TSUE rozpatruje sprawę dotyczącą przekazywania danych między UE a USA (Standardowe Klauzule Umowne i Tarcza Prywatności)

This page has been translated automatically. Read the original lub leave us a message if something is not right.
wt., 09/17/2019 - 09:40
Thumbnail

Pobierz: Komunikat prasowy

W związku z licznymi prośbami, podsumowaliśmy najważniejsze fakty w sprawie toczącej się przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE), dotyczącej przekazywania danych między UE a USA oraz masowej inwigilacji przez rząd USA. Sprawa będzie rozpatrywana jutro (9:00, wtorek, 9 lipca) przed Wielką Izbą Trybunału Sprawiedliwości.

Powszechne nieporozumienia związane z tą sprawą

  • Czy ta sprawa dotyczy wszystkich transferów danych między UE a USA? Nie, chodzi tylko o transfery do USA, które są przedmiotem "masowej inwigilacji". W większości sytuacji istnieją proste sposoby na uniknięcie masowego nadzoru, a wiele sektorów przemysłu (np. banki, linie lotnicze, handel i bankowość) nie podlega żadnym przepisom dotyczącym masowego nadzoru. Skarga pana Schremsa dotyczy jedynie Facebooka, który w dokumencie Snowdena został wymieniony jako podmiot pomagający NSA w masowym nadzorze w ramach "PRISM".
  • Czy ta sprawa dotyczy wszystkich międzynarodowych transferów danych w UE? Spośród stron postępowania tylko irlandzki komisarz ds. ochrony danych stoi na stanowisku, że "standardowe klauzule umowne" (SCC) są nieważne. Pan Schrems uważa, że (jeśli są one prawidłowo stosowane i egzekwowane przez DPC) SCC stanowią właściwe rozwiązanie. Żadna inna strona postępowania irlandzkiego poza DPC nie podniosła kwestii ważności.
  • Czy wszystkie transfery danych do USA są problematyczne? Nie. Przepisy dotyczące nadzoru, takie jak FISA 702, mają zastosowanie jedynie do "dostawców usług łączności elektronicznej". Prawo europejskie rozróżnia również między niezbędnymi transferami (posłuchajcie w odstępstwach) a niepotrzebnym "outsourcingiem" przetwarzania. W połączeniu, problem pojawia się głównie z dostawcami usług w chmurze i komunikacji, którzy podlegają prawom nadzoru (np. Facebook, Google, Apple, Amazon Web Services), ale nie z żadnym innym sektorem przemysłu lub "niezbędnymi" transferami danych (np. e-maile, rezerwacje i tym podobne).
  • Czy p. Schrems twierdzi, że należy unieważnić SCC? Nie. Pan Schrems argumentuje, że SCC pozwalają irlandzkiemu komisarzowi ds. ochrony danych zatrzymać poszczególne transfery danych, takie jak ten dokonany przez Facebook. Ponieważ istnieje oczywiste rozwiązanie problemu, jego zdaniem nie ma wątpliwości co do ważności.
  • Czy "Tarcza Prywatności" jest na stole? Tak. Facebook oparł się na ocenie prawa amerykańskiego dokonanej przez Komisję Europejską w ramach "Tarczy Prywatności" i twierdzi, że ocena ta powinna mieć również zastosowanie do "Standardowych klauzul umownych". Pan Schrems z kolei argumentował, że ta ocena Komisji jest błędna. Ponieważ Tarcza Prywatności opiera się na fałszywej interpretacji prawa amerykańskiego, powinna zostać unieważniona.
  • Czy nadal będzie można wysyłać e-maile do USA lub zarezerwować lot? Tak. Artykuł 49 GDPR przewiduje "odstępstwa", które pozwalają na wszystkie transfery danych, jeśli są one np. "niezbędne do dostarczenia umowy" lub gdy użytkownik wyraźnie wyraził zgodę. Na przykład: Konieczne jest wysłanie wiadomości e-mail do USA, jeśli odbiorca tam się znajduje, ale nie jest konieczne wysyłanie wiadomości e-mail przez USA, jeśli nadawca i odbiorca są w Europie.
  • Jakiego rodzaju transfery mogą więc wymagać zatrzymania? Zasadniczo "outsourcing" przetwarzania danych, które mogłyby być również wykonywane w Europie lub innych krajach zapewniających odpowiednie standardy ochrony danych.

Historia sprawy

Sprawa koncentruje się na skardze prawnika ds. prywatności Maxa Schremsa przeciwko Facebookowi z 2013 roku(link do skargi). Ponad sześć lat temu Edward Snowden ujawnił, że Facebook umożliwia służbom wywiadowczym USA dostęp do danych osobowych Europejczyków w ramach programów inwigilacyjnych takich jak "PRISM" (patrz Wikipedia). Skarga ma na celu zatrzymanie transferów danych Facebooka między UE a USA. Jak dotąd irlandzki DPC nie podjął żadnych konkretnych działań w tym kierunku.

Pierwsze odrzucenie i wyrok TSUE w sprawie Safe Harbor

Sprawa została po raz pierwszy odrzucona przez irlandzkiego komisarza ds. ochrony danych (DPC) w 2013 r., a następnie poddana kontroli sądowej w Irlandii i odwołaniu do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). TSUE orzekł w 2015 r., że tzw. umowa "Safe Harbor", która umożliwiała przekazywanie danych z UE do USA, była nieważna(link do wyroku w sprawie C-362/14), a irlandzki DPC musiał zbadać sprawę, czego początkowo odmówił.

Informacja o stosowaniu "standardowych klauzul umownych"

Co zaskakujące, DPC poinformowało pana Schremsa pod koniec 2015 roku, że Facebook w rzeczywistości nigdy nie opierał się na unieważnionej obecnie umowie "Safe Harbor", ale zamiast tego już w 2013 roku opierał się na "Standardowych klauzulach umownych" (innym mechanizmie przekazywania danych z UE do USA). DPC nie ujawniła tego faktu i zamiast tego zasugerowała, że Safe Harbor blokuje ich w kontynuowaniu sprawy. Ten "objazd" sprawił, że pierwsze orzeczenie TSUE nie miało znaczenia dla sprawy.

Drugie dochodzenie i pozew

Pan Schrems dostosował swoją skargę do transferów dokonywanych w ramach "Standardowych klauzul umownych" i równie mocno domagał się zakończenia transferów danych do Facebook USA, opierając się na argumencie, że udostępniają one dane NSA. Postępowanie DPC trwało zaledwie kilka miesięcy od grudnia 2015 do wiosny 2016. Zamiast rozstrzygnąć skargę, DPC złożyła w 2016 roku w irlandzkim High Court pozew przeciwko Facebookowi i panu Schremsowi (obaj są obecnie pozwanymi) w celu skierowania dalszych pytań do TSUE. Po ponad sześciu tygodniach rozpraw odbywających się głównie w 2017 roku irlandzki High Court uznał, że rząd USA angażuje się w "masowe przetwarzanie" europejskich danych osobowych i skierował jedenaście pytań do TSUE po raz drugi(link do wyroku) w 2018 roku.

Kolejne kroki

TSUE wpisał sprawę na listę C-311/18 i rozpozna ją po raz drugi 9 lipca 2019 roku - około sześciu lat od złożenia pierwotnej skargi. Wyrok spodziewany jest przed końcem roku. Po wydaniu wyroku przez TSUE, DPC musiałby ostatecznie rozstrzygnąć skargę po raz pierwszy. Decyzja ta może być ponownie przedmiotem odwołania ze strony Facebooka lub pana Schremsa.

Główne argumenty stron

  • Irlandzki komisarz ds. ochrony danych zgadza się z panem Schremsem w jego opinii, że amerykańskie przepisy dotyczące nadzoru naruszają podstawowe prawa do prywatności, ochrony danych i zadośćuczynienia na mocy prawa europejskiego. DPC twierdzi jednak, że nie ma uprawnień do rozwiązania tej kwestii. Ponieważ mechanizm przekazywania danych, z którego korzysta Facebook (Standardowe Klauzule Umowne) nie przewiduje takiej sytuacji, należy unieważnić same klauzule. Oznaczałoby to, że przekazywanie danych do każdego kraju spoza UE na podstawie tego instrumentu musiałoby zostać wstrzymane.
  • Facebook jest zdania, że prawo amerykańskie nie wykracza poza to, co jest zgodne z prawem UE. Facebook kwestionuje również, czy UE ma jakąkolwiek jurysdykcję w sprawach dotyczących "bezpieczeństwa narodowego". Podsumowując, Facebook nie widzi problemu w dalszym przekazywaniu danych do Stanów Zjednoczonych w ramach przepisów dotyczących masowego nadzoru, takich jak FISA. Facebook opiera się również na ocenie prawa USA przez Komisję Europejską w tzw. decyzji "Privacy Shield", która mówi, że amerykańskie przepisy dotyczące nadzoru są zgodne z wymogami UE.
  • Schrems zgadza się z DPC w kwestii problemu, ale proponuje bardziej wyważone rozwiązanie. Prawo (art. 4 SCCs) pozwala DPC zatrzymać indywidualne transfery danych (jak w przypadku Facebooka). Pan Schrems twierdzi, że irlandzki DPC ma obowiązek działać, zamiast odsyłać sprawę do TSUE. Jeśli chodzi o powoływanie się przez Facebooka na "Tarczę Prywatności", P. Schrems jest zdania, że decyzja Komisji Europejskiej o Tarczy Prywatności nie opisuje odpowiednio amerykańskich przepisów dotyczących nadzoru, nie jest nawet w stanie zapewnić odpowiedniej ochrony prywatności i dlatego musi zostać unieważniona.
  • Komisja Europejska: Oczekuje się, że Komisja Europejska będzie bronić obu swoich decyzji: Standardowych Klauzul Umownych i Privacy Shield. Prawdopodobnie stanie po stronie Stanów Zjednoczonych i Facebooka, uznając, że w Stanach Zjednoczonych nie doszło do naruszenia praw podstawowych, ale jednocześnie przyzna, że DPC ma prawo samodzielnie rozwiązać tę kwestię, jeśli TSUE dostrzeże naruszenie praw podstawowych w USA.

Oświadczenie posła Schremsa

Max Schrems, przewodniczący noyb: "Proponujemy wyważone rozwiązanie: Irlandzki DPC musi po prostu odpowiednio egzekwować przepisy, zamiast w kółko odrzucać sprawę do Luksemburga. Sprawa ta toczy się już od sześciu lat. W ciągu tych sześciu lat DPC podjęła decyzję w zaledwie 2-3% spraw, które zostały do niej wniesione. Nie mamy problemu ze "standardowymi klauzulami umownymi", mamy problem z ich egzekwowaniem."

noyb

noyb jest nową europejską organizacją non-profit, która egzekwuje prawo do prywatności poprzez spory sądowe. Wspiera tę sprawę i sama jest wspierana przez ponad 3.500 członków-darczyńców.

Kluczowe liczby

Stronami przed sądem są irlandzki komisarz ds. ochrony danych osobowych, Facebook Ireland Ltd oraz Max Schrems. Irlandzki sąd zezwolił również na dołączenie do sprawy czterech "amicus curiae" (neutralnych pomocników sądu), czyli rządu USA, Electronic Privacy Information Center (epic.org) oraz dwóch organizacji lobbystycznych z branży.

Wszystkie państwa członkowskie UE, Komisja Europejska, Parlament Europejski i Europejska Rada Ochrony Danych (EDPB) mogły przedstawić swoje uwagi.

MakePrivacyReal

Nasza praca jest możliwa dzięki ponad 3.100 członkom wspierającym - może Ty?