Dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok kończący długoletni spór zainicjowany przez M. Schremsa, obywatela Austrii, posiadacza konta na portalu Facebook. Podczas rejestracji na portalu, każdy użytkownik zawiera umowę z Facebook Ireland Ltd., spółką-córką Facebook Inc. z siedzibą w Stanach Zjednoczonych. Obie spółki przekazują między sobą dane użytkowników Facebooka.
M. Schrems uznał, że Facebook Ireland Ltd. przekazuje dane użytkowników spółce Facebook Inc. w sposób bezprawny, z uwagi na to, że państwo, do którego przekazywane są dane nie gwarantuje odpowiedniego poziomu bezpieczeństwa danych. W związku z tym, złożył skargę do irlandzkiego organu zajmującego się ochroną danych osobowych (Data Protection Commissioner) o zawieszenie lub zakazanie przekazywania jego danych osobowych do Stanów zjednoczonych. Organ ochrony danych oddalił skargę z uwagi na to, że decyzją Komisji Europejskiej nr 2000/520 Stany Zjednoczone zostały uznane za państwo zapewniające odpowiedni poziom ochrony. Schrems odwołał się do sądu, a irlandzki sąd zwrócił się do TSUE z pytaniem prejudycjalnym w przedmiocie zgodności z prawem unijnym decyzji uznającej USA za państwo zapewniające odpowiedni poziom ochrony danych. TSUE uznał tę decyzję za nieważną (wyrok TSUE z dnia 6 października 2015 r. sygn. akt C‑362/14), a w konsekwencji sprawa została przekazana irlandzkiemu organowi ochrony danych do ponownego rozpatrzenia.
Niedługo potem M. Schrems zmodyfikował nieco brzmienie swojej skargi, zwracając uwagę, że przepisy prawa amerykańskiego nakładają na Facebook Inc. obowiązek udostępnienia władzom amerykańskim, takim jak National Security Agency (NSA) i Federal Bureau of Investigation (FBI), przekazanych tej spółce danych osobowych. Jego zdaniem dane te były wykorzystywane w sposób niezgodny z Kartą Praw Podstawowych UE, a osoby, których dane dotyczyły pozbawione były jakiejkolwiek możliwości zakwestionowania legalności przetwarzania tych danych. Sprawa ponownie trafiła do irlandzkiego High Court, który zwrócił się do TSUE z pytaniem prejudycjalnym w kwestii możliwości zakazania przekazywania danych osobowych do państwa trzeciego przez organ ochrony danych osobowych państwa członkowskiego, kryteriów, jakie trzeba brać pod uwagę oceniając możliwość zapewnienia ochrony danych przez państwo trzecie i zakresu związania organu ochrony danych decyzjami wydanymi przez Komisję Europejską.
Zasady przekazywania danych osobowych do państwa członkowskiego
Zasady przekazywania danych osobowych osób fizycznych do państwa spoza Unii Europejskiej zostały określone w rozdziale V Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: RODO). Co do zasady, przekazywanie danych osobowych do państwa poza Unią Europejską jest dopuszczalne wtedy, gdy zapewniony zostanie odpowiedni poziom ochrony danych osobowych. Takie przekazanie nie wymaga specjalnego zezwolenia. Komisja Europejska może, po sprawdzeniu czy przepisy obowiązujące w państwie trzecim zapewniają odpowiedni poziom ochrony danych, wydać decyzję stwierdzającą, że określone państwo zapewnia właściwy poziom ochrony danych osobowych.
Podmioty znajdujące się poza Unią Europejską mogą podejmować inicjatywy w celu podwyższenia standardu ochrony danych osobowych, m.in. poprzez zawarcie w umowie z podmiotem przekazującym dane standardowych klauzul umownych zatwierdzonych przez organy nadzorcze państwa członkowskiego lub Komisję Europejską.
W opisywanej sprawie obowiązywała decyzja wykonawcza Komisji Europejskiej nr 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (dalej: decyzja w sprawie Tarczy Prywatności). Decyzja ta zastąpiła decyzję uznaną za nieważną przez TSUE z dnia 6 października 2015 r. sygn. akt C‑362/14. Zgodnie z decyzją w sprawie Tarczy Prywatności, Tarcza Prywatności, czyli nadzorowany przez amerykański Departament Handlu oparty na samocertyfikacji system mający na celu zapewnienie odpowiednich ram ochrony prywatności przez podmioty przetwarzające dane osobowe, jest mechanizmem zapewniającym odpowiedni poziom ochrony danych osobowych w rozumieniu RODO.
W stanie faktycznym obowiązywała również decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (dalej: decyzja w sprawie standardowych klauzul) która określała standardowe klauzule, które powinny być zawarte powinny być zawarte w umowie w przedmiocie przekazywania danych osobowych. Umowa między Facebook Ireland Ltd. i Facebook Inc. zawierała klauzule określone w tej decyzji.
Rozstrzygnięcie TSUE
Trybunał Sprawiedliwości Unii Europejskiej, rozpatrując sprawę, zauważył kilka problemów. Po pierwsze, zdaniem Trybunału, należało określić, co to znaczy że państwo zapewnia odpowiedni poziom ochrony danych osobowych. Po drugie, oceny wymagało czy fakt, że dane mają być wykorzystywane przez służby zajmujące się ochroną bezpieczeństwa państwa wpływa na możliwość zastosowania reguł wynikających z RODO do przekazywania danych osobowych podmiotom gospodarczym zobowiązanym do przekazania danych tym organom. Trybunał rozważał również, czy zastosowanie w umowie o przekazanie danych standardowych klauzul zatwierdzonych przez Komisję sprawia, że przetwarzanie danych osobowych jest zgodne z prawem.
Zdaniem TSUE, fakt, że dane przekazane przez podmiot gospodarczy mający siedzibę w UE innemu podmiotowi gospodarczemu mającemu siedzibę w państwie trzecim będą wykorzystane przez służby zajmujące się obronnością i bezpieczeństwem państwa nie wyłącza stosowania do takiego przekazywania danych reguł wynikających z RODO. W ocenie Trybunału, dane osobowe mogą zostać przekazane do państwa trzeciego wtedy, gdy zapewnione są odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te zabezpieczenia i normy powinny zapewniać, że prawa osób, których dane osobowe są przekazywane do państwa trzeciego, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie, interpretowane w świetle Karty praw podstawowych Unii Europejskiej. W tym celu w ramach oceny stopnia ochrony zapewnianego w kontekście takiego przekazywania należy w szczególności uwzględniać zarówno postanowienia umowne uzgodnione między mającymi siedzibę w Unii administratorem lub podmiotem przetwarzającym a odbierającym dane podmiotem mającym siedzibę w danym państwie trzecim, jak i, w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazanych w ten sposób danych osobowych, istotne elementy składające się na jego system prawny.
Trybunał uznał, że zawarcie w umowie o przekazywanie danych klauzul określonych w decyzji o standardowych klauzulach samo w sobie nie oznacza, że przekazywanie danych osobowych przez podmiot z państwa trzeciego przetwarza dane w sposób zgodny z prawem. Klauzule te mają bowiem charakter umowny, wiążą jedynie strony, które dobrowolnie przyjęły na siebie zobowiązanie. Nie mają one zastosowania do organów władzy publicznej oraz innych podmiotów niebędących stronami umowy.
Zdaniem Trybunału, system prawny Stanów Zjednoczonych, który pozwala na uzyskiwanie przez organy władzy publicznej danych osobowych osób fizycznych w sposób praktycznie nieograniczony i nie daje osobom, których dane dotyczą żadnych możliwości zakwestionowania takiego przetwarzania, nie zapewnia adekwatnego poziomu ochrony danych osobowych. Choć dostęp do danych osobowych osoby fizycznej przez organy bezpieczeństwa państwa może być uzasadniony, uprawnienia organów do ingerencji w sferę prywatności podmiotów, których dane są przetwarzane, nadanie służbom takich uprawnień powinno nastąpić zgodnie z zasadą proporcjonalności. W ocenie Trybunału uprawnienia amerykańskich służb wywiadowczych są tu zbyt daleko idące i naruszają zasady określone w Karcie Praw Podstawowych. W związku z tym TSUE uznał decyzję w sprawie Tarczy Prywatności za nieważną.
Wyrok Trybunału doprecyzowuje zasady określające przekazywanie danych osobowych do państwa trzeciego, jednocześnie podnosząc dotychczas przyjęty standard ochrony osób przed bezprawnym przetwarzaniem ich danych osobowych. Wyrok być istotny dla przedsiębiorców współpracujących z podmiotami zagranicznymi, gdyż wspólne realizowanie gospodarczych celów często jest niemożliwe bez przekazania partnerowi biznesowemu danych klientów czy współpracowników.