TSUE rozpatruje sprawę dotyczącą przekazywania danych między UE a USA (standardowe klauzule umowne i osłona prywatności)

lip 08, 2019

Pobierz: Komunikat prasowy

W związku z szeregiem wniosków podsumowaliśmy kluczowe fakty dotyczące sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE) w sprawie przekazywania danych między UE a USA oraz masowego nadzoru ze strony rządu USA. Sprawa zostanie rozpatrzona jutro (9:00, wtorek, 9 lipca) przed Wielką Izbą Trybunału Sprawiedliwości.

Powszechne nieporozumienia w tej sprawie

  • Czy dotyczy to wszystkich transferów danych między UE a USA? Nie, chodzi tylko o transfery danych do USA, które podlegają "masowemu nadzorowi". W większości sytuacji istnieją proste sposoby uniknięcia masowego nadzoru, a wiele sektorów przemysłu (np. banki, linie lotnicze, handel i bankowość) nie jest objętych żadnym z takich przepisów dotyczących masowego nadzoru. Skarga pana Schremsa skierowana jest wyłącznie do Facebooka, który w dokumencie Snowdena został wymieniony jako pomoc dla NSA w masowym nadzorze w ramach "PRISM".
  • Czy w tym przypadku chodzi o wszystkie międzynarodowe transfery danych w UE? Spośród stron postępowania jedynie irlandzki komisarz ds. ochrony danych osobowych jest zdania, że "standardowe klauzule umowne" (SCC) są nieważne. Pan Schrems jest zdania, że (jeśli są one prawidłowo stosowane i egzekwowane przez DPC) standardowe klauzule umowne zapewniają właściwe rozwiązanie. Żadna inna strona postępowania irlandzkiego poza DPC nie podniosła żadnych kwestii dotyczących ważności.
  • Czy wszystkie transfery danych do USA są problematyczne? Nie. Przepisy dotyczące nadzoru, takie jak FISA 702, mają zastosowanie tylko do "dostawców usług łączności elektronicznej". W prawie europejskim rozróżnia się również między koniecznymi transferami (słuchanie w odstępstwach) a zbędnym "outsourcingiem" przetwarzania danych. W połączeniu problem pojawia się głównie w przypadku dostawców usług i komunikacji w chmurze, którzy podlegają przepisom o nadzorze (np. Facebook, Google, Apple, Amazon Web Services), ale nie w przypadku żadnego innego sektora przemysłu lub "niezbędnych" transferów danych (np. poczty elektronicznej, rezerwacji i tym podobnych).
  • Czy pan Schrems opowiada się za unieważnieniem SCC? Nie. Pan Schrems twierdzi, że SPK pozwalają irlandzkiemu komisarzowi ds. ochrony danych osobowych na wstrzymanie indywidualnych transferów danych, takich jak ten dokonywany przez Facebook. Ponieważ istnieje oczywiste rozwiązanie tego problemu, jego zdaniem nie ma żadnego zasadnego pytania.
  • Czy "Osłona prywatności" jest na stole? Tak. Facebook oparł się na ocenie Komisji Europejskiej dotyczącej prawa amerykańskiego w "Tarczach prywatności" i twierdzi, że ocena ta powinna mieć również zastosowanie do "Standardowych klauzul umownych". Pan poseł Schrems z kolei stwierdził, że ta ocena Komisji jest błędna. Ponieważ "Osłona prywatności" opiera się na fałszywej interpretacji prawa amerykańskiego, powinna zostać unieważniona
  • Czy nadal będziesz mógł wysyłać e-maile do USA lub rezerwować lot? Tak. Artykuł 49 PKBR przewiduje "odstępstwa", które umożliwiają wszelkie przekazywanie danych, jeżeli są one na przykład "niezbędne do zawarcia umowy" lub jeżeli użytkownik wyraźnie wyraził na to zgodę. Na przykład: Konieczne jest wysłanie wiadomości e-mail do USA, jeżeli odbiorca tam jest, ale nie jest konieczne wysyłanie wiadomości e-mail przez USA, jeżeli nadawca i odbiorca znajdują się w Europie.
  • Jaki rodzaj przekazywania danych może być zatem konieczny do zakończenia sprawy? Zasadniczo "outsourcing" przetwarzania danych, który mógłby być również dokonywany w Europie lub innych krajach, które zapewniają odpowiednie standardy ochrony danych.

Historia sprawy

Sprawa skupia się na skardze prawnika ds. ochrony prywatności Maxa Schremsa przeciwko Facebookowi w 2013 r. (link do skargi). Ponad sześć lat temu, Edward Snowden ujawnił, że Facebook umożliwia amerykańskim służbom wywiadowczym dostęp do danych osobowych Europejczyków w ramach programów nadzoru takich jak "PRISM" (patrz Wikipedia). Skarga ma na celu powstrzymanie przekazywania danych przez Facebooka między UE a USA. Jak dotąd irlandzki DPC nie podjął w tym celu żadnych konkretnych działań.

Pierwsze odrzucenie i wyrok TSUE w sprawie Safe Harbor

Sprawa ta została najpierw odrzucona przez irlandzkiego komisarza ds. ochrony danych osobowych (DPC) w 2013 r., a następnie poddana kontroli sądowej w Irlandii i skierowana do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). W 2015 r. TSUE orzekł, że tzw. umowa "Safe Harbor", która umożliwiała przekazywanie danych między UE a USA, jest nieważna (link do wyroku w sprawie C-362/14) oraz że irlandzki DPC musi zbadać sprawę, czego początkowo odmówił.

Informacje na temat stosowania "standardowych klauzul umownych"

O dziwo, DPC poinformowała pana Schremsa pod koniec 2015 r., że Facebook w rzeczywistości nigdy nie polegał na unieważnionym obecnie porozumieniu "Safe Harbor", lecz już w 2013 r. na "Standardowych klauzulach umownych" (kolejny mechanizm przekazywania danych z UE do USA). DPC nie ujawniła tego faktu i zasugerowała w zamian, że Safe Harbor blokuje je w celu prowadzenia sprawy. Ten "objazd" sprawił, że pierwsze orzeczenie TSUE nie miało znaczenia dla sprawy.

Drugie dochodzenie i sprawa sądowa

Pan Schrems dostosował swoją skargę do przekazów dokonywanych w ramach "Standardowych klauzul umownych" i jednocześnie zażądał zaprzestania przekazywania danych do Facebooka USA, argumentując, że udostępniają one dane NSA. Dochodzenie DPC trwało zaledwie kilka miesięcy od grudnia 2015 r. do wiosny 2016 r. Zamiast podjąć decyzję w sprawie skargi, DPC złożyła w 2016 r. pozew przeciwko Facebookowi i Panu Schremsowi (obaj są obecnie pozwanymi) w irlandzkim High Court w celu skierowania dalszych pytań do TSUE. Po ponad sześciu tygodniach przesłuchań, które odbyły się głównie w 2017 roku, irlandzki High Court stwierdził, że rząd USA angażuje się w "masowe przetwarzanie" europejskich danych osobowych i w 2018 roku po raz drugi skierował jedenaście pytań do TSUE (link do wyroku).

Dalsze kroki

TSUE wymienił sprawę pod numerem C-311/18 i rozpatrzy ją po raz drugi 9 lipca 2019 r. - około sześciu lat od daty złożenia pierwotnej skargi. Oczekuje się, że wyrok zostanie wydany przed końcem roku. Po wydaniu wyroku przez TSUE, DPC będzie musiał ostatecznie rozstrzygnąć skargę po raz pierwszy. Decyzja ta mogłaby być ponownie przedmiotem odwołań ze strony Facebooka lub pana Schremsa.

Podstawowe argumenty przedstawione przez Strony

  • Irlandzki komisarz ds. ochrony danych osobowych przyłącza się do pana Schremsa w jego opinii, że amerykańskie przepisy dotyczące nadzoru naruszają podstawowe prawa do prywatności, ochrony danych i zadośćuczynienia na mocy prawa europejskiego. DPC twierdzi jednak, że nie ma uprawnień do rozwiązania tego problemu. Ponieważ mechanizm transferu danych stosowany przez Facebook (standardowe klauzule umowne) nie przewiduje takiej sytuacji, same klauzule muszą zostać unieważnione. Oznaczałoby to, że przekazywanie danych do jakiegokolwiek państwa spoza UE w ramach tego instrumentu musiałoby zostać wstrzymane.
  • Facebook jest zdania, że prawo amerykańskie nie wykracza poza to, co jest zgodne z prawem UE. Facebook ma również wątpliwości, czy UE posiada jakąkolwiek jurysdykcję w sprawach dotyczących "bezpieczeństwa narodowego". Podsumowując, Facebook nie widzi problemu w dalszym przekazywaniu danych do Stanów Zjednoczonych w ramach przepisów dotyczących masowego nadzoru, takich jak FISA. Facebook opiera się również na ocenie amerykańskiego prawa dokonanej przez Komisję Europejską w tzw. decyzji "Privacy Shield", w której stwierdza się, że amerykańskie przepisy dotyczące nadzoru są zgodne z wymogami UE.
  • Schrems zgadza się z DPC co do problemu, ale proponuje bardziej wyważone rozwiązanie. Prawo (art. 4 SCC) zezwala DPC na wstrzymanie indywidualnych transferów danych (takich jak Facebook). Pan Schrems mówi, że irlandzkie DPC ma obowiązek działać, zamiast kopać sprawę z powrotem do TSUE. Na Facebooku poleganie na "tarczy prywatności", Pan Schrems jest zdania, że decyzja Komisji Europejskiej o tarczy prywatności nie opisuje odpowiednio amerykańskiego prawa nadzoru, nie jest nawet w stanie zapewnić odpowiedniej ochrony prywatności, a zatem musi zostać unieważniona.
  • Komisja Europejska: Komisja Europejska ma obowiązek bronić obu swoich decyzji: Standardowe klauzule umowne i tarcza prywatności. Prawdopodobnie stanie ona po stronie Stanów Zjednoczonych i Facebooka w przekonaniu, że w Stanach Zjednoczonych nie dochodzi do naruszenia praw podstawowych, ale przyzna również, że DPC jest uprawniona do samodzielnego rozwiązania problemu, jeżeli TSUE stwierdzi naruszenie praw podstawowych w USA.

Oświadczenie pana Schremsa

Max Schrems, prezes Noyb: "Proponujemy wyważone rozwiązanie: Irlandzki DPC musi po prostu odpowiednio egzekwować przepisy, zamiast w kółko wracać do Luksemburga. Ta sprawa jest w toku od sześciu lat. W ciągu tych sześciu lat DPC zdecydowało zaledwie o 2-3% wniesionych do niego spraw. Nie mamy problemu z "Standardowymi klauzulami umownymi", mamy problem z egzekwowaniem prawa"

noyb

noyb jest nową europejską organizacją nienastawioną na zysk, która egzekwuje prawo do prywatności w drodze postępowania sądowego. Popiera ona tę sprawę i sama jest wspierana przez ponad 3 500 członków-darczyńców.

Najważniejsze dane liczbowe

Stronami postępowania przed sądem są: irlandzki komisarz ds. ochrony danych osobowych, Facebook Ireland Ltd, oraz Max Schrems. Sąd irlandzki zezwolił również czterem "amicus curiae" (neutralnym pomocnikom sądu) na przyłączenie się do sprawy, a mianowicie rządowi USA, Electronic Privacy Information Center (epic.org) oraz dwóm branżowym organizacjom lobbystycznym.

Wszystkie państwa członkowskie UE, Komisja Europejska, Parlament Europejski i Europejska Rada Ochrony Danych (EDPB) mogły składać wnioski.

Uploads

MakePrivacyReal

Nasza praca jest możliwa dzięki ponad 3.100 członkom wspierającym - każdy może Ty?