Zasadniczo sprawa ta dotyczy konfliktu prawa między amerykańskimi przepisami dotyczącymi nadzoru, które wymagają nadzoru, a unijnymi przepisami dotyczącymi ochrony danych, które wymagają prywatności.
Od 2013 r. toczy się postępowanie w sprawie masowej inwigilacji w USA i firm z UE, które się w nią angażują. Sprawa była już dwukrotnie rozpatrywana przez irlandzki Sąd Najwyższy i Europejski Trybunał Sprawiedliwości (TSUE), a nawet złożyła krótką wizytę w irlandzkim Sądzie Najwyższym. Historia tej sprawy jest pod wieloma względami wyjątkowa.
Kontekst
Zasadniczo sprawa ta dotyczy konfliktu prawa między amerykańskimi przepisami dotyczącymi nadzoru, które wymagają nadzoru, a unijnymi przepisami dotyczącymi ochrony danych, które wymagają prywatności.
Problem: amerykańskie przepisy dotyczące inwigilacji
W 2013 r. Edward Snowden publicznie ujawnił, że amerykańskie agencje wywiadowcze mają dostęp do danych osobowych europejskich użytkowników za pomocą programów nadzoru, takich jak PRISM. Dostęp ten był ułatwiony dzięki amerykańskiemu prawu, o którym nie wiadomo, czy jest używane do zezwalania na tak szeroko zakrojoną inwigilację, zwanemu 50 U.S.C. §1881a (lub FISA 702). FISA 702 została uchwalona w 2008 roku i zasadniczo rozszerzyła możliwości nadzoru i dostępu do danych dla władz USA. Jednocześnie z tym rozszerzeniem, coraz więcej danych osobowych było gromadzonych przez amerykańskich dostawców usług komunikacji elektronicznej (takich jak Apple, Microsoft, Facebook, Google i Yahoo). W połączeniu prowadziło to do coraz bardziej szkodliwego wpływu na prywatność europejskich użytkowników.
Zgodnie z FISA 702, amerykańscy "dostawcy usług komunikacji elektronicznej" (zgodnie z definicją w 50 U.S.C. §1881(4)) mogą zostać zmuszeni do zapewnienia amerykańskim organom bezpieczeństwa dostępu do danych osobowych "osób spoza USA", które są zdefiniowane jako każdy, kto nie jest obywatelem USA lub stałym rezydentem USA. Nakazy inwigilacji na mocy tego prawa nie muszą dotyczyć konkretnego celu, ale raczej pozwalają na cały program inwigilacji, taki jak PRISM lub Upstream. Nie ma zindywidualizowanej zgody sądowej dla osób spoza USA. FISA 702 zezwala również na inwigilację w dość szerokich celach, takich jak "informacje, które ... odnoszą się do ... prowadzenia spraw zagranicznych Stanów Zjednoczonych"(patrz 50 U.S.C. §1801(e)).
Istnieją również amerykańskie uprawnienia do inwigilacji oparte na "nieodłącznych uprawnieniach prezydenta USA" i dalej zdefiniowane w zarządzeniu wykonawczym(EO 12.333), podczas gdy inne elementy są opisane w Dyrektywie Polityki Prezydenckiej 28(PPD-28). Oba są wewnętrznymi zarządzeniami w ramach władzy wykonawczej, które nie tworzą żadnych obowiązków ani praw dla podmiotów prywatnych, ale pozwalają na inwigilację osób spoza USA.
Dokumenty ujawnione przez Edwarda Snowdena wymieniają szereg amerykańskich firm, które dostarczają dane rządowi USA w ramach programów nadzoru, takich jak PRISM lub Upstream, w tym Apple, Microsoft, Facebook, Google i Yahoo.
Reakcja: RODO ogranicza transfer danych
Europejskie przepisy dotyczące prywatności (wcześniej dyrektywa 95/46, a obecnie RODO) opierają się na koncepcji swobodnego przepływu danych osobowych, ale tylko w sferze, która chroni prywatność użytkowników. Jeśli dane osobowe byłyby chronione tylko w Unii Europejskiej, ale mogłyby być przekazywane poza jurysdykcję UE bez żadnych ograniczeń, wysoki poziom ochrony danych osobowych niezbędny w UE mógłby zostać łatwo podważony.
Jednak prawo UE zawsze przewidywało wyjątki od tej zasady ograniczania przekazywania danych, takie jak sytuacje, w których dane osobowe muszą zostać przekazane (np. podczas rezerwacji usługi za granicą lub wysyłania wiadomości e-mail) lub gdy użytkownik dobrowolnie wyraża zgodę na przekazanie. Te odstępstwa dotyczące przekazywania danych niestrukturalnych są obecnie skodyfikowane w art. 49 RODO.
Ponadto prawo UE uznaje, że mogą istnieć sytuacje, w których przedsiębiorstwa spoza UE zapewniają równoważny poziom ochrony danych osobowych. W niektórych krajach prawo krajowe jest podobne do prawa UE (np. w Szwajcarii, Izraelu, Kanadzie lub Japonii), a w innych krajach przedsiębiorstwa mogą dobrowolnie zobowiązać się do przestrzegania zasad UE poprzez podpisanie umów cywilnoprawnych, takich jak standardowe klauzule umowne (SCC), wiążące reguły korporacyjne lub Tarcza Prywatności UE-USA. Te ostatnie podstawy prawne można znaleźć w art. 46-48 RODO i są one w dużej mierze wykorzystywane w sytuacjach, które najlepiej opisać jako "outsourcing" przetwarzania danych osobowych przez firmy do krajów spoza UE.
Ponieważ Stany Zjednoczone nie mają zbiorczego ani federalnego prawa dotyczącego prywatności, amerykańskie firmy muszą polegać na jednej z tych opcji umownych w art. 46-48 RODO w przypadku outsourcingu. Jednak dla firm, które podlegają amerykańskim przepisom dotyczącym nadzoru, korzystanie z tych opcji umownych jest niemożliwe w praktyce, ponieważ prawo USA wymaga od nich złamania zobowiązań wynikających z prawa UE. Problem ten leży u podstaw wszystkich spraw między panem Schremsem, irlandzkim komisarzem ds. ochrony danych (DPC) a Facebookiem, ponieważ Facebook wyraźnie podlega amerykańskim przepisom dotyczącym nadzoru i uczestniczył w programach takich jak PRISM, jednocześnie sprzecznie podpisując SCC, Safe Harbor, a teraz Privacy Shield (decyzja w sprawie przekazywania danych między UE a USA zastępująca Safe Harbor).
Pierwsze odwołanie do TSUE w latach 2013-2015 ("Safe Harbor")
Procedura przed irlandzkim komisarzem ds. ochrony danych (DPC)
Po ujawnieniu informacji przez Snowdena pan Schrems (wówczas austriacki student prawa) złożył skargę przeciwko Facebook Ireland Ltd do irlandzkiego komisarza ds. ochrony danych (DPC). W skardze argumentowano, że zgodnie z Decyzji 2000/520/WE w sprawie bezpiecznej przystani UE-USA (decyzji wykonawczej podjętej przez Komisję Europejską w 2000 r.) dane osobowe pana Schremsa nie powinny być przesyłane z Facebook Ireland Ltd (obsługującej użytkowników Facebooka poza USA i Kanadą) do Facebook Inc. (amerykańskiej spółki dominującej), ponieważ Facebook musi udzielić amerykańskiej Agencji Bezpieczeństwa Narodowego dostępu do takich danych.
Irlandzki DPC odrzucił skargę pana Schremsa jako "niepoważną i dokuczliwą", argumentując, że Facebook opierał się na decyzji Safe Harbor w zakresie przekazywania danych do USA. W opinii DPC, Komisja Europejska zaakceptowała, że prawo amerykańskie jest odpowiednie w decyzji z 2000 r. (8 lat przed uchwaleniem 50 U.S.C. § 1881a) i że DPC była bezwzględnie związana decyzją Komisji.
Kontrola sądowa przeciwko DPC
W październiku 2013 r. pan Schrems złożył wniosek o rewizję sądową decyzji DPC, argumentując, że DPC mogła wykorzystać "klauzulę nadzwyczajną" w decyzji Safe Harbor w celu zawieszenia transferu danych, a w każdym razie decyzja Safe Harbor była nieważna. W wyroku z dnia 18. 6. 2014 [2014] IEHC 310, irlandzki Sąd Najwyższy wstrzymał procedurę i skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Irlandzki Sąd Najwyższy w dużej mierze zgodził się z faktem, że istnieje "masowa inwigilacja" zgodnie z prawem amerykańskim, ale uznał, że nie może podjąć ostatecznej decyzji w sprawie pana Schremsa bez uprzedniego ustalenia ważności decyzji Safe Harbor. Zgodnie z prawem UE tylko TSUE może dokonywać ustaleń dotyczących ważności aktów UE, takich jak decyzja w sprawie "bezpiecznej przystani", co oznaczało, że irlandzki High Court musiał skierować sprawę do TSUE.
Wyrok TSUE z dnia 6 października 2015 r. (C-362/14)
W przełomowym wyroku (C-362/14 Schrems) tSUE stwierdził nieważność decyzji w sprawie "bezpiecznej przystani", w dużej mierze w oparciu o argumenty pana Schremsa. Trybunał orzekł, że państwo trzecie, takie jak USA, musi zapewnić"zasadniczo równoważny" poziom ochrony w stosunku do poziomu zapewnianego przez prawo UE, a"ustawodawstwo zezwalające organom publicznym na dostęp na zasadach ogólnych" naruszyło istotę podstawowego prawa UE do prywatności na mocy art. 7 Karty praw podstawowych UE (KPP). Podobnie, brak jakiegokolwiek zadośćuczynienia prawnego w USA dla osób spoza USA narusza podstawowe prawo do sądowego środka odwoławczego na mocy art. 47 KPP.
W następstwie wyroku TSUE irlandzki Sąd Najwyższy zamknął procedurę w sądach irlandzkich, ponieważ DPC zobowiązał się do szybkiego wdrożenia decyzji TSUE.
Drugie odwołanie do TSUE w latach 2015-20 (SCC i Tarcza Prywatności)
Informacja, że Facebook faktycznie oparł się na SCC
Ku wielkiemu zaskoczeniu pana Schremsa, w listopadzie 2015 r. DPC poinformowało go, że wyrok TSUE w sprawie decyzji Safe Harbor nie miał znaczenia dla jego pierwotnej skargi, ponieważ Facebook w rzeczywistości zawsze opierał się na tak zwanych "standardowych klauzulach umownych" (SCC ) przy dokonywaniu transferów danych. DPC nie ujawniło tej informacji panu Schremsowi, co doprowadziło go do przekonania, że Facebook polegał na Safe Harbor, pomimo otrzymania tej informacji od Facebooka już w odpowiedzi e-mail na skargę w 2013 roku.
W związku z tym pan Schrems przeformułował swoją skargę tak, aby obejmowała ona teraz SCC i wszelkie inne podstawy prawne przekazywania danych, na których Facebook mógł się oprzeć, i dostarczył DPC zaktualizowaną skargę w dniu 1 grudnia 2015 r. Pan Schrems argumentował, że DPC powinien wykorzystać art. 4 decyzji SCC do zawieszenia przekazywania danych, ponieważ art. 4 pozwala DPC zawiesić przekazywanie danych w przypadku naruszenia podstawowych praw użytkowników.
Pozew DPC przeciwko Facebookowi i panu Schremsowi
Zamiast szybko podjąć decyzję w tej sprawie, DPC niespodziewanie złożył pozew przeciwko Facebook Ireland Ltd i panu Schremsowi wkrótce po rozpoczęciu "dochodzenia" w sprawie przeformułowanej skargi z udziałem obu stron. W opinii DPC obie strony były "naturalnymi pozwanymi" w tej sprawie, a DPC zostało zmuszone do wezwania Wysokiego Trybunału do wydania kolejnego wniosku do Trybunału Sprawiedliwości UE. Pan Schrems zakwestionował tę sprawę, argumentując, że DPC może zwrócić się do TSUE po raz drugi dopiero po zbadaniu wszystkich faktów i kwestii.
Kilka stron złożyło wnioski o dołączenie do sprawy jako amicus (neutralni pomocnicy sądu); rząd USA, EPIC.org i dwie grupy lobbystyczne przemysłu zostały do niej dołączone.
W pozwie DPC argumentowało, że nie tylko przyłączyłoby się do poglądów pana Schremsa w jego obawach dotyczących amerykańskiego prawa nadzoru, ale poza tym miałoby również poważne obawy co do ważności SCC stosowanych przez Facebooka. DPC uznał, że SCC nie zapewniają zgodnego z prawem mechanizmu przekazywania danych, jeśli państwo trzecie, takie jak USA, przyjęło przepisy, które są sprzeczne z SCC. Facebook i pan Schrems nie kwestionowali samych SCC i zgodzili się, że w takim przypadku art. 4 decyzji SCC (UE) 2010/87 pozwoliłby na znalezienie rozwiązania.
W przeciwieństwie do pana Schremsa i DPC, Facebook nie widział żadnego problemu z amerykańskimi przepisami dotyczącymi nadzoru i był zdania, że UE nie ma jurysdykcji w kwestiach "bezpieczeństwa narodowego". Facebook oparł się również na decyzji Komisji Europejskiej w sprawie Tarczy Prywatności (UE) 2016/1250, która zastąpiła unieważnioną decyzję w sprawie Safe Harbor. W decyzji tej Komisja Europejska stwierdziła, że nie ma konfliktu między amerykańskimi przepisami dotyczącymi nadzoru a prawami podstawowymi UE. Według Facebooka to stwierdzenie zawarte w decyzji w sprawie Tarczy Prywatności musi mieć również zastosowanie do przekazywania danych w ramach SCC. Pan Schrems wyraził pogląd, że sama decyzja w sprawie Tarczy Prywatności jest nieważna, ponieważ zasadniczo błędnie przedstawia amerykańskie przepisy dotyczące nadzoru, a zatem nie jest autorytetem do interpretowania SCC.
Po kilku krokach proceduralnych i ponad pięciu tygodniach przesłuchań z udziałem wielu ekspertów w zakresie amerykańskiego prawa nadzoru, irlandzki High Court uznał istnienie amerykańskich rządowych programów masowej inwigilacji. W wyroku z dnia 3 października 2017 r. [2017] IEHC 545 irlandzki High Court podsumował wszystkie ustalenia faktyczne, podkreślając, że Stany Zjednoczone prowadzą "masowe przetwarzanie" danych osobowych, na przykład filtrując cały ruch internetowy przepływający przez części szkieletu internetowego. W dniu 13 kwietnia 2018 r. skierował jedenaście pytań interpretacyjnych do TSUE w celu ich rozstrzygnięcia. Pytania te zostały w dużej mierze opracowane przez DPC.
W następstwie odesłania Facebook złożył wniosek do irlandzkiego Sądu Najwyższego w celu powstrzymania odesłania przez High Court, ale odwołanie zostało ostatecznie odrzucone w dniu 31 maja 2019 r.
Postępowanie przed TSUE (C-311/18)
W dniu 30 sierpnia 2018 r. strony musiały przedstawić swoje pisemne uwagi.
W dniu 19 lipca 2019 r. TSUE rozpatrzył sprawę przed Wielką Izbą (największym składem Trybunału, liczącym 15 sędziów), wysłuchując trzech stron, czterech amicus, Komisji Europejskiej, Parlamentu Europejskiego, Europejskiej Rady Ochrony Danych (EDPB) oraz wielu rządów państw członkowskich UE. Pytania sędziów koncentrowały się w szczególności na kwestiach związanych z amerykańskimi przepisami dotyczącymi nadzoru i ważnością decyzji w sprawie Tarczy Prywatności.
W dniu 19 grudnia 2019 r. rzecznik generalny Trybunału wydał niewiążącą opinię doradczą w tej sprawie, w dużej mierze przyłączając się do stanowiska pana Schremsa. Zgodnie z opinią amerykańskie przepisy dotyczące nadzoru są niezgodne z prawami podstawowymi UE, ale rozwiązanie tej niezgodności polega na tym, że DPC nakazuje zawieszenie przekazywania danych na podstawie art. 4 decyzji SCC. Chociaż AG wyraźnie skrytykował decyzję w sprawie Tarczy Prywatności, uznał, że kwestia jej ważności nie stanowi integralnej części sprawy.
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości wydał decyzję "Schrems II", w pełni popierając stanowisko skarżącego, unieważniając decyzję "Privacy Shield", wymagając od DPC zaprzestania przekazywania danych i stwierdzając, że amerykańskie przepisy dotyczące nadzoru naruszają art. 7 (prawo do prywatności), 8 (prawo do ochrony danych) i 47 (prawo do odszkodowania) Europejskiej Karty Praw Podstawowych.