Transfer danych UE-USA: ważny wyrok

Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems

Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko Maximillian Schrems i Facebook Ireland. Trybunał stwierdził nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez "Tarczę Prywatności UE–USA". TSUE orzekł natomiast, że decyzja Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich jest ważna.

Trybunał Sprawiedliwości UE w wydanym 16 lipca 2020 r. wyroku w sprawie C-311/18 - Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems, potwierdził więc wysoki standard ochrony danych osobowych w odniesieniu do przekazywania danych osobowych do państw trzecich.

TSUE stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. W konsekwencji, od dnia ogłoszenia wyroku, tj. 16 lipca 2020 r., przekazywanie danych do importerów w Stanach Zjednoczonych Ameryki nie może się już odbywać na tej podstawie.

Decyzja Komisji Europejskiej, na podstawie której dane mogły być transferowane pomiędzy UE a USA, została zatem uznana za nieważną. Chodzi o decyzję KE 2016/1250 z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez "Tarczę Prywatności UE-USA", która umożliwiała przekazywanie danych osobowych z Unii Europejskiej do USA. Trybunał Sprawiedliwości UE w czwartek stwierdził jej nieważność.

Co to oznacza w praktyce?

Wszystkie firmy, które prowadząc swoją działalność na terenie Unii Europejskiej, chciałyby dokonać takiego transferu - muszą zweryfikować podstawy, na jakich to robią.

Wyrok Trybunału Sprawiedliwości UE oznacza bowiem, że nie ma instrumentu umożliwiającego swobodne przekazywanie danych z UE do USA.

W kontekście wydanego wyroku przekazywanie danych osobowych z UE do USA powinno odbywać się według zasad określonych w Rozdziale 5 Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Przekazywanie danych może mieć miejsce tylko wtedy, gdy to państwo trzecie (czyli państwo spoza Europejskiego Obszaru Gospodarczego, czyli UE oraz Lichtensteinu, Islandii i Norwegii) zapewnia odpowiedni stopień ochrony tych danych.

Wyrok jest następstwem skargi obywatela Austrii, który twierdził, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.

Trybunał odniósł się w czwartek także do innej decyzji Komisji Europejskiej - w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich (92010/87/UE z dnia 5 lutego 2010 r.).

W tym przypadku, powołując się na Kartę praw podstawowych Unii Europejskiej, Trybunał uznał, że nie wykazuje ona niczego, co mogłoby podważać jej ważność.

TSUE potwierdził więc dalsze obowiązywanie decyzji Komisji Europejskiej 2010/87 w sprawie standardowych klauzul umownych (SCC) dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich. Trybunał jednak zastrzegł, że należy zapewnić, aby prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul umownych ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w UE przez RODO w świetle postanowień Karty Praw Podstawowych UE.

Oznacza to konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych. Gdy w świetle dokonanej oceny poziom ochrony danych osobowych nie będzie merytorycznie równoważny z poziomem gwarantowanym w UE,  przekazywanie danych może być uzależnione od zapewnienia równoważnego poziomu ich ochrony za pomocą innych środków.

Prezes UODO podkreślił konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE w całej Unii Europejskiej oraz niezbędność wspólnych działań w tym zakresie krajowych organów nadzorczych współpracujących w ramach Europejskiej Rady Ochrony Danych (EROD), w której pracach Prezes UODO uczestniczy.

EROD na swym 34. posiedzeniu plenarnym 17 lipca 2020 r. przedyskutowała najważniejsze kwestie związane z konsekwencjami wyroku TSUE i zapowiedziała opublikowanie dalszych wyjaśnień.

Czego dotyczyła sprawa?

Ogólne rozporządzenie o ochronie danych (RODO) stanowi, że przekazywanie danych do państwa trzeciego może mieć miejsce co do zasady tylko wtedy, gdy dane państwo trzecie zapewnia odpowiedni stopień ochrony tych danych. Zgodnie z tym rozporządzeniem Komisja może stwierdzić, że państwo trzecie zapewnia, z uwagi na swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe, odpowiedni stopień ochrony (artykuł 45 RODO).

W braku takiej decyzji stwierdzającej odpowiedni stopień ochrony, przekazanie może nastąpić tylko, jeżeli podmiot przekazujący dane osobowe mający siedzibę w Unii zapewni odpowiednie zabezpieczenia, które mogą wynikać w szczególności ze standardowych klauzul ochrony danych przyjętych przez Komisję, i jeżeli osoby, których dane dotyczą, posiadają egzekwowalne prawa i skuteczne środki ochrony prawnej (artykuł 46 ust. 1 i ust. 2 lit. c) RODO).

Poza tym RODO określa w szczegółowy sposób warunki, w jakich takie przekazanie może mieć miejsce w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń (artykuł 49 RODO).

Maximillian Schrems, mieszkający w Austrii obywatel tego kraju, jest od 2008 r. użytkownikiem Facebooka. Tak jak w przypadku innych użytkowników mieszkających w Unii, dane osobowe M. Schremsa są w całości lub części przekazywane przez Facebook Ireland na serwery należące do Facebook Inc., znajdujące się na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane. M. Schrems wniósł skargę do irlandzkiego organu nadzorczego zmierzającą zasadniczo do zakazania tego przekazywania. Podniósł on, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju. Skarga ta została oddalona w szczególności z tego powodu, że w decyzji 2000/520 (decyzja Komisji z dnia 26 lipca 2000 r., przyjęta na mocy dyrektywy 95/46/WE, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez departament handlu USA, Dz.U. 2000, L 215, s. 7) Komisja stwierdziła, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony. Wyrokiem z dnia 6 października 2015 r. Trybunał, do którego pytanie prejudycjalne skierował High Court (wysoki trybunał, Irlandia), orzekł nieważność tej decyzji („wyrok Schrems I” - wyrok Trybunału z dnia 6 października 2015 r. w sprawie C-362/14 - Schrems).

W następstwie wyroku Schrems I i późniejszego uchylenia przez sąd irlandzki decyzji oddalającej skargę M. Schremsa, irlandzki organ nadzorczy wezwał go do przeformułowania skargi, biorąc pod uwagę stwierdzenie przez TSUE nieważności decyzji 2000/520. W przeformułowanej skardze M. Schrems utrzymuje, że Stany Zjednoczone nie zapewniają wystarczającej ochrony danych osobowych przekazywanych do tego kraju. Żąda on zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych, którego Facebook Ireland dokonuje obecnie na podstawie standardowych klauzul ochrony zawartych w załączniku do decyzji 2010/87 (decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, Dz.U. 2010, L 39, s. 5, zmieniona decyzją wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r., Dz.U. 2016, L 344, s. 100). Uznawszy, że rozpatrzenie skargi M. Schremsa zależy w szczególności od ważności decyzji 2010/87, irlandzki organ nadzorczy wszczął postępowanie przed High Court, mające na celu przedłożenie Trybunałowi wniosku o wydanie orzeczenia w trybie prejudycjalnym.

Po wszczęciu tego postępowania Komisja przyjęła decyzję (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (decyzja wykonawcza Komisji z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (Dz.U. 2016, L 207, s. 1).

Poprzez swój wniosek o wydanie orzeczenia w trybie prejudycjalnym sąd krajowy zwrócił się do Trybunału o wyjaśnienie zastosowania RODO do przekazywania danych osobowych opartego na standardowych klauzulach ochrony zawartych w decyzji 2010/87, stopnia ochrony wymaganego w tym rozporządzeniu w ramach takiego przekazywania i obowiązków spoczywających w tym kontekście na organach nadzorczych. High Court podniósł ponadto kwestię ważności zarówno decyzji 2010/87, jak i decyzji 2016/1250.

Co orzekł TSUE?

Ogłoszonym niedawno wyrokiem Trybunał stwierdził, że ocena decyzji 2010/87 w świetle Karty praw podstawowych Unii Europejskiej („Karta”) nie wykazuje niczego, co mogłoby podważać jej ważność. TSUE stwierdził natomiast, że decyzja 2016/1250 jest nieważna.

Trybunał stwierdził najpierw, że prawo Unii, a w szczególności RODO, ma zastosowanie do przekazywania danych osobowych w celach komercyjnych przez podmiot gospodarczy z siedzibą w państwie członkowskim innemu podmiotowi gospodarczemu z siedzibą w państwie trzecim, nawet jeżeli w trakcie tego przekazywania lub w jego następstwie dane te mogą być przetwarzane przez organy tego państwa trzeciego do celów związanych z bezpieczeństwem publicznym, obroną i bezpieczeństwem państwa. Trybunał zaznaczył, że ten rodzaj przetwarzania danych przez organy państwa trzeciego nie może wykluczyć takiego przekazywania z zakresu stosowania rozporządzenia.

W odniesieniu do stopnia ochrony wymaganego w ramach takiego przekazywania, TSUE orzekł, że wymogi ustanowione w tym celu w przepisach RODO, które są związane z odpowiednimi zabezpieczeniami, egzekwowalnymi prawami i skutecznymi środkami ochrony prawnej, należy interpretować w ten sposób, że osoby, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, muszą korzystać ze stopnia ochrony merytorycznie równoważnego temu, który gwarantowany jest w Unii przez to rozporządzenie, interpretowane w świetle Karty.

W tym kontekście TSUE zaznaczył, że w ramach oceny tego stopnia ochrony należy uwzględniać zarówno postanowienia umowne uzgodnione między mającym siedzibę w Unii podmiotem przekazującym dane a podmiotem odbierającym dane mającym siedzibę w danym państwie trzecim, jak i, odnośnie do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazywanych w ten sposób danych, istotne elementy składające się na jego system prawny.

W odniesieniu do obowiązków spoczywających na organach nadzorczych w ramach takiego przekazywania Trybunał orzekł, że – o ile nie istnieje ważna decyzja Komisji stwierdzająca odpowiedni stopień ochrony danych – organy te są zobowiązane do zawieszenia lub zakazania przekazywania danych do państwa trzeciego, jeżeli uznają, w świetle całokształtu okoliczności towarzyszących temu przekazywaniu, że standardowe klauzule ochrony danych nie są lub nie mogą być przestrzegane w tym państwie trzecim, i że ochrona przekazywanych danych, jakiej wymaga prawo Unii, nie może być zapewniona za pomocą innych środków, jeśli to przekazywanie danych nie zostało zawieszone lub zakończone przez sam podmiot przekazujący mający siedzibę w Unii.

TSUE zbadał następnie ważność decyzji 2010/87. Jego zdaniem ważności tej decyzji nie podważa sam fakt, że zawarte w niej standardowe klauzule ochrony danych nie wiążą, ze względu na ich umowny charakter, organów państwa trzeciego, do którego mogą być przekazywane dane. Trybunał wyjaśnił natomiast, że ważność tej decyzji zależy od tego, czy przewiduje ona skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane.

TSUE stwierdził, że decyzja 2010/87 wprowadza takie mechanizmy. W tym względzie podkreślił w szczególności, że decyzja ta ustanawia obowiązek, by podmiot przekazujący dane i podmiot odbierający sprawdziły uprzednio, czy ten stopień ochrony jest przestrzegany w danym państwie trzecim, i że zobowiązuje ona podmiot odbierający do poinformowania podmiotu przekazującego o swej ewentualnej niemożności zastosowania się do standardowych klauzul ochrony, w którym to przypadku do tego ostatniego należy zawieszenie przekazywania danych lub rozwiązanie umowy zawartej z podmiotem przekazującym.

Trybunał ocenił wreszcie ważność decyzji 2016/1250 pod względem wymogów wynikających z RODO, interpretowanego w świetle przepisów Karty gwarantujących poszanowanie życia prywatnego i rodzinnego, ochronę danych osobowych i prawo do skutecznej ochrony sądowej. W tym względzie zaznaczył, że decyzja ta ustanawia, podobnie jak decyzja 2000/520, pierwszeństwo wymagań dotyczących bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustawodawstwa amerykańskiego, umożliwiając w ten sposób ingerencję w prawa podstawowe osób, których dane osobowe są przekazywane do tego państwa trzeciego.

Zdaniem Trybunału, ograniczenia ochrony danych osobowych, które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich danych przekazywanych z Unii do tego państwa trzeciego i które Komisja poddała ocenie w decyzji 2016/1250, nie są uregulowane w sposób odpowiadający wymogom merytorycznie równoważnym tym, które ustanawia w prawie Unii zasada proporcjonalności, ponieważ programy nadzoru oparte na tych przepisach nie są ograniczone do tego, co ściśle konieczne. Opierając się na ustaleniach zawartych w tej decyzji, TSUE zaznaczył, że w odniesieniu do niektórych programów nadzoru ze wspomnianego uregulowania w żaden sposób nie wynika istnienie ograniczeń ustanowionego w nim uprawnienia do wdrażania tych programów, ani też gwarancji przysługujących potencjalnie objętym tymi programami osobom nieposiadającym obywatelstwa amerykańskiego.

Trybunał dodał, że choć uregulowanie to ustanawia wymogi, które powinny być przestrzegane przez władze amerykańskie przy wdrażaniu odpowiednich programów nadzoru, to nie przyznaje ono zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami. W odniesieniu do wymogu ochrony sądowej, TSUE orzekł, że wbrew temu, co przyjęła Komisja w decyzji 2016/1250, mechanizm mediacyjny, o którym mowa w tej decyzji, nie dostarcza tym osobom środka odwoławczego przed organem zapewniającym zabezpieczenia merytorycznie równoważne zabezpieczeniom wymaganym prawem Unii, które zapewniałyby zarówno niezależność rzecznika przewidzianego w tym mechanizmie, jak i istnienie norm uprawniających tego rzecznika do przyjęcia wiążących decyzji wobec amerykańskich służb wywiadowczych. Ze wszystkich tych powodów Trybunał stwierdził nieważność decyzji 2016/1250.

Pełna treść wyroku Trybunału Sprawiedlowości Unii Europejskiej z 16 lipca 2020 r. 

Oświadczenie EROD w zwiazku z wyrokiem TSUE-311/18

17 lipca 2020 r. Europejska Rada Ochrony Danych przyjęła następujące oświadczenie:

EROD z zadowoleniem przyjmuje wyrok Trybunału Sprawiedliwości UE, który podkreśla podstawowe prawo do prywatności w kontekście przekazywania danych osobowych do państw trzecich. Decyzja TSUE ma ogromne znaczenie. Europejska Rada Ochrony Danych (EROD) przyjęła do wiadomości fakt, że Trybunał Sprawiedliwości unieważnia decyzję 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA oraz fakt, że uznaje decyzję Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich.

EROD omówiła wyrok Trybunału podczas 34. sesji plenarnej 17 lipca 2020 r.

W odniesieniu do Tarczy Prywatności EROD zwraca uwagę, że UE i USA powinny osiągnąć kompletne i skuteczne ramy gwarantujące, że stopień ochrony danych osobowych w USA jest zasadniczo równoważny temu gwarantowanemu w UE, zgodnie z orzeczeniem.

W przeszłości EROD zidentyfikowała niektóre z głównych wad Tarczy Prywatności, na podstawie których Trybunał Sprawiedliwości UE uzasadnił swoją decyzję o uznaniu jej nieważności.W swoich sprawozdaniach z dorocznych wspólnych przeglądów Tarczy Prywatności EROD zakwestionowała zgodność z zasadami ochrony danych dotyczącymi konieczności i proporcjonalności w stosowaniu prawa USA.1

EROD zamierza nadal odgrywać konstruktywną rolę w zapewnianiu bezpieczeństwa transatlantyckiego przekazywania danych osobowych, z korzyścią dla obywateli i organizacji EOG, i jest gotowa udzielić Komisji Europejskiej pomocy i wskazówek, aby pomóc jej, w stworzeniu, wraz ze Stanami Zjednoczonymi, nowych ram w pełni zgodnych z unijnym prawem o ochronie danych osobowych.

Chociaż standardowe klauzule umowne pozostają ważne, TSUE podkreśla potrzebę zapewnienia, aby w praktyce utrzymały one stopień ochrony zasadniczo równoważny temu gwarantowanemu przez RODO w świetle Karty praw podstawowych Unii Europejskiej. Ocena, czy kraje, do których przesyłane są dane, zapewniają odpowiednią ochronę, jest przede wszystkim obowiązkiem podmiotu przekazującego dane i podmiotu odbierającego dane, przy rozważaniu skorzystania ze standardowych klauzul umownych. Dokonując takiej uprzedniej oceny, podmiot przekazujący dane (w razie potrzeby z pomocą podmiotu odbierającego dane) bierze pod uwagę treść standardowych klauzul umownych, szczególne okoliczności przekazywania, jak również system prawny mający zastosowanie w kraju podmiotu odbierającego dane. Badanie tych ostatnich odbywa się w świetle niewyczerpujących czynników określonych w art. 45 ust. 2 RODO.

Jeżeli wynikiem przeprowadzonej oceny jest to, że kraj podmiotu odbierającego dane nie zapewnia zasadniczo równoważnego stopnia ochrony, podmiot przekazujący dane może rozważyć wprowadzenie dodatkowych środków w stosunku do środków zawartych w standardowych klauzulach umownych. EROD dokładnie analizuje, na czym mogłyby polegać te dodatkowe środki.

Wyrok TSUE przypomina również, jak ważne jest, aby podmiot przekazujący dane i podmiot odbierający dane wypełniali swoje obowiązki zawarte w standardowych klauzulach umownych, w szczególności obowiązki informacyjne związane ze zmianą ustawodawstwa w kraju podmiotu odbierającego dane. Jeżeli obowiązki umowne nie są lub nie mogą być przestrzegane, podmiot przekazujący dane jest zobowiązany przez standardowe klauzule umowne do zawieszenia przekazywania lub rozwiązania standardowych klauzul umownych lub do powiadomienia właściwego organu nadzorczego o zamiarze dalszego przekazywania danych.

EROD przyjmuje do wiadomości obowiązki właściwych organów nadzorczych w zakresie zawieszenia lub zakazu przekazywania danych do państwa trzeciego na podstawie zawartych standardowych klauzul umownych, jeżeli - w opinii właściwego organu nadzorczego i w świetle wszystkich okoliczności towarzyszących temu przekazania - klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrony przekazywanych danych nie można zapewnić w inny sposób, w szczególności w przypadku gdy to przekazywanie nie zostało zawieszone lub zakończone przez samego administratora lub podmiot przetwarzający.

EROD przypomina, że wydała wytyczne w sprawie wyjątków określonych w art. 49 RODO2 oraz że takie wyjątki muszą być stosowane indywidualnie dla każdego przypadku.

EROD dokona bardziej szczegółowej oceny wyroku i zapewni dalsze wyjaśnienia dla zainteresowanych stron oraz wytyczne dotyczące wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem.EROD i jej europejskie organy nadzorcze są gotowe, jak stwierdził TSUE, do zapewnienia spójności w całym EOG.

1 Zob. Sprawozdanie z drugiego rocznego przeglądu Tarczy Prywatności UE-USA https://edpb.europa.eu/our-work-tools/our-documents/other/eu-us-privacy-shield-second-annual-joint-review-report-22012019_en oraz Sprawozdanie z Trzeciego rocznego przeglądu Tarczy Prywatności UE-USA https://edpb.europa.eu/our-work-tools/our-documents/eu-us-privacy-shield-third-annual-joint-review-report-12112019_en

Podstawa prawna: 

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. 2016, L 119, s. 1) - RODO.

A.J.
Zespół e-prawnik.pl