • Simon

    Przyda się aktualizacji i odkurzenie tematu. Jakie implikacje generuje koniec Safe Harbour dowiesz się z tego opracowania.