Przygotowując się do wydania niewiążącej opinii doradczej rzecznika generalnego w dniu 19 grudnia o godz. 9:45 w Luksemburgu, opracowaliśmy następujący dokument przygotowawczy. Sprawa jest w toku od 6,5 roku, dotyczy złożonych przepisów UE o ochronie prywatności i amerykańskim nadzorze i była przedmiotem czterech rozpraw przed różnymi sądami. Jest ona zatem bardzo złożona.
I. Tło sprawy
Nadzór amerykański. Jak potwierdził Edward Snowden, wiele dużych amerykańskich firm internetowych (w tym przypadku Facebook) ma obowiązek umożliwić rządowi USA masowy dostęp do europejskich danych o użytkownikach w celach "obcego wywiadu" (w tym antyterrorystycznych i szpiegowskich). Takie wykorzystanie danych Europejczyków może być sprzeczne z krajowym interesem UE i jej państw członkowskich (na przykład przy egzekwowaniu sankcji USA wobec firm z UE lub przy szpiegowaniu obywateli i rządów UE).
Sprawa "Safe Harbor" z 2015 roku. Na podstawie tych faktów Schrems złożył w 2013 r. skargę przeciwko Facebookowi do irlandzkiego komisarza ds. ochrony danych osobowych ("DPC"). DPC najpierw odrzucił tę skargę jako "niepoważną i dokuczliwą". Schrems odwołał się przeciwko DPC i ostatecznie wygrał: W tym przypadku, C-362/14 SchremsETS ("Trybunał Sprawiedliwości Unii Europejskiej", sąd najwyższy UE) potwierdził swoją opinię i orzekł, że masowy nadzór narusza europejskie prawa podstawowe. Trybunał Sprawiedliwości UE zlikwidował poprzedni system "bezpiecznej przystani", który ułatwiał przekazywanie danych między UE a USA. System ten został pilnie zastąpiony w 2016 r. systemem "Tarcza prywatności". Schrems: "Tarcza prywatności" to zaktualizowana wersja nielegalnej "bezpiecznej przystani". Nic w amerykańskim prawie nadzoru nie zostało zmienione ani naprawione"
Standardowe klauzule umowne ("SCC"). Po pierwszej decyzji TSUE w sprawie "Safe Harbor" Facebook twierdził, że nie będzie używał "Ochrony prywatności", lecz tzwStandardowe klauzule umowne” (SCC).
Standardowe klauzule umowne to umowa pomiędzy firmą z UE (tu Facebook Ireland) a firmą spoza UE (tu Facebook Inc, w Kalifornii), w której zagraniczna firma zobowiązuje się do poszanowania prywatności Europejczyków. Prawo uznaje, że takie umowy w wystarczającym stopniu chronią dane europejskie podczas przekazywania ich za granicę.
Główny problem: Prawo ochrony prywatności UE koliduje z amerykańskim prawem nadzoru. Na mocy unijnych przepisów o ochronie prywatności ("PKBR") i SCC "eksport danych" do państwa trzeciego jest legalny tylko wtedy, gdy przedsiębiorstwo eksportujące (w tym przypadku Facebook Ireland Ltd) może zapewnić "odpowiednią ochronę" w USA. W praktyce okazało się to niemożliwe, ponieważ amerykańskie przepisy dotyczące nadzoru (takie jak FISA 702 i EO 12.333) prowadzą do "masowego przetwarzania" danych przez rząd USA danych osobowych do celów nadzoru. Schrems: "W prostych słowach: Prawo UE wymaga prywatności, podczas gdy prawo USA wymaga masowego nadzoru. Pytanie brzmi, co się dzieje, gdy przedsiębiorstwo z UE śledzi prawo USA, a nie UE? ”
Wniosek pana Schremsa & Reaction złożony przez irlandzkie DPC. Biorąc pod uwagę powyższą sytuację oraz orzeczenie TSUE w sprawie "Safe Harbor", pan Schrems zwrócił się do irlandzkiego DPC w 2015 r. o zastosowanie art. 4 SCC, który pozwala DPC nakazać Facebookowi "zawieszenie" przekazywania danych w indywidualnych przypadkach. Podczas gdy DPC zgodził się teraz z panem Schremsem, że amerykańskie przepisy dotyczące nadzoru naruszają prawo UE, nie podjęły one bezpośrednich działań. Schrems: "Prosiliśmy o ukierunkowane rozwiązanie, tylko dla firm, które podlegają tym przepisom dotyczącym nadzoru. DPC mogło wydać taką decyzję w ciągu jednego dnia."
Irlandzkie DPC chce unieważnić SCC. DPC nie odpowiedziało jednak na wniosek pana Schremsa, lecz zamiast tego wniosło pozew przeciwko Facebookowi i panu Schremsowi do irlandzkiego High Court w celu odesłania sprawy do TSUE - tym razem w sprawie ważności SCC. Irish High Court zastosował się do wniosku DPC i odesłał jedenaście pytań do TSUE, pomimo oporu pana Schremsa i Facebooka (którzy z różnych powodów sprzeciwiali się odwołaniu). Gerard Rudden (z ARQ Solicitors, reprezentujący pana Schremsa): "Mój klient poprosił o ukierunkowane rozwiązanie dla firm, które podlegają amerykańskim przepisom o masowym nadzorze. DPC mogło wydać taką decyzję już dawno temu. Zamiast tego, po 7 latach i dwóch skierowaniach do TSUE, nadal nie mamy formalnej decyzji od DPC. ”
noyb.eu & Legal Team Pan Schrems wniósł tę sprawę na zasadzie pro-bono i jest wspierany przez zespół prawników z Irlandii, USA i Luksemburga. Sprawa jest również wspierana przez europejską organizację non-profit noyb.euktórego jest również honorowym przewodniczącym. Pan Schrems jest reprezentowany przez Eoina McCullhana, pod kierunkiem Aherna Ruddena Quigleya Solicitors. Prof. Herwig Hofmann poparł sprawę w sprawach prawa europejskiego. Ashley Gorski z Amerykańskiego Związku Wolności Obywatelskich (ACLU.org) pomagał jako ekspert w zakresie amerykańskiego prawa nadzoru.
II. Możliwe skutki
Różnica między opinią AG a ostatecznym osądem jest bardzo prawdopodobna. W sprawie tej podniesiono jedenaście częściowo powiązanych ze sobą pytań, z wieloma dodatkowymi kwestiami, które pojawiają się przy każdym pytaniu. Inaczej niż w wielu innych przypadkach nie można oczekiwać odpowiedzi binarnej. Zarówno opinia, jak i ostateczny wyrok mogą w niektórych kwestiach zostać rozszerzone, a w innych kwestiach nie mają znaczenia. Schrems: "Ta sprawa ma jedenaście powiązanych ze sobą pytań. Jest bardzo mało prawdopodobne, by rzecznik generalny udzielił nam jednej jasnej odpowiedzi "tak lub nie". Biorąc pod uwagę wiele opcji, jest jeszcze mniej prawdopodobne, że sędziowie podejdą do tych jedenastu pytań w taki sam sposób w swoim ostatecznym wyroku"
Oprócz wielu różnych możliwości w tej sprawie, rozprawa w tej sprawie mogła być wskaźnikiem nieco odmiennych poglądów AG i sędziów. Schrems: "Podczas rozprawy rzecznik generalny zadawał pytania w zupełnie innym kierunku niż sędziowie. Sędziowie wydawali się być znacznie bardziej krytyczni wobec prawa amerykańskiego i oceny Komisji Europejskiej niż rzecznik generalny. W związku z tym spodziewam się, że wyrok ostateczny może zapewnić ściślejszą ochronę prywatności niż opinia z czwartku"
Potrzebne jest długofalowe rozwiązanie. W dłuższej perspektywie zasadnicze zderzenie przepisów UE dotyczących prywatności z amerykańskimi przepisami dotyczącymi nadzoru najprawdopodobniej nie zostanie w tym przypadku rozwiązane. Schrems: "Jeśli USA chcą przetwarzać dane cudzoziemców, będą musiały zapewnić im co najmniej taką samą podstawową ochronę prywatności. W tej chwili Stany Zjednoczone zachowują się nieco tak, jakby Szwajcaria powiedziała "przechowujcie u nas całe swoje złoto, ale tak naprawdę nie macie żadnych praw, gdy już tu będziecie". Jeśli tak, to kto na świecie zaufa USA z jego danymi?"
III. Stanowisko stron w sprawie "głównego sporu"
Gdy organ ochrony danych uzna, że odbiorca danych jest prawnie zobowiązany w państwie trzecim, które nie przestrzega prawa UE (jak w tym przypadku), pojawia się pytanie, jak rozwiązać ten dylemat. Trzy strony uczestniczące w procedurze zaproponowały trzy różne odpowiedzi:
Irlandzkie DPC |
Max Schrems |
|
|
Nadzór amerykański nie narusza prawa UE ("nie ma problemu do rozwiązania") |
Nie |
Nie |
Tak |
Artykuł 4 SCC pozwala na zawieszenie ("ukierunkowane rozwiązanie" dla przedsiębiorstw FISA) |
Nie |
Tak |
Tak, gdyby był jakiś problem |
SCC są nieważne na całym świecie ("radykalne rozwiązanie") |
Tak |
Nie |
Nie |
- Facebook jest zdania, że przesłanka pytania jest błędna, ponieważ amerykański nadzór jest zgodny z prawem UE (z różnych powodów), a sprawa nie jest regulowana przez prawo UE.
- Pan Schrems jest zdania, że art. 4 SCC zezwala DPC na zawieszenie przepływu danych w indywidualnych przypadkach, ale DPC nie korzysta z tego "ukierunkowanego rozwiązania" na mocy prawa.
- Komitet Ochrony Konkurencji dostrzega "systematyczny" problem, który powinien prowadzić do unieważnienia SPK na całym świecie i nie powinien być zobowiązany do podejmowania przez SPK indywidualnych działań w każdej sprawie.
IV. Najczęściej zadawane pytania i powszechne nieporozumienia
- Czy pan Schrems nie próbował zlikwidować standardowych klauzul umownych?
Pan Schrems nigdy nie twierdził, że SCC mogą być nieważne. Spośród wszystkich stron i wszystkich interwencji w Trybunale Sprawiedliwości Unii Europejskiej jedynie DPC był zdania, że SCC powinny zostać unieważnione. Wszyscy (instytucje UE, państwa członkowskie, grupy lobbystyczne, Facebook i pan Schrems) są zdania, że SPK nie są nieważne.
- Czy UE nie blokuje po prostu wolnego handlu?
Istnieją dwa prawa, które prowadzą do tego zderzenia jurysdykcji: (1) amerykańskie przepisy dotyczące nadzoru, które pozwalają na masowy nadzór nad cudzoziemcami i szpiegostwem bez indywidualnej zgody sądu oraz (2) europejskie podstawowe prawo do prywatności. Bardzo racjonalne jest zakazanie przepływu danych na obce terytorium, jeżeli dane te mogą zostać niewłaściwie wykorzystane. Stany Zjednoczone mają podobne obawy dotyczące takich aplikacji jak "TikTok" czy sprzęt 5G firmy Huawei.
- Czy ten przypadek nie oznacza, że nie można już wysyłać e-maili do USA?
Mówiąc wprost, PKBR mówi o dwóch rodzajach przepływu danych: (1) Niezbędne przepływy danych (takie jak poczta elektroniczna lub rezerwacja hotelu za granicą), dla których istnieją odstępstwa w art. 49 PKBR oraz (2) przypadki "outsourcingu" przetwarzania danych do państwa trzeciego, które nie są ściśle niezbędne. Nawet jeśli SCC zostałyby unieważnione, miałoby to konsekwencje jedynie dla drugiej kategorii przypadków, w których nie stosuje się żadnego "odstępstwa".
W przypadku e-maili oznaczałoby to, że skrzynka pocztowa Gmail jako całość może nie być już zlecana na zewnątrz do USA, ale poszczególne e-maile, które trafią do znajomego lub kolegi z USA, będą nadal dostarczane (tak jak e-maile są dziś wysyłane do Chin, Rosji czy nawet Korei Północnej).
- Czy ten przypadek dotyczy wszystkich przepływów danych do USA?
Zgodnie z argumentami pana Schremsa, podstawowa kwestia ogranicza się do przedsiębiorstw, które podlegają szczególnej ustawie o nadzorze, zwanej "FISA 702". Ustawa ta ma zastosowanie tylko do "dostawców usług komunikacji elektronicznej" (takich jak Facebook, Google czy Microsoft), ale nie ma zastosowania do "tradycyjnych przedsiębiorstw", takich jak linie lotnicze, hotele, handel, finanse i tym podobne.
Istnieje jeszcze jedna kwestia związana z zezwoleniem na nadzór, zwanym "EO 12.333", które pozwala USA na prowadzenie nadzoru we wszystkich sektorach działalności gospodarczej, w tym w zakresie kabli transatlantyckich poza Stanami Zjednoczonymi. Ma to znaczenie głównie dla oceny "Ochrony prywatności".
Ogólnie rzecz biorąc, zawieszenie przekazywania danych w ramach SCC jest konieczne jedynie w przypadku przedsiębiorstw objętych FISA 702, która została wprowadzona w 2007 roku. Problem ten można rozwiązać, ustalając to prawo w USA.
- Czy pan Schrems pozwał Facebooka dwukrotnie?
Podczas gdy pan Schrems złożył pierwotną skargę do DPC w 2013 roku, DPC wstrzymał to postępowanie i złożył pozew przeciwko Facebookowi i panu Schremsowi. Są oni pozwanymi i nie rozpoczęli tego (drugiego) odwołania do TSUE. W rzeczywistości zarówno pan Schrems, jak i Facebook sprzeciwili się odwołaniu do TSUE z różnych powodów.
- Co ta sprawa ma wspólnego z "Osłoną prywatności"?
Facebook podniósł kwestię "tarczy prywatności" w tej sprawie, ponieważ twierdzi, że Komisja Europejska zatwierdziła amerykańskie przepisy dotyczące nadzoru w ramach tarczy prywatności i ocena ta powinna być również wiążąca przy ocenie amerykańskich przepisów dotyczących nadzoru w ramach SCC. Pan Schrems argumentował, że ocena ta jest błędna pod względem faktycznym, a zatem osłona prywatności jest nieważna.
Nie jest jasne, czy rzecznik generalny ustosunkuje się do któregoś z tych argumentów, gdyż sędziowie intensywnie przesłuchiwali Komisję Europejską w sprawie ochrony prywatności podczas rozprawy.
- Dlaczego mówisz, że SCC są w porządku, a Osłona Prywatności nie?
SCC jest ogólnym narzędziem dla około 200 krajów na świecie. Nie zajmuje się ona amerykańskimi przepisami dotyczącymi nadzoru. Jeżeli istnieje sprzeczne prawo, artykuł 4 SCC zezwala DPC na wstrzymanie transferu danych. W związku z tym SKK mają odpowiedź na ten problem przed Trybunałem. W decyzji w sprawie "Privacy Shield" Komisja Europejska wyraźnie stwierdziła, że amerykańskie prawo nadzoru jest zgodne z prawem UE, z czym zasadniczo się nie zgadzamy.
- Co według ciebie powinno było zostać zrobione przez DPC?
Zgodnie z art. 4 SCC każdy organ ochrony danych (jak np. DPC) może wstrzymać przekazywanie danych, jeżeli SCC nie przestrzega faktów. Facebook Ireland wiedział o nadzorze prowadzonym przez krajowy organ ds. ochrony danych co najmniej od 2013 r., ale nie podjął żadnych środków w celu wstrzymania lub ograniczenia przekazywania danych. W takich przypadkach organ regulacyjny musi wkroczyć i podjąć działania.
- Jak firmy mogą zastosować się do korzystnego orzeczenia?
Po pierwsze, będą musieli zidentyfikować, czy którekolwiek z ich danych trafią do amerykańskiego "dostawcy usług łączności elektronicznej", który jest objęty zakresem FISA 702. Większość tradycyjnych gałęzi przemysłu nie podlega tym przepisom nadzoru, ale duże firmy technologiczne, z których wielu z nas korzysta (jak Facebook, Google, Amazon czy Microsoft).
Nawet jeśli dane trafią do jednego z tych dostawców, większość niezbędnych transferów danych (np. wysyłanie poczty elektronicznej, wiadomości bezpośrednich lub danych dotyczących rezerwacji) może być nadal przekazywana w ramach tak zwanych "odstępstw" w PKBR. Jednakże w przypadku zwykłego "outsourcingu" przedsiębiorstwa europejskie mogą być zmuszone do znalezienia alternatywy poza USA.