Przekazywanie danych UE-USA

EU and US law crashing

Kontekst

U podstaw tej sprawy leży konflikt prawny między amerykańskimi przepisami dotyczącymi nadzoru, które wymagają nadzoru, a unijnymi przepisami dotyczącymi ochrony danych, które wymagają prywatności.

Problem: amerykańskie przepisy dotyczące nadzoru

W 2013 r. Edward Snowden publicznie ujawnił, że amerykańskie agencje wywiadowcze mają dostęp do danych osobowych europejskich użytkowników za pomocą programów nadzoru, takich jak PRISM. Dostęp ten został ułatwiony przez amerykańskie prawo, o którym nie wiadomo, czy jest wykorzystywane do umożliwienia tak szeroko zakrojonego nadzoru, zwane 50 U.S.C. §1881a (lub FISA 702). FISA 702 została przyjęta w 2008 r. i zasadniczo rozszerzyła możliwości w zakresie nadzoru i dostępu do danych dla władz USA. Równocześnie z tym rozszerzeniem coraz więcej danych osobowych gromadzonych było przez amerykańskich dostawców usług łączności elektronicznej (takich jak Apple, Microsoft, Facebook, Google i Yahoo). W połączeniu prowadzi to do coraz bardziej szkodliwego wpływu na prywatność europejskich użytkowników.

Na mocy FISA 702 amerykańscy "dostawcy usług łączności elektronicznej" (zgodnie z definicją zawartą w 50 U.S.C. §1881 ust. 4) mogą być zmuszeni do zapewnienia amerykańskim organom bezpieczeństwa dostępu do danych osobowych "osób nieamerykańskich", które są zdefiniowane jako osoby niebędące obywatelami amerykańskimi ani stałymi mieszkańcami USA. Nakazy nadzoru na mocy tego prawa nie muszą być specyficzne dla konkretnego celu, ale raczej zezwalają na cały program ogólnego nadzoru, taki jak PRISM lub Upstream. Nie istnieje indywidualna zgoda sądowa dla osób niebędących obywatelami amerykańskimi. FISA 702 umożliwia również nadzór do dość szerokich celów, takich jak "informacje, które ... odnoszą się do ... prowadzenia spraw zagranicznych Stanów Zjednoczonych" (zob. 50 U.S.C. § 1801 lit. e)).

Istnieją również amerykańskie uprawnienia nadzorcze oparte na "nieodłącznej władzy prezydenta Stanów Zjednoczonych" i dalej określone w rozporządzeniu wykonawczym (EO 12.333), podczas gdy inne elementy są opisane w dyrektywie w sprawie polityki prezydenckiej 28 (PPD-28). Oba są wewnętrznymi zarządzeniami w oddziale wykonawczym, które nie tworzą żadnych obowiązków ani praw dla podmiotów prywatnych, ale pozwalają na nadzór nad osobami spoza USA.

W dokumentach ujawnionych przez Edwarda Snowdena wymieniono szereg firm amerykańskich, które dostarczają dane rządowi Stanów Zjednoczonych do programów nadzoru takich jak PRISM lub Upstream na mocy tych przepisów, w tym Apple, Microsoft, Facebook, Google i Yahoo.

Reakcja: Limity PKBR Przekazywanie danych

Europejskie przepisy dotyczące ochrony prywatności (wcześniej dyrektywa 95/46, a obecnie PKBR) opierają się na koncepcji swobodnego przepływu danych osobowych, ale tylko w sferze, która chroni prywatność użytkowników. Gdyby dane osobowe były chronione jedynie w obrębie Unii Europejskiej, ale mogły być przekazywane poza jurysdykcją UE bez żadnych ograniczeń, wysoki poziom ochrony danych osobowych niezbędny w UE mógłby zostać łatwo podważony.

Prawo UE zawsze jednak przewidywało jednocześnie wyjątki od tej zasady ograniczania przekazywania danych, takie jak sytuacje, w których konieczne jest przekazanie danych osobowych (np. przy rezerwacji usługi za granicą lub przy wysyłaniu wiadomości e-mail) lub gdy użytkownik dobrowolnie wyraża zgodę na przekazanie. Te odstępstwa dotyczące transferów niestrukturalnych są obecnie skodyfikowane w art. 49 PKBR.

Ponadto prawo UE uznaje, że mogą istnieć sytuacje, w których przedsiębiorstwa spoza UE zapewniają równoważny poziom ochrony danych osobowych. W niektórych krajach prawo krajowe jest podobne do prawa UE (np. Szwajcaria, Izrael, Kanada lub Japonia), a w innych krajach przedsiębiorstwa mogą dobrowolnie zobowiązać się do przestrzegania zasad UE poprzez podpisanie umów cywilnoprawnych, takich jak Standardowe Klauzule Umowne (SCC), Wiążące Reguły Korporacyjne lub Tarcza Prywatności UE-USA. Te ostatnie podstawy prawne można znaleźć w art. 46-48 PKBR i są one w dużej mierze wykorzystywane w sytuacjach najlepiej określanych jako "outsourcing" przetwarzania danych osobowych przez przedsiębiorstwa do państw spoza UE.

Ponieważ w Stanach Zjednoczonych nie obowiązuje ani zbiorcze, ani federalne prawo dotyczące prywatności, amerykańskie przedsiębiorstwa muszą polegać na jednej z tych opcji umownych w art. 46-48 PKBR w odniesieniu do outsourcingu. Jednak w przypadku przedsiębiorstw, które podlegają amerykańskim przepisom dotyczącym nadzoru, korzystanie z tych opcji umownych jest w praktyce niemożliwe , ponieważ prawo amerykańskie wymaga od nich złamania zobowiązań wynikających z prawa UE. Ochrony Danych (DPC) i Facebook, ponieważ Facebook wyraźnie podlega amerykańskim przepisom dotyczącym nadzoru i uczestniczył w programach takich jak PRISM, a jednocześnie w sprzeczności podpisuje SCC, Safe Harbor, a obecnie Privacy Shield (decyzja w sprawie przekazywania danych UE-USA zastępująca Safe Harbor).

Pierwsze odniesienie do TSUE w latach 2013-2015 ("bezpieczna przystań")

Procedura przed irlandzkim komisarzem ds. ochrony danych osobowych (DPC)

Po ujawnieniu informacji przez Snowden, pan Schrems (wówczas austriacki student prawa) złożył skargę przeciwko Facebook Ireland Ltd do irlandzkiego Komisarza Ochrony Danych (DPC). W skardze argumentowano, że w ramach Decyzja UE-USA w sprawie Safe Harbor 2000/520/WE (decyzja wykonawcza podjęta przez Komisję Europejską w 2000 r.) Dane osobowe pana Schremsa nie powinny być przesyłane z serwisu Facebook Ireland Ltd (obsługującego użytkowników Facebooka poza Stanami Zjednoczonymi i Kanadą) do serwisu Facebook Inc. (amerykańskiej spółce dominującej), ponieważ Facebook musi udzielić dostępu do tych danych amerykańskiej Agencji Bezpieczeństwa Narodowego.

Irlandzki DPC odrzucił skargę pana Schremsa jako "frywolną i dokuczliwą", argumentując, że Facebook opierał się na decyzji w sprawie "bezpiecznej przystani" przy przekazywaniu danych do USA. W opinii DPC Komisja Europejska uznała, że prawo amerykańskie jest odpowiednie w decyzji z 2000 r. (8 lat przed przyjęciem 50 U.S.C. § 1881a) i że DPC jest bezwzględnie związane decyzją Komisji.

Kontrola sądowa przeciwko KKD

W październiku 2013 r. pan Schrems złożył wniosek o rewizję sądową decyzji DPC, argumentując, że DPC może zastosować "klauzulę nadzwyczajną" w decyzji w sprawie Safe Harbor w celu zawieszenia przekazywania danych, a w każdym razie decyzja w sprawie Safe Harbor jest nieważna. W wyroku w sprawie 18. 6. 2014 [2014] IEHC 310, irlandzki High Court wstrzymał postępowanie i przekazał sprawę do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Irish High Court w dużej mierze zgodził się co do tego, że w prawie amerykańskim istnieje "nadzór masowy", ale uznał, że nie może wydać ostatecznej decyzji w sprawie A. Schremsa bez uprzedniego ustalenia ważności decyzji w sprawie "bezpiecznej przystani". Zgodnie z prawem UE jedynie TSUE może decydować o ważności aktów UE takich jak decyzja w sprawie "Safe Harbor", co oznacza, że irlandzki High Court musiał skierować sprawę do TSUE.

Wyrok TSUE z dnia 6 października 2015 r. (C-362/14)

W art. 47 KPP przełomowy wyrok (C-362/14 Schrems) tSUE uznał decyzję w sprawie "bezpiecznej przystani" za nieważną, głównie w związku z argumentami A. Schremsa. Trybunał orzekł, że państwo trzecie, takie jak Stany Zjednoczone, musi zapewnić poziom ochrony "zasadniczo równoważny" z poziomem zapewnianym przez prawo Unii oraz że "przepisy pozwalające organom publicznym na dostęp na zasadach ogólnych" naruszyły istotę podstawowego prawa Unii do prywatności wynikającego z art. 7 Karty praw podstawowych Unii Europejskiej (KPP). Podobnie, brak jakichkolwiek prawnych środków odwoławczych w USA dla osób spoza USA narusza podstawowe prawo do sądowego środka odwoławczego na mocy art. 47 KPP.

W następstwie wyroku TSUE irlandzki High Court zamknął postępowanie w sądach irlandzkich, ponieważ DPC zobowiązał się do szybkiego wdrożenia decyzji TSUE.

Drugie odniesienie do TSUE w latach 2015-2020 (SCC & Privacy Shield)

Informacja, że Facebook faktycznie oparł się na SPK

Ku wielkiemu zaskoczeniu pana Schremsa, w listopadzie 2015 r. DPC poinformowała go, że wyrok wydany przez TSUE w sprawie decyzji dotyczącej Safe Harbor nie miał znaczenia dla jego pierwotnej skargi, ponieważ w rzeczywistości Facebook zawsze opierał się na tak zwanych "standardowych klauzulach umownych" (SCC) przy przekazywaniu danych. Standardowe klauzule umowne" (DPC). DPC nie ujawnił tych informacji Panu Schremsowi, co doprowadziło go do przekonania, że Facebook polegał na Safe Harbor, mimo że otrzymał te informacje z Facebooka już w odpowiedzi e-mailowej na skargę w 2013 r.

W związku z tym pan Schrems przeformułował swoją skargę, tak aby obejmowała ona obecnie SPK oraz wszelkie inne podstawy prawne przekazywania danych, na których mógłby się oprzeć Facebook, a w dniu 1 grudnia 2015 r. przekazał DPC zaktualizowaną skargę. P. Schrems argumentował, że DPC powinien zastosować art. 4 decyzji SCC w celu zawieszenia przekazywania danych, ponieważ art. 4 zezwala DPC na zawieszenie przekazywania danych w przypadku naruszenia praw podstawowych użytkowników.

Pozew DPC przeciwko Facebookowi i panu Schremsowi

Zamiast szybko podjąć decyzję w tej sprawie, DPC niespodziewanie złożył pozew przeciwko Facebook Ireland Ltd i panu Schremsowi wkrótce po rozpoczęciu "dochodzenia" w sprawie przeformułowanej skargi obejmującej obie strony. Zdaniem DPC obie strony były "naturalnymi oskarżonymi" w tej sprawie, a DPC było zmuszone zwrócić się do Wysokiego Sądu o ponowne skierowanie sprawy do Trybunału Sprawiedliwości UE. Pan Schrems zakwestionował tę sprawę, twierdząc, że DPC może zwrócić się do TSUE dopiero po raz drugi, gdy wszystkie fakty i kwestie zostaną zbadane.

Kilka stron wystąpiło z wnioskiem o przyłączenie się do sprawy jako amicus (neutralni pomocnicy sądu); dołączyły do nich rząd USA, EPIC.org i dwie branżowe grupy lobbystyczne.

W pozwie DPC argumentowała, że nie tylko przyłączy się do opinii pana posła Schremsa w jego obawach dotyczących amerykańskich przepisów o nadzorze, ale poza tym ma również poważne obawy co do ważności SCC wykorzystywanych przez Facebook. DPC stanął na stanowisku, że SPK nie przewidują zgodnego z prawem mechanizmu przekazywania danych, jeżeli państwo trzecie, takie jak USA, przyjęło przepisy, które są sprzeczne z SPK. Facebook i pan Schrems nie mieli zastrzeżeń do samych SPK i zgodzili się, że w takim przypadku art. 4 decyzji w sprawie SPK (UE) 2010/87 pozwoliłby na znalezienie rozwiązania.

W przeciwieństwie do pana Schremsa i DPC, Facebook nie widział żadnych problemów z amerykańskimi przepisami dotyczącymi nadzoru i był zdania, że UE nie ma jurysdykcji w kwestiach "bezpieczeństwa narodowego". Facebook oparł się również na decyzji Komisji Europejskiej w sprawie ochrony prywatności (UE) 2016/1250, która zastąpiła unieważnioną decyzję w sprawie Safe Harbor. W decyzji tej Komisja Europejska stwierdziła, że nie ma sprzeczności między amerykańskimi przepisami dotyczącymi nadzoru a prawami podstawowymi UE. Według Facebooka ustalenie to zawarte w decyzji o ochronie prywatności musi mieć również zastosowanie do transferów w ramach SCC. Pan poseł Schrems uznał, że sama decyzja w sprawie ochrony prywatności jest nieważna, ponieważ w zasadniczy sposób narusza amerykańskie przepisy dotyczące nadzoru, a zatem nie jest organem właściwym do dokonywania wykładni SCC.

Po kilku krokach proceduralnych i ponad pięciu tygodniach przesłuchań, w których uczestniczyło wielu ekspertów w zakresie amerykańskich przepisów dotyczących nadzoru, irlandzki Sąd Najwyższy uznał istnienie programów masowego nadzoru rządu USA. W wyroku z dnia 3 października 2017 r. [2017] IEHC 545 Irish High Court podsumował wszystkie ustalenia faktyczne, podkreślając, że Stany Zjednoczone prowadzą "masowe przetwarzanie" danych osobowych, na przykład podczas filtrowania całego ruchu internetowego, który przepływa przez części szkieletu Internetu. W dniu 13 kwietnia 2018 r. skierował jedenaście pytań interpretacyjnych do TSUE w celu ich rozstrzygnięcia. Pytania te zostały w dużej mierze opracowane przez DPC.

W następstwie odwołania Facebook wystąpił do irlandzkiego Sądu Najwyższego z wnioskiem o jego wstrzymanie, ale odwołanie zostało ostatecznie odrzucone w dniu 31 maja 2019 r.

Postępowanie przed TSUE (C-311/18)

W dniu 30 sierpnia 2018 r. strony musiały przedstawić swoje uwagi na piśmie.

W dniu 19 lipca 2019 r. TSUE rozpatrywał sprawę przed Wielką Izbą (największy skład Trybunału, liczący 15 sędziów), przesłuchując trzy strony, cztery amicus, Komisję Europejską, Parlament Europejski, Europejską Radę Ochrony Danych (EDPB) oraz wiele rządów państw członkowskich UE. Pytania sędziów koncentrowały się w szczególności na kwestiach dotyczących amerykańskich przepisów w zakresie nadzoru oraz ważności decyzji o ochronie prywatności.

W dniu 19 grudnia 2019 r. rzecznik generalny (AG) Trybunału wydał niewiążącą opinię doradczą w tej sprawie, w dużej mierze przyłączając się do stanowiska pana Schremsa. Zgodnie z tą opinią amerykańskie przepisy dotyczące nadzoru są niezgodne z prawami podstawowymi UE, ale rozwiązanie tej niezgodności polega na nakazie zawieszenia przekazywania danych na mocy art. 4 decyzji w sprawie SCC. Chociaż Grupa AG wyraźnie skrytykowała decyzję w sprawie ochrony prywatności, była ona zdania, że kwestia jej ważności nie stanowi integralnej części sprawy.

Ostateczny wyrok TSUE w tych sprawach zostanie wydany w dniu 16 lipca 2020 r. około godziny 9:30 czasu środkowoeuropejskiego.

Relevant articles