Facebook nie może przekazywać danych osobowych europejskich użytkowników do U.S.A. na podstawie „Tarczy Prywatności”

W dzisiejszym, wydanym w sprawie Schrems vs. Facebook, wyroku TSUE stwierdził, że nieważna jest decyzja KE w sprawie „Privacy Shield” — a to dlatego, że przekazywanie danych osobowych użytkowników serwisów internetowych do państwa trzeciego jest dopuszczalne pod warunkiem, że rozwiązania prawne zapewniają rzeczywistą ochronę ich prywatności, także przed inwigilacją ze strony służb wywiadowczych Stanów Zjednoczonych.


schrems facebook privacy shield

Zdaniem TSUE decyzja KE w/s „Tarczy Prywatności” jest nieważna, bo nie gwarantuje poziomu ochrony danych osobowych przekazywanych do U.S.A. na poziome odpowiadającym wymogom RODO (fot. Olgierd Rudak, CC-BY-SA 3.0)


wyrok Trybunału Sprawiedliwości EU z 16 lipca 2020 r. w sprawie Schrems / Facebook (C-311/18)
1) Artykuł 2 ust. 1 i 2 [rozporządzenia 2016/679 — RODO] należy interpretować w ten sposób, że zakresem stosowania tego rozporządzenia jest objęte przekazywanie danych osobowych przez podmiot gospodarczy mający siedzibę w jednym państwie członkowskim innemu podmiotowi gospodarczemu z siedzibą w państwie trzecim, niezależnie od faktu, że w trakcie tego przekazywania lub w jego następstwie dane te mogą być przetwarzane przez organy władzy danego państwa trzeciego w celach związanych z bezpieczeństwem publicznym, obronnością i bezpieczeństwem państwa.
2) Artykuł 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia 2016/679 należy interpretować w ten sposób, że wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie, interpretowane w świetle Karty praw podstawowych Unii Europejskiej. W tym celu w ramach oceny stopnia ochrony zapewnianego w kontekście takiego przekazywania należy w szczególności uwzględniać zarówno postanowienia umowne uzgodnione między mającymi siedzibę w Unii administratorem lub podmiotem przetwarzającym a odbierającym dane podmiotem mającym siedzibę w danym państwie trzecim, jak i, w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazanych w ten sposób danych osobowych, istotne elementy składające się na jego system prawny, w szczególności te wymienione w art. 45 ust. 2 wspomnianego rozporządzenia.
3) Artykuł 58 ust. 2 lit. f) i j) rozporządzenia 2016/679 należy interpretować w ten sposób, że -– o ile nie istnieje ważna decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych –- właściwy organ nadzorczy jest zobowiązany do zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul ochrony danych przyjętych przez Komisję, jeżeli ten organ nadzorczy w świetle całokształtu okoliczności towarzyszących temu przekazywaniu uzna, że klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo unijne, a w szczególności art. 45 i 46 tego rozporządzenia i Karta praw podstawowych Unii Europejskiej, nie może być zapewniona za pomocą innych środków, jeśli to przekazywanie danych nie zostało zawieszone lub zakończone przez samych mających siedzibę w Unii administratora lub podmiot przetwarzający.
4) Przeprowadzone w świetle art. 7, 8 i 47 Karty praw podstawowych badanie decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podwykonawcom mającym siedzibę w państwach trzecich (…) nie doprowadziło do żadnych ustaleń, które mogłyby mieć wpływ na ważność tej decyzji.
5) Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. (…) w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA jest nieważna.

Orzeczenie jest kolejną odsłoną sporu Maximiliana Schremsa z Fejsbókiem i Komisją Europejską; w pierwszej temu austriackiemu prawnikowi udało się podważyć decyzję Komisji pozwalającą na przesyłanie danych osobowych do U.S.A. jako kraju, który zapewnia odpowiedni stopień ich ochrony (por. „Facebook bez „safe harbour”). Druga dotyczy decyzji KE, która uznała „standardowe klauzule umowne” regulujące przekazywanie danych osobowych do państw trzecich i „Tarczę Prywatności EU-U.S.A.” za zapewniające adekwatny poziom ochrony danych.

W wydanym dziś w trybie prejudycjalnym (na wniosek irlandzkiego High Court) wyroku TSUE stwierdził, że:

  • RODO nie wyklucza przekazywania — które jest jedną z form przetwarzania (art. 4 pkt 2 RODO) — danych osobowych z EU podmiotom mającym siedzibę w państwie trzecim (czyli poza EU — w tym przypadku chodziło o przekazywanie danych przez Facebook Ireland do Facebook Inc.), a możliwość przetwarzania tych danych przez służby tamtego państwa w celach związanych z zapewnieniem jego bezpieczeństwa nie są podstawą do stwierdzenia niedopuszczalności ich przekazywania;
art. 45 ust. 1 RODO
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
  • jednakże warunkiem dopuszczalności przekazywania danych osobowych do państwa trzeciego jest zapewnienie odpowiedniego stopnia ochrony — takiego, który jest zgodny z wymogami RODO; ocena powinna obejmować zarówno samą umowę między dwoma podmiotami (z EU i z tamtego państwa), jak też rozwiązania prawne pozwalające władzom tamtego państwa na dostęp do danych osobowych obywateli EU;
  • TSUE stwierdził, iż sam fakt, że standardowe klauzule umowne dotyczące przekazywania danych osobowych nie wiążą służb państw trzecich (umowa co do zasady wiąże tylko jej strony) nie są podstawą do podważenia nieważności decyzji KE 2010/87 — albowiem cały czas kluczowe jest to, czy rzeczywiście zapewniony jest poziom ochrony danych gwarantowany przepisami RODO, zaś mechanizmy przewidziane w standardowych klauzulach umownych są odpowiednie;
art. 46 ust. 1 i ust. 2 lit. c) RODO
1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
2. 2. Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić –- bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego –- za pomocą:
c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
  • jeśli jednak ocena konkretnego przypadku i stosowanych w państwie trzecim praktyk doprowadzi do konkluzji, że umowy oparte na standardowych klauzulach nie gwarantują odpowiedniego poziomu ochrony danych osobowych, zaś inne środki nie chronią danych we właściwy sposób — zwłaszcza przed ingerencją organów tego państwa w dane osobowe — organ nadzorczy (np. PUODO) powinien zakazać przekazywania danych do państwa trzeciego;
  • natomiast nieważna jest decyzja KE nr 2016/1250 w/s Privacy Shield — bo jej treść ustanawia prymat dla prawa Stanów Zjednoczonych w zakresie potrzeb związanych z zapewnieniem bezpieczeństwa narodowego, zatem jest sprzeczna z RODO, ponieważ pozwala na ingerencję w prywatność obywateli EU, zwłaszcza przez to, że wbrew twierdzeniom KE w „Tarczy Prywatności” brakuje środka odwoławczego pozwalającego skutecznie zwrócić się do organu nadzorczego także w przypadku naruszenia prywatności przez amerykańskie służby specjalne, zaś powołany przez władze U.S.A. Rzecznik ds. Tarczy Prywatności nie ma rzeczywistego wpływu na funkcjonowanie amerykańskich służb wywiadowczych;
art. 1 ust. 1 decyzji KE w/s „Privacy Shield”
(…) Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do podmiotów w Stanach Zjednoczonych w ramach Tarczy Prywatności UE-USA.
  • wynika to z faktu, że prawo amerykańskie nakazuje serwisom społecznościowym ujawnianie NSA, FBI i CIA informacji obejmujących dane osobowe, dostawcy internetu są zobowiązani umożliwić NSA filtrowanie i kopiowanie całego ruchu internetowego w celu pozyskania treści pochodzących od użytkowników sieci nie będących obywatelami amerykańskimi, zaś przepisy przewidują nader znikome gwarancje prawne dla prywatności (kluczowa Fourth Amendment dotyczy tylko obywateli U.S.A.);
  • natomiast Komisja Europejska owszem, może uznać państwo trzecie za gwarantujące warunki ochrony danych osobowych (motyw 104 RODO), ale jeśli się później okaże, że przestało ono odpowiednio chronić dane, powinna cofnąć swą decyzję (motyw 107 RODO), zaś w przeciwnym razie obowiązek ten spada na administratora danych, który ma obowiązek sprawdzenia (wraz z podmiotem odbierającym) czy w państwie trzecim przestrzegany jest poziom ochrony wymagany na podstawie przepisów RODO (motyw 108 RODO);
  • wcale nie na marginesie TSUE przypomniał, że organ nadzorczy jest związany decyzją w/s uznania, że państwo trzecie zapewnia odpowiedni stopień ochrony, zatem nie może zakazać przekazywania danych osobowych do tamtego trzeciego — chyba że TSUE stwierdzi jej nieważność.

Zamiast komentarza: trudno na dziś oszacować skutki drugiego wyroku w sporze Schrems vs. Facebook i nieważności „Privacy Shield”. Piłeczka jest po stronie High Court, który będzie musiał jeszcze raz wrócić do swoich spostrzeżeń w zakresie „podglądu” w dane osobowe europejskich użytkowników serwisu przez amerykańskie służby wywiadowcze. Nie ma natomiast wątpliwości, że sytuacja zmierza do tego, by administracyjnie zmusić usługodawcę do wydzielenia „europejskiego” Fejsbóka — skoro Facebook Inc. nie potrafi zagwarantować cywilizowanych, europejskich mechanizmów ochrony danych przed „przeczesywaniem” ich przez NSA, to konieczne może okazać się wyodrębnienie tych danych na europejskich serwerach i odseparowanie od „szpiegowskich wtyczek”.
Dla jasności: wyrok dotyczył Fejsbóka, bo z nim Schrems miał problem, natomiast unieważnienie decyzji w/s Privacy Shield przekłada się na wszystkie trans-oceaniczne biznesy, które korzystały z jej dobrodziejstw — natomiast warto podkreślić, że co do zasady TSUE uznał, że standardowe klauzule umowne regulujące zasady przetwarzania danych osobowych odnoszą się do tej kwestii w sposób prawidłowy.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

4 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze