Koniec pewnej epoki internetu. TSUE chroni dane obywateli UE przed inwigilacją USA

16 lipca Trybunał Sprawiedliwości Unii Europejskiej w sprawie C-311/18 („Schrems II”) unieważnił „Tarczę Prywatności”, jak nazywane jest porozumienie między Stanami Zjednoczonymi i Unią Europejską o przesyłaniu danych osobowych.

Unijny sąd podważył ocenę Komisji Europejskiej (decyzja wykonawcza 2016/1250) odnośnie ochrony danych gwarantowanej przez Stany Zjednoczone. TSUE dopuścił dalsze stosowanie tzw. standardowych klauzul umownych przy transferach danych do państw trzecich, ale podkreślił, że administratorzy danych mają obowiązek sprawdzić, czy w tych krajach poziom ochrony danych jest adekwatny do standardów UE.

Austriak złożył skargę przeciwko Facebookowi, który przekazuje dane użytkowników z UE do Stanów Zjednoczonych. TSUE na kanwie sprawy Schremsa orzekł, że w Stanach Zjednoczonych nie są spełniane unijne standardy ochrony danych, w tym Ogólne rozporządzenie o ochronie danych RODO. Aby to stwierdzić, TSUE musiał przeprowadzić wielopoziomową analizę, uwzględniającą między innymi stosunek organów władzy publicznej do przekazanych danych.

Upadek „Tarczy Prywatności” to koniec pewnego stylu zarządzania polityką: technokratycznych rozwiązań oddalonych od opinii publicznej w imię globalizacji rynku. Kosztem może być geopolityczna parcelacja świata cyfrowego.

Odbywa się ona na tle rywalizacji dwóch różnych porządków prawnych, transatlantyckiego sporu o działania służb specjalnych Stanów Zjednoczonych wobec obywateli UE i kwestii dalszej wymiany handlowej.

Po wyroku TSUE nadal będzie można dokonać internetowej rezerwacji hotelu w Nowym Jorku („niezbędne transfery” – w odróżnieniu od outsourcingu danych – nie są objęte wyrokiem). Ale orzeczenie doprowadzi ono do poważnych przesunięć na globalnym rynku przetwarzania danych osobowych.

Haker regulacji

Max Schrems to prawdopodobnie najbardziej uciążliwy klient spośród blisko 3 miliardów użytkowników Facebooka

Austriak w 2011 roku spędził semestr na Uniwersytecie Santa Clara w Dolinie Krzemowej. Chodził na zajęcia o cyfrowej ochronie prywatności. Prowadziła je profesor Dorotha Glancy – ekspertka od zagadnienia inwigilacji. Na jedne z zajęć został zaproszony Edward Palmieri, prawnik Facebooka (obecnie dyrektor ds. zrównoważonego rozwoju), który pokazał lekceważenie wobec unijnych przepisów o ochronie danych.

W związku z niskimi wówczas karami (wtedy w Austrii – do 20 tysięcy euro; dziś do 20 milionów euro lub do 4% globalnego obrotu) korporacjom bardziej opłacało się naruszać przepisy dotyczące ochrony danych osobowych, niż ich przestrzegać. Schremsa to zbulwersowało. Wraz z przyjaciółmi zażądał od Facebooku wyciągu danych, które posiada o nim korporacja. Otrzymał pocztą płytę CD zawierającą 1200 stron opisujących jego trzyletnią aktywność na portalu.

Schrems założył inicjatywę Europe v. Facebook, przekształconą później w NOYB –European Center for Digital Rights. Zmobilizował tysiące Europejczyków do wystosowania do Facebooka żądań o udostępnienie zebranych danych.

Facebook, podobnie jak Google czy Microsoft, ze względów podatkowych swoją europejską siedzibę ma w Irlandii, w Dublinie. W związku z tym Schrems musiał złożyć formalną skargę do irlandzkiego Komisarza Ochrony Danych. Przekazał od razu 22 skargi.

Pod koniec 2011 roku irlandzki urząd dołączył uwagi Schremsa do nieobowiązujących wytycznych dla Facebooka. Trzy miesiące później prawnicy korporacji przylecieli do Wiednia na wielogodzinne spotkanie z aktywistą.

W 2013 roku za sprawą sygnalisty Edwarda Snowdena światowa opinia publiczna dowiedziała się więcej o metodach amerykańskiej wewnętrznej agencji wywiadowczej National Security Agency, która gromadziła dane na niespotykaną dotąd skalę, rejestrując i śledząc niemal każdą aktywność w Internecie, nawet użytkowników kryptowalut.

Aby uświadomić sobie skalę działań Amerykanów, warto przywołać polski kontekst. Polski rząd od 2009 roku współpracował z NSA. Agencja prowadziła działania wobec nawet trzech milionów polskich obywateli dziennie. W ramach projektu „ORANGECRUSH” NSA otrzymywała nie tylko metadane, ale także pełną treść internetowych połączeń.

Po ujawnieniu informacji przez Snowdena, Schrems złożył 23 skargę do irlandzkiego urzędu. Argumentował, że irlandzki Facebook przekazywał dane osobowe do centrali w Stanach Zjednoczonych, gdzie te były przekazywane National Security Agency. Schrems wskazywał, że było to sprzeczne z ówczesnymi transatlantyckimi regulacjami dotyczącymi ochrony danych osobowych – porozumieniem „Safe Harbour” („Bezpieczna Przystań”) zawartym w 2000 roku.

Facebook zaprzeczał, że brał udział w śledzeniu obywateli Unii Europejskiej na masową skalę. Schrems w piśmie do irlandzkiego wskazał, że korporacja prawdopodobnie dostała nakaz milczenia, „gag order” - zgodnie z amerykańskim prawem, nie była zobowiązana do mówienia prawdy na ten temat.

Niezadowolony z opieszałości irlandzkiego urzędu, Austriak złożył formalne zażalenie na jego działalność do irlandzkiego Sądu Najwyższego. Ten przyznał rację aktywiście i decyzją z 2014 roku skierował sprawę danych osobowych Schremsa do Trybunału Sprawiedliwości Unii Europejskiej.

Oponentem Schremsa przed TSUE była Komisja Europejska, która broniła wypracowanego przez siebie stanowiska i decyzji irlandzkiego urzędu. Nie przekonała jednak Trybunału Sprawiedliwości UE – argument prawnika Komisji, że można po prostu zamknąć konto na Facebooku, jeśli nie chce się być szpiegowanym, pokazał bezsilności „Bezpiecznej Przystani” w kwestii ochrony prawa do prywatności obywateli Unii Europejskiej.

6 października 2015 roku zakończyła się sprawa C‑362/14, czyli „Schrems I”. TSUE stwierdził, że jeżeli dochodzi do masowej inwigilacji użytkowników, nie jest zapewniania wystarczająca ochrona. Był to jeden z pierwszych wyroków, w których TSUE stwierdził naruszenie istoty aż dwóch praw wynikających z Karty Praw Podstawowych UE: prawa do poszanowania życia prywatnego oraz prawa do skutecznej ochrony prawnej.

Łatanie tonącego okrętu

Po uchyleniu „Bezpiecznej Przystani”, Komisja Europejska we współpracy z rządem Stanów Zjednoczonych naprędce przygotowała nowy dokument – „Tarczę Prywatności”, która weszła w życie w lipcu 2016 roku.

"Tarcza" powtarzała błędy "Bezpiecznej Przystani". Co prawda wprowadziła kilka bardziej rygorystycznych obowiązków przedsiębiorstw operujących danymi, takich jak większe możliwości dochodzenia roszczeń ze strony osób fizycznych, ale odziedziczyła najistotniejsze mankamenty. W praktyce nadal niemal niemożliwe było skorzystanie ze ścieżki odwoławczej, dane mogły też być przekazywane służbom.

Po raz kolejny Komisja Europejska po prostu stwierdziła, że amerykańskie firmy zapewniają wystarczający poziom ochrony danych („Ponadto Tarcza Prywatności opiera się na konkretnych pisemnych oświadczeniach i zapewnieniach ze strony rządu USA, że dostęp organów publicznych do danych osobowych przekazywanych w ramach Tarczy Prywatności do celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów leżących w interesie publicznym podlega wyraźnym ograniczeniom i środkom ochrony.”)

W 2018 roku weszło w życie Ogólne rozporządzenie o ochronie danych (RODO).

Tymczasem Schrems po unieważnieniu przez TSUE „Bezpiecznej Przystani" czekał na ponowne rozpatrzenie sprawy przez irlandzki odpowiednik Urzędu Ochrony Danych Osobowych.

Dopiero wówczas okazało się, że Facebook w transatlantyckich transferach nigdy nie korzystał z ram „Bezpiecznej Przystani”, ale ze standardowych klauzul umownych.

Co to oznaczało? Całe dotychczasowe postępowanie, które doprowadziło do unieważnienia kluczowego programu umożliwiającego transatlantyckie transfery danych i wywołało ciąg dyplomatycznych zawirowań, w tej konkretnej sprawie okazało się bez znaczenia.

Schrems złożył kolejną skargę.

Irlandzki urząd od razu ją odrzucił. Stwierdził, że nie ma kompetencji do zawieszania transferów z Unii Europejskiej do Stanów Zjednoczonych. Aby doprowadzić do ponownego postępowania przed TSUE, urząd pozwał przed sądami irlandzkimi zarówno Facebooka, jak i Schremsa. Choć sprawa dotyczyła z początku tylko kwestii standardowych klauzul umownych (przy czym ich unieważnienia chciała tylko irlandzki urząd, a nie Schrems i Facebook), sąd zapytał TSUE także o ważność „Tarczy Prywatności”. Rozpoczęła się sprawa „Schrems II”, czyli C-311/18.

Irlandzka apatia

W tle sprawy była kwestia nikłego zaangażowania władz publicznych w Irlandii. Irlandzki urząd od lat oskarżano o zbytnie sprzyjanie amerykańskim korporacjom, których europejskie oddziały w większości mają siedzibę w Dublinie. Choć RODO weszło w życie 25 maja 2018 roku, a do irlandzkiego urzędu trafia zdecydowana większość spraw przeciwko m.in. Facebookowi, Google czy Twitterowi, irlandzi urząd do dziś nie nałożył ani jednej kary pieniężnej przeciwko prywatnej firmie i tylko jedną przeciwko instytucji państwowej. Zmuszenie irlandzkiego urzędu do działania było strategicznym sukcesem Schremsa.

Schrems i jego inicjatywa NOYB już w dniu wejścia w życie RODO złożyli serię skarg przeciwko m.in. Instagramowi i Whatsappowi. Do dziś sprawy te przeszły raptem przez pierwsze etapy skomplikowanej wewnętrznej procedury irlandzkiego urzędu. Dla porównania: jedna ze skarg trafiła nie do Irlandii, a do Francji. Tamtejszy urząd nałożył wówczas na Google karę 50 mln euro, i zrobił to już w styczniu 2019 roku, raptem kilka miesięcy po wejściu w życie RODO.

NOYB niedawno złożył skargę przed irlandzkimi sądami na opieszałość urzędu i próbuje wymóc na urzędzie określenie terminu załatwienia spraw. Od złożenia w 2013 roku pierwszej skargi przeciwko Facebookowi minęło już siedem lat.

Europejskie dyskusje

Po dwóch stronach Atlantyku trwają dyskusje, jak dalej będzie się wyglądał transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych.

W Unii Europejskiej poszczególne urzędy ochrony danych osobowych już zadeklarowały swoje stanowiska: od najbardziej kategorycznego wezwania berlińskiej komisarz do wstrzymania transferów do Stanów Zjednoczonych, aż po koncyliacyjne głosy o konieczności wypracowania wspólnego europejskiego stanowiska w tej sprawie

Do niedawna eksperci i obserwatorzy tej spraw uważali za mało prawdopodobne, żeby Komisja Europejska podjęła prace nad nowym programem. Stany Zjednoczone raczej nie zmienią swojej polityki bezpieczeństwa. Amerykańskie firmy dalej stosują standardowe klauzule umowne, bo te nie zostały jeszcze unieważnione. Departament Handlu zapowiedział, że w Stanach Zjednoczonych „Tarcza Prywatności” nadal będzie stosowana, a amerykańscy komentatorzy, próbując bronić swoich władz, podnosili, że rządy państw w Europie też inwigilują swoich obywateli.

Jednak 10 sierpnia amerykański sekretarz handlu Wilbur Ross i unijny komisarz ds. sprawiedliwości Didier Reynders wydali wspólne oświadczenie dotyczące przyszłości przesyłu danych i ponownego podjęcia próby przystosowania „Tarczy Prywatności” do wymogów prawa unijnego doprecyzowanych przez orzecznictwo Trybunału Sprawiedliwości UE. Kluczowe, że nie będzie to całkowicie nowa umowa, lecz rozszerzenie obecnych zasad.

Można oczekiwać, że nowe porozumienie i stosunek USA do danych obywateli UE będą przedmiotem dalszej oceny na kanwie kolejnych pozwów Maxa Schremsa.

Co planuje austriacki aktywista? Schrems twierdzi, że nie przestanie pozywać Facebooka. Zapowiada podjęcie kolejnych kroków przeciwko irlandzkiemu urzędowi, jeżeli ten będzie kontynuować politykę uchylania się od podejmowania decyzji.