Wyrok TSUE - pierwsze oświadczenie

Data Transfers
 /  czw., 07/16/2020 - 17:29
(c) Court of Justice of the European Union

TSUE unieważnia „Tarczę Prywatności UE-USA” (tzw. "Privacy Shield") w sprawie dotyczącej nadzoru przez USA. SKU nie mogą być stosowane przez Facebook i podobne firmy.

Facebook i podobne firmy nie mogą również korzystać z „SKU” („Standardowe Klauzule Umowne”), ponieważ DPC musi zaprzestać przekazywania danych w ramach tego instrumentu. Schrems: „Potrzebujemy reformy amerykańskiego prawa nadzoru. Trybunał Sprawiedliwości UE wyjaśnił, że transfery danych łamiące prawo UE są niedopuszczalne.”

Pierwsza reakcja Maxa Schremsa (przewodniczącego noyb.eu i strony w niniejszej sprawie) na wyrok TSUE:

Schrems: "Jestem bardzo zadowolony z tego wyroku. Wygląda na to, że Trybunał podążył za nami we wszystkich aspektach. To jest totalny cios dla irlandzkiego organu  ochrony  danych, DPC, i Facebooka. Jeśli amerykańskie przedsiębiorstwa będą chciały nadal odgrywać ważną rolę na rynku UE, to jest oczywiste, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru.

Reforma prawa inqigilacyjnego w USA jest nieunikniona - TSUE przed chwilą to wyraźnie potwerdził

Trybunał Sprawiedliwości UE (TSUE) jasno stwierdził, że daleko idące amerykańskie przepisy dotyczące nadzoru są sprzeczne z podstawowymi prawami UE. Stany Zjednoczone ograniczają większość środków ochrony wyłącznie do „osób z US”, ale nie chronią danych zagranicznych klientów firm amerykańskich przed działaniami amerykańskiej agencji wywiadowczej NSA. Ponieważ nie istnieje możliwości sprawdzenia czy Ty lub Twoja firma są pod nadzorem, obywatele są również pozbawieni możliwości dostępu do sądów. W tym aspeckie, TSUE stwierdził naruszenie „istoty” praw podstawowych UE.

Schrems: "Trybunał po raz drugi wyjaśnił, że doszło do zderzenia prawa UE dotyczącego prywatności z amerykańskim prawem nadzoru. Ponieważ UE nie zmieni swoich podstawowych praw, aby zadowolić NSA, jedynym sposobem na przezwyciężenie tego starcia jest wprowadzenie przez USA solidnych praw do prywatności dla wszystkich ludzi - w tym dla cudzoziemców. Reforma nadzoru staje się tym samym kluczowa dla interesów gospodarczych Doliny Krzemowej."

"Wyrok ten nie jest przyczyną ograniczenia przekazywania danych, ale konsekwencją amerykańskich przepisów dotyczących nadzoru."

Komisja Europejska ugięła się pod presją Stanów Zjednoczonych

Z wyroku jasno wynika również to, że Komisja Europejska nie przeprowadziła dogłębnej i dokładnej oceny amerykańskich przepisów dotyczących nadzoru przed wydaniem swojej decyzji „Tarcza Prywatności”. Zamiast tego ugięła się pod naciskiem Stanów Zjednoczonych, adoptując „Tarczę Prywatności”.

Herwig Hofmann, profesor prawa na Uniwersytecie Luksemburskim i jeden z prawników, który litygował w sprawach Schremsa przed TSUE: "TSUE unieważnił drugą decyzję Komisji Europejskiej naruszającą podstawowe prawa UE w zakresie ochrony danych. Nie może być mowy o przekazywaniu danych do kraju, w którym istnieją formy masowego nadzoru. Tak długo, jak prawo USA pozwala rządowi na „chłonięcie” danych z UE przesyłanych do USA, takie instrumenty będą wielokrotnie unieważniane. Dopuszczenie przez Komisję amerykańskich przepisów dotyczących nadzoru w decyzji „Tarcza Prywatności ” pozostawiło je bez obrony."

Organy ochrony danych mają „obowiązek działania” - istotne wzmocnienie dla RODO

Trybunał Sprawiedliwości UE wyjaśnił również, że unijne organy ochrony danych (OOD) mają obowiązek podejmowania działania. Trybunał podkreślił, że OOD są „zobowiązane do wywiązania się ze swoich obowiązków w zakresie zapewnienia pełnego egzekwowania praw wynikających z RODO z należytą starannością”. Do tej pory wielu organów  ochrony  danych uważało, że mają one nieograniczoną swobodę w podejmowaniu decyzji czy chcą podjemować działania w konkretnych sprawach. Sąd położył teraz kres tej praktyce.

Schrems: "Trybunał nie tylko mówi irlandzkiemu OOD (DPC), że ma wykonać swoje zadanie po siedmiu latach bezczynności, ale również, że wszystkie europejskie organy ochrony danych mają obowiązek podjąć działania i nie mogą po prostu ignorować swoich obowiązków. Jest to zasadnicza zmiana, wykraczająca daleko poza przekazywanie danych między UE a USA. Władze takie jak irlandzki organ ochrony danych (DPC), do tej pory podważały sukces RODO, po prostu nie rozpatrując skarg. Trybunał wyraźnie powiedział organom ochrony danych, że mają podjąć działania i egzekwowować prawo."

Również SKU nie mogą być wykorzystywane przez Facebook i firmy amerykańskie, które są pod nadzorem USA

Trybunał przyłączył się również do opinii Pana Schremsa, że jako pierwszy krok, przedsiębiorstwa unijne i odbiorcy danych spoza UE muszą dokonać przeglądu prawa w danym państwie trzecim. Tylko wówczas, gdy nie istnieje sprzecznego prawa w tym państwie trzecim, mogą one korzystać ze Standardowych Klauzul Umownych (SKU). W przypadku, gdy amerykańskie przepisy dotyczące nadzoru naruszają unijne zasady ochrony danych, a przedsiębiorstwa nie podejmują działań, jako drugi pozim ochrony, właściwy organ ochrony danych jest zobowiązany zastosować „klauzulę nadzwyczajną” uwzględnioną w SKU (Art. 4 SKU). Irlandzki organ DPC walczy z tym pomysłem od 2016 r., fałszywie twierdząc, że w obliczu masowego nadzoru sprawowanego przez obce władze, ma on prawo nie podejmować żadnych działań. Podsumowując, oznacza to, że Facebook nie może już korzystać z SKU do przekazywania danych pomiędzy UE a USA, a jeśli nadal będzie on naruszać prawo, DPC musi podjąć pilne działania.

Schrems: "Z wyroku jasno wynika, że przedsiębiorstwa nie mogą po prostu podpisać SKU, ale muszą również sprawdzić, czy można ich przestrzegać w praktyce. W przypadkach takich jak Facebook, gdzie firma nie podjęła żadnych działań, DPC miała rozwiązanie tej sprawy we własnych rękach od samego początku. Ona mogła nakazać Facebookowi wstrzymanie transferów już lata temu. W naszej skardze, zażądaliśmy, aby prezes irlandzkiego organu, DPC, wydała zawiadomienie o zakazie z rozsądnym okresem implementacji, aby umożliwić Facebookowi podjęcie wszelkich niezbędnych kroków. Zamiast tego ona zwróciła się do TSUE o unieważnienie SKU, które, jak okazało się, są ważne. To jak wrzeszczeć na europejską straż pożarną, bo samemu się nie ma ochoty zadmuchnąć świecy.”

Użytkownicy muszą się zjednoczyć & bardzo wysokie koszty

Fakt, że sprawa ta toczy się od siedmiu lat, a sam irlandzki OOD, DPC, zainwestował prawie 3 mln euro w walkę ze skargą pana Schremsa, zamiast podjąć zdecydowane działania w celu ochrony praw Europejczyków, również wskazuje na pewne fundamentalne wady systemu egzekwowania prawa wynikającego z RODO. Obecnie zwyczajna osoba nie jest w stanie zagwarantować, że prawa RODO nie są tylko pustą obietnicą, ale są normalną częścią naszego życia cyfrowego.

Schrems: "DPC zainwestował przeciwko nam 2,9 mln euro - i w zasadzie przegrał. Nie chcę nawet wiedzieć, ile milionów rzucił w tę sprawę Facebook. Finansowe skutki tej sprawy będą teraz rozstrzygane przez sądy irlandzkie. Zgodnie z prawem UE, osoby powinne mieć możliwość bezpłatnego i szybkiego rozpatrzenia swojej skargi. Jednak w tym przypadku spędzilismy w sądach 7 lat i złożyliśmy ponad 45 000 stron dokumentów. Możliwość wniesienia skarg w takich sprawach jest możliwe tylko dzięki wsparciu ponad 3200 członków noyb. Mit, że student prawa może to zrobić sam, jest niestety błędny."

„Niezbędne” transfery danych do USA są nadal dozwolone

Bez względu na niniejsze orzeczenie, przekazywanie danych absolutnie „niezbędnych” może nadal odbywać się na mocy Art. 49 RODO. Każdy przypadek, w którym użytkownicy chcą, aby ich dane zostały przekazane za granicę, jest nadal legalny, ponieważ takie przekazywanie może opierać się na świadomej zgodzie użytkownika, która może zostać w każdej chwili wycofana. Podobnie prawo zezwala na przepływ danych w odniesieniu do tego, co jest „niezbędne” do realizacji umowy. Stanowi to solidną podstawę dla większości transakcji prawnych z USA. W prostych słowach: USA powróciły teraz do „normalnej” sytuacji, jaką UE ma z większością innych krajów trzecich, ale straciły swój szczególny status w zakresie dostępu do rynku UE z powodu nadzoru ze strony USA.

Schrems: "Trybunał wyraźnie podkreślił, że unieważnienie Tarczy Prywatności nie stworzy „próżni prawnej”, ponieważ niezbędne przepływy danych mogą nadal być podejmowane. Stany Zjednoczone zostały po prostu przywrócone do statusu przeciętnego kraju, który nie korzysta już ze szczególnego statusu w zakresie dostępu do danych UE."

v1