Rzecznik generalny TSUE: można zawiesić przekazywanie danych użytkowników Facebooka do USA

Siedziba TSUE w Luksemburgu

Zdaniem rzecznika generalnego Yves’a Bota decyzja Komisji stwierdzająca odpowiedni stopień ochrony danych osobowych w Stanach Zjednoczonych nie uniemożliwia organom krajowym zawieszenia przekazywania danych europejskich użytkowników Facebooka do serwerów znajdujących się w Stanach Zjednoczonych. Ponadto rzecznik generalny uważa, że decyzja ta jest nieważna.

Dyrektywa o przetwarzaniu danych osobowych[1] stanowi, że przekazywanie tego rodzaju danych do państwa trzeciego może nastąpić, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony tych danych. Zgodnie z dyrektywą, Komisja może stwierdzić, że państwo trzecie zapewnia odpowiedni stopień ochrony. Od momentu wydania przez Komisję takiej decyzji może nastąpić przekazywanie danych osobowych do danego państwa trzeciego.

Maximillian Schrems, obywatel austriacki, korzysta z Facebooka od 2008 r. Tak jak w przypadku innych użytkowników zamieszkałych w Unii, dane zamieszczane przez M. Schremsa na Facebooku są przekazywane, w całości lub w części, z irlandzkiej spółki zależnej Facebooka do serwerów znajdujących się na terytorium USA, gdzie są one przechowywane. M. Schrems wniósł skargę do irlandzkiego organu ochrony danych twierdząc, że w świetle informacji podanych do wiadomości w 2013 r. przez M. Edwarda Snowdena na temat działalności służb specjalnych USA (w szczególności National Security Agency – NSA), prawo i praktyka USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez państwo amerykańskie danych przekazywanych do tego państwa. Organ irlandzki oddalił skargę w szczególności z tego względu, że w decyzji z dnia 26 lipca 2000 r.[2]. Komisja stwierdziła, że w ramach systemu zwanego „bezpieczną przystanią”[3] USA zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych.

High Court of Ireland (wysoki trybunał sądownictwa irlandzkiego), przed którym zawisł spór, zmierza do ustalenia, czy ta decyzja Komisji ma na celu uniemożliwienie krajowemu organowi nadzorczemu prowadzenia dochodzenia w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony i, w stosownym przypadku, zawieszenia kwestionowanego przekazywania danych.

W przedłożonej dzisiaj opinii rzecznik generalny Yves Bot stwierdził, że istnienie decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych nie może zniweczyć ani nawet ograniczyć uprawnień, jakie przysługują krajowym organom nadzorczym na mocy dyrektywy o przetwarzaniu danych osobowych. Poza tym rzecznik generalny ocenił, że decyzja Komisji jest nieważna.

Rzecznik generalny podkreślił przede wszystkim, że uprawnienia interwencyjne krajowych organów nadzorczych – uwzględniając ich istotną rolę w zakresie ochrony danych – nie mogą zostać ograniczone. Gdyby krajowe organy nadzorcze były związane w bezwzględny sposób decyzjami wydawanymi przez Komisję, w sposób nieuchronny ograniczałoby to całkowitą niezależność, z jakiej korzystają one na mocy dyrektywy. Rzecznik generalny powyższego wywiódł, że jeśli organ krajowy twierdzi, że przekazywanie danych narusza ochronę obywateli Unii
odnośnie do przetwarzania dotyczących ich danych, jest uprawniony do zawieszenia tego przekazywania, niezależnie od ogólnej oceny przeprowadzonej przez Komisję w wydanej przez nią decyzji.

Uprawnienie przyznane Komisji na mocy dyrektywy nie ma bowiem wpływu na uprawnienia przyznane tą samą dyrektywą krajowym organom nadzorczym. Inaczej mówiąc, Komisja nie posiada kompetencji do ograniczenia uprawnień krajowych organów nadzorczych.

O ile rzecznik generalny przyznał, że krajowe organy nadzorcze są prawnie związane decyzją Komisji, o tyle stwierdził, że taki wiążący skutek nie może prowadzić do sytuacji, w której skargi są oddalane bezwzględnie, czyli natychmiast i bez przeprowadzenia jakiegokolwiek badania ich zasadności, tym bardziej, że stwierdzenie odpowiedniego stopnia ochrony należy do kompetencji dzielonych między państwami członkowskimi
i Komisją. Z pewnością decyzja Komisji odgrywa istotną rolę w zakresie ujednolicania warunków przekazywania danych w obrębie państw członkowskich, lecz takie ujednolicenie może trwać tylko do momentu podważenia tego stwierdzenia – w szczególności w ramach skargi, którą krajowe organy nadzorcze muszą rozpoznać na mocy przyznanych im dyrektywą uprawnień w zakresie prowadzenia dochodzenia i wydawania zakazów.

Ponadto rzecznik generalny zaznaczył, że w przypadku nieprawidłowości systemowych stwierdzonych w państwie trzecim, do którego przekazywane są dane osobowe, państwa członkowskie powinny mieć możliwość przyjęcia odpowiednich środków koniecznych do zapewnienia poszanowania praw podstawowych chronionych Kartą praw podstawowych Unii Europejskiej, wśród których znajdują się prawo do poszanowania życia prywatnego i rodzinnego oraz prawo do ochrony danych osobowych.

Uwzględniając wątpliwości wyrażone w toku postępowania dotyczące ważności decyzji 2000/520, rzecznik generalny stwierdził, że Trybunał powinien rozważyć tę kwestię i doszedł do wniosku, że decyzja jest nieważna. Z ustaleń dokonanych zarówno przez High Court of Ireland jak i przez samą Komisję wynika bowiem, że prawo i praktyka USA pozwalają na gromadzenie na szeroką skalę przekazywanych danych osobowych obywateli Unii, przy czym wspomniani obywatele nie mają zapewnionej skutecznej ochrony prawnej. Te ustalenia faktyczne dowodzą, że decyzja Komisji nie zawiera wystarczających gwarancji. Ze względu na ten brak gwarancji decyzja ta została wprowadzona w życie w sposób, który nie spełnia wymogów ustanowionych w dyrektywie i w Karcie.
Rzecznik generalny stwierdził poza tym, że dostęp, jaki przysługuje amerykańskim służbom specjalnym do przekazywanych danych, stanowi ingerencję w prawo do poszanowania życia prywatnego i w prawo do ochrony danych osobowych, które są zagwarantowane w Karcie. Podobnie, okoliczność, że obywatele Unii nie mają możliwości realizacji prawa do bycia wysłuchanym na temat zatrzymywania i kontrolowania dotyczących ich danych w USA stanowi, zdaniem rzecznika generalnego, ingerencję w chronione Kartą prawo obywateli Unii do skutecznego środka prawnego.

Zdaniem rzecznika generalnego ta ingerencja w prawa podstawowe jest sprzeczna z zasadą proporcjonalności, w szczególności dlatego, że nadzór sprawowany przez amerykańskie służby specjalne jest masowy i nieukierunkowany. Dostęp do danych osobowych przysługujący amerykańskim służbom specjalnym obejmuje w sposób ogólny każdą osobę i wszystkie środki komunikacji elektronicznej, a także wszystkie przekazywane dane w tym treść wiadomości), bez dokonania żadnego rozróżnienia lub ograniczenia albo ustanowienia wyjątku w zależności od zamierzonego celu interesu ogólnego. W tych okolicznościach rzecznik generalny ocenił, że nie można w żadnym wypadku uznać, iż państwo trzecie zapewnia odpowiedni stopień ochrony, tym bardziej, że system bezpiecznej przystani, określony w decyzji Komisji, nie zawiera gwarancji zapobiegających masowemu i powszechnemu dostępowi do przekazywanych danych. Żaden niezależny organ nie jest bowiem w stanie kontrolować w USA naruszeń względem obywateli Unii zasad ochrony danych osobowych popełnianych przez podmioty publiczne, takie jak amerykańskie agencje bezpieczeństwa.

Wobec takiego stwierdzenia naruszenia praw podstawowych obywateli Unii, Komisja powinna była, zdaniem rzecznika generalnego, zawiesić stosowanie decyzji, nawet jeśli obecnie Komisja prowadzi negocjacje z USA w celu zaprzestania stwierdzonych uchybień. Rzecznik generalny zaznaczył ponadto, że, skoro Komisja postanowiła rozpocząć negocjacje z USA, to oznacza, że wcześniej stwierdziła, że stopień ochrony zapewniany przez to państwo w ramach systemu bezpiecznej przystani nie jest już odpowiedni i że decyzja z 2000 r. nie jest już dostosowana do rzeczywistej sytuacji.

UWAGA: Opinia rzecznika generalnego nie wiąże Trybunału Sprawiedliwości. Zadanie rzeczników generalnych polega na przedkładaniu Trybunałowi, przy zachowaniu całkowitej niezależności, propozycji rozstrzygnięć prawnych w sprawach, które rozpatrują. Sędziowie Trybunału rozpoczynają właśnie obrady w tej sprawie. Wyrok zostanie wydany w terminie późniejszym.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.L 281, s. 31).
[2] Decyzja Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. 2000, L 215, s. 7).
[3] System „bezpiecznej przystani” obejmuje szereg zasad dotyczących ochrony danych osobowych, do przestrzegania których przedsiębiorstwa amerykańskie mogą dobrowolnie się zobowiązać.
Trybunał Sprawiedliwości UE