Koniec programu „Safe Harbour” – co dalej?
Wyrok Trybunału Sprawiedliwości unieważnił decyzję Komisji Europejskiej w sprawie programu Safe Harbour. Oznacza to, że udział podmiotów amerykańskich w programie nie może dłużej stanowić podstawy do przekazywania przez europejskich przedsiębiorców danych osobowych obywateli EOG do Stanów Zjednoczonych.
W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej uznał za nieważną decyzję Komisji Europejskiej zatwierdzającą program Safe Harbour (sprawa C-362/14). Dotychczas przekazywanie danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) do podmiotów, które przystąpiły do tego programu, było możliwe bez uzyskania zgody organu odpowiedzialnego za ochronę danych osobowych (GIODO). GIODO, kierując się wspomnianą decyzją Komisji, uznawał, że amerykańskie podmioty certyfikowane w Safe Harbour zapewniają odpowiedni poziom ochrony danych osobowych w rozumieniu dyrektywy Parlamentu Europejskiego oraz Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Uznanie decyzji za nieważną niweczy podstawy prawne transferu danych osobowych do Stanów Zjednoczonych przyjęte przez organy ochrony danych w krajach europejskich oraz przez tysiące europejskich przedsiębiorców.
Zarzut braku odpowiedniego poziomu ochrony danych osobowych przez podmioty objęte programem Safe Harbour podniósł Maximillian Schrems, obywatel Austrii, który zakwestionował legalność przekazywania swoich danych osobowych zamieszczonych na Facebooku przez irlandzką spółkę Facebooka na serwery w Stanach Zjednoczonych. Irlandzki organ ochrony danych osobowych, do którego M. Schrems się zwrócił o zakazanie Facebookowi takiej praktyki, odmówił rozpatrzenia sprawy, powołując się na ww. decyzję Komisji Europejskiej. Sprawa trafiła do High Court of Ireland, który skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej (TSUE).
TSUE jednoznacznie rozstrzygnął, że krajowe organy odpowiedzialne za ochronę danych osobowych mają obowiązek zbadania, działając w całkowitej niezależności, czy przekazanie danych osobowych do kraju trzeciego jest zgodne z przepisami dyrektywy 95/46/WE. Istnienie decyzji Komisji Europejskiej (KE) w tym zakresie nie może wyłączać ani nawet ograniczać uprawnień tych organów wynikających z Karty Praw Podstawowych i ww. dyrektywy. Niezależnie od powyższego TSUE podkreślił swoją wyłączną kompetencję do uznawania decyzji KE za nieważne. TSUE stanął na stanowisku, że decyzja KE dotycząca programu Safe Harbour jest nieważna, ponieważ KE nie zbadała, czy Stany Zjednoczone faktycznie zapewniają, na podstawie prawa lokalnego lub zobowiązań międzynarodowych, taki poziom ochrony podstawowych praw, który jest równy ochronie zagwarantowanej w krajach europejskich przez dyrektywę czytaną w świetle Karty Praw Podstawowych. Na poparcie tej argumentacji przywołano komunikaty Komisji, z których wynikało, że władze Stanów Zjednoczonych miały dostęp do danych osobowych obywateli UE i przetwarzały je w sposób wykraczający poza cel przetwarzania określony jako bezpieczeństwo narodowe.
TSUE wskazał, że program Safe Harbour ma zastosowanie jedynie do przedsiębiorców działających w Stanach Zjednoczonych, natomiast nie ma zastosowania do władz publicznych tego kraju. Pierwszeństwo nad zasadami programu Safe Harbour mają też przepisy Stanów Zjednoczonych, m.in. dotyczące bezpieczeństwa państwowego i interesu publicznego. Umożliwiało to władzom publicznym Stanów Zjednoczonych praktycznie nieograniczoną ingerencję w dane osobowe obywateli EOG, co należy ocenić jako naruszenie prawa jednostki do prywatności. Podobnie prawo, które nie przewiduje żadnych rozwiązań prawnych w celu zapewnienia jednostce dostępu do zebranych na jej temat danych, ich zmiany lub usunięcia, należy ocenić jako naruszenie podstawowych praw jednostki.
W rezultacie irlandzki organ ochrony danych osobowych został zobowiązany do zbadania skargi M. Schremsa z należytą starannością oraz do podjęcia decyzji, czy przekazywanie danych osobowych europejskich użytkowników Facebooka do Stanów Zjednoczonych powinno zostać zawieszone z uwagi na brak zapewnienia należytego poziomu ochrony danych osobowych.
Wyrok TSUE należy niewątpliwie uznać za precedensowy. W perspektywie krajowej może on oznaczać „zielone światło” dla lokalnych organów ochrony danych osobowych do wszczynania postępowań kontrolnych w podmiotach, które dotychczas przekazywały dane osobowe z EOG do uczestników programu Safe Harbour, w celu weryfikacji, czy zapewniają one odpowiedni poziom ochrony danych osobowych przekazywanych do Stanów Zjednoczonych.
W oczekiwaniu na oficjalne stanowisko GIODO warto rozważyć wprowadzenie rozwiązań alternatywnych do Safe Harbour, w szczególności modelowych klauzul zatwierdzonych przez KE albo wiążących reguł korporacyjnych.
Na podstawie notatki prasowej nr 117/15 Trybunału Sprawiedliwości UE z 6 października 2015 r.
Katarzyna Żukowska, Agnieszka Szydlik, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy