Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Wszystkie sprawy Maxa Schremsa, czyli jeden człowiek i RODO

Aktualizacja: cze 20


Max Schrems to facet, który ma niemały wpływ na to, co dzieje się w świecie danych osobowych i interpretowania przepisów RODO. Patrząc na jego dokonania oraz założoną fundację (NOYB – none of your business), może się wydawać, że za swój życiowy cel wziął sobie ochronę danych osobowych Europejczyków. Jego głównym wrogiem pozostają amerykańskie korporacje takie jak Google czy Facebook, dla których dane użytkowników są po prostu czymś, na czym się zarabia. Nie zawsze przy tym wychodzi im dbanie o przejrzystość tego, co z tymi danymi robią, informowanie o tym użytkowników czy odbieranie na to ich zgód, tak aby spełniały one wymogi przepisów prawa.


Dlatego też Max Schrems walczy i do tej walki wybiera drogę prawną, tzn. skarży się na niezgodne z prawem działanie amerykańskich korporacji, które przetwarzają dane osobowe, docierając czasem do samego Trybunału Sprawiedliwości UE.


Na 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wyznaczył termin rozprawy w jednej ze spraw, która obecnie toczy się przed tym unijnym sądem właśnie z wniosku Maxa Schremsa. To dobry czas aby przypomnieć sobie jego dotychczasowe potyczki dotyczące ochrony danych osobowych.

Sprawa pierwsza – Bezpieczna Przystań (Safe Harbor) - C‑362/14

O tej sprawie pisałem nieco również tutaj. Dotyczyła ona możliwości przekazywania danych użytkowników Facebooka z Europy do Stanów Zjednoczonych. Generalnie rzecz biorąc jest tak, że jeśli ktoś, kto mieszka na terenie UE, rejestruje konto w ramach Facebooka, to akceptuje regulamin i zawiera umowę z Facebook Ireland, czyli spółką odpowiedzialną za usługi Facebooka w Europie.


Tym samym, jako podmiot zarejestrowany w Europie, spółka ta musi przestrzegać wszystkich reguł związanych z przepisami dot. ochrony danych osobowych. Oczywiście Facebook Ireland jest spółką zależną od Facebook Inc z siedzibą w Kalifornii. Facebook Ireland przekazywał dane swoich użytkowników do USA, bo tam znajdowała się część serwerów Facebooka.


RODO wtedy jeszcze nie obowiązywało, dane w UE były przetwarzane na podstawie krajowych przepisów, opartych o poprzednia unijną dyrektywę 95/46/WE. Przekazywanie danych do USA następowało wtedy (sprawa toczyła się w latach od 2013 do 2015) na podstawie programu Bezpieczna Przystań, który został zaakceptowany przez Komisję Europejską. Polegał on z grubsza na tym, że amerykańskie podmioty mogły zadeklarować, że będą przestrzegały unijnych zasad przetwarzania danych, co z kolei pozwalało na zgodne z prawem przekazywanie ich do USA – przynajmniej do tych podmiotów, które przystąpiły do programu Safe Harbor.


Pan Schrems nie był zadowolony z takiego obrotu spraw, bo uznał, że program Bezpieczna Przystań gwarantuje ochronę prywatności obywateli UE jedynie na papierze i w rzeczywistości nie funkcjonuje. Działo się to w czasie gdy Edward Snowden ujawnił informacje dotyczące działalności NSA w Stanach, m.in. w zakresie programu Prism, który polegał na masowym śledzeniu obywateli. Kwestia ta została zresztą podniesiona w skardze do TSUE.

Max poskarżył się więc do irlandzkiego organu odpowiedzialnego za egzekwowanie przepisów dot. ochrony danych osobowych. Irlandzki organ uznał, że skoro Komisja Europejska zatwierdziła program Bezpieczna Przystań to on już nie będzie badał tego jeszcze raz (bo decyzja go wiąże) i skargę oddalił, a więc nasz bohater odwołał się od tej decyzji. Finalnie sprawa trafiła do Trybunału Sprawiedliwości UE. I Trybunał ten uznał, że:

  • Organy, które są odpowiedzialne za ochronę danych osobowych (takie jak w Polsce Prezes UODO a kiedyś GIODO) mają mieć zagwarantowaną niezależność,

  • Organy te mogą prowadzić postępowania, które mają na celu ustalenie okoliczności związanych z przetwarzaniem danych, np. na podstawie skarg, które są do nich kierowane,

  • Decyzja Komisji Europejskiej dot. programu Safe Harbor nie powinna ich w tym ograniczać, bo sprawa dotyczy konkretnej osoby, która poskarżyła się na niezgodne z prawem przetwarzanie jej danych,

  • W konsekwencji, irlandzki DPA (organ ochrony danych) może sprawdzić, czy przekazywanie danych przez Facebook Ireland odbywa się zgodnie z przepisami dot. ochrony danych osobowych,

  • Taki organ nie może jednak sam stwierdzić nieważności decyzji Komisji, takiej jak ta dotycząca programu Safe Harbor.

Co ważne, Trybunał wskazał, że podziela zastrzeżenia Maxa Schremsa dotyczące skuteczności ochrony praw osób, których dane są przekazywane na podstawie programu Bezpieczna Przystań. Trybunał wskazał, że uczestnictwo w programie Safe Harbor jest dla amerykańskich firm dobrowolne i ma charakter samocertyfikacji. Brak jest jednocześnie obowiązków nałożonych w tym zakresie na władze USA.





Oznacza to, że nie ma skutecznego mechanizmu weryfikacji czy dana firma rzeczywiście przestrzega zasad wynikających z programu. Dodatkowo program nie zawierał jakichkolwiek ograniczeń związanych z możliwością żądania przez rząd USA danych, uzasadniając to np. bezpieczeństwem publicznym albo zwalczaniem przestępstw. Przepisy jednocześnie nie przyznawały obywatelom UE złożenia jakiejkolwiek skargi na tego rodzaju postępowanie.


To dla Trybunału wystarczyło, aby uznać, że program Safe Harbor nie spełnia unijnych wymogów dot. ochrony danych osobowych, a tym samym jest nieważny.


Tym samym podstawa, która była przez niemal 15 lat wykorzystywana do przekazywania danych pomiędzy UE a USA została obalona, m.in. z uwagi na działalność właśnie p. Maxa Schremsa. Spowodowało to komplikacje związane z korzystaniem przez podmioty z UE z różnych usług amerykańskich korporacji, takich jak Google czy Microsoft. Dlatego też jakiś czas później przyjęto nowy program, czyli Tarczę Prywatności, która działa do dziś. Jest ona nieco lepsza od starego, ale to nie oznacza, że nadal nikt nie ma do niej zastrzeżeń (np. Max Schrems ma i to spore – o czym zaraz).


Sprawa druga – Standardowe Klauzule Umowne i Tarcza Prywatności – C 311/18


W sprawie Schrems I, Trybunał Sprawiedliwości UE badał kwestię przekazywania danych do USA na podstawie programu Bezpieczna Przystań. W związku z tym, że TSUE stwierdził nieważność tego programu, a Facebook dalej przekazywał dane z Irlandii do USA, Max Schrems spróbował zaatakować Facebooka z innej strony i skupił się na standardowych klauzulach umownych.


Standardowe klauzule umowne to takie wzory umów, zatwierdzone przez Komisję Europejską, które mają gwarantować odpowiednie bezpieczeństwo danych, które są przekazywane pomiędzy dwoma podmiotami. Innymi słowy, dwie firmy podpisują umowę zawierającą takie klauzule, przy czym jedna z nich jest administratorem danych zlokalizowanym w UE, a druga odbiorcą danych poza UE. Umowa zapewnia szereg gwarancji, które daje ten drugi podmiot (poza UE), co w teorii ma wymuszać odpowiednio wysokie standardy przetwarzania danych.


Facebook Ireland zawarł sobie taką umowę z Facebookiem Inc i uznał, że na tej podstawie może przekazywać dane do USA. Mamy tu jednak pewną sprzeczność – standardowe klauzule umowne mówią coś innego na temat przekazywania danych do różnych organów i służb rządowych (tzn. zakazują go, chyba że istnieje podstawa w prawie UE), a prawo amerykańskie mówi coś innego (tzn. nakazują takie przekazywanie w określonych sytuacjach).


Dodatkowo, Facebook przystąpił do programu Tarcza Prywatności, czyli następcy Bezpiecznej Przystani i uznał, że na tej podstawie również może przekazywać dane pomiędzy Facebook Inc z siedzibą w Kalifornii i Facebook Ireland.


Musimy tu pamiętać, że w sprawie Schrems I TSUE uznał, że prawo kraju trzeciego (w tym przypadku USA) ma znaczenie jeśli chodzi o przekazywanie danych na podstawie decyzji Komisji Europejskiej. Tym samym trzeba zbadać czy poziom ochrony prywatności w danym kraju jest adekwatny i daje podobne gwarancje co ten europejski. A przez ostatnie lata w USA niewiele się w tej kwestii zmieniło.


Zamiast programu Bezpieczna Przystań mamy program Tarcza Prywatności, który jest lepszy, ale nawet Komisja Europejska ma do niego pewne zastrzeżenia. Standardowe klauzule umowne to umowa, która daje stosunkowo duże gwarancje ochrony danych w teorii, ale wszystko zależy od tego w jaki sposób prawa osób będą realizowane w praktyce – a tu można mieć sporo wątpliwości, zwłaszcza wobec różnych kontrowersji związanych z przetwarzaniem danych użytkowników Facebooka, np. w związku ze sprawą Cambridge Analytica.


W Kalifornii wprawdzie pojawił się California Consumer Privacy Act, ale on ma ograniczony zasięg, a przepisy są bardzo łagodne. Mamy też Cloud Act, który uregulował (jakoś) zasady przekazywania danych organom ścigania z USA i kontroli sądowej w tym zakresie, ale zrobił to tak, że Europejska Rada Ochrony Danych uznała, że ustawa ta jest sprzeczna z RODO. Oznacza to, że amerykańskie korporacje, które muszą przestrzegać Cloud Act (czyli wszystkie, które świadczą usługi chmurowe), nie mogą być uznane za stuprocentowo zgodne z RODO.


Dlatego przed TSUE ciężki orzech do zgryzienia. Tak jak napisałem, wyrok w tej sprawie zapadnie najprawdopodobniej w lipcu. Jak dotąd w sprawie wypowiedział się Rzecznik Generalny – jego opinia nie jest wiążąca dla TSUE, choć często jest tak, że Trybunał mocno inspiruje się opinią rzecznika. Rzecznik wskazał, że:

  1. Standardowe klauzule umowne z 2010 r. są ważne,

  2. To administrator lub ewentualnie organ nadzorczy, są zobowiązani do ustalenia, czy dane państwo trzecie zapewnia odpowiedni stopień bezpieczeństwa danych i umożliwia wykonanie umowy, w której zawarte są standardowe klauzule umowne,

  3. W przypadku gdy administrator lub organ nadzorczy uznają, że dane państwo nie zapewnia odpowiednich standardów przetwarzania danych, nawet po zawarciu umowy ze standardowymi klauzulami umownymi, konieczne jest wstrzymanie transferu danych do takiego państwa trzeciego,

  4. Tarcza Prywatności jest ważna i można na niej oprzeć przekazywanie danych do USA, chociaż kilka kwestii w samej tarczy wymaga poprawy.

Opinia rzecznika wydaje się być dość łagodna i uwzględnia nie tylko prawa obywateli UE, ale także interesy gospodarcze i polityczne, w szczególności w zakresie działalności międzynarodowych korporacji. Gdyby bowiem TSUE wydał wyrok o takiej treści, irlandzki organ nadzorczy zapewne badałby adekwatność amerykańskich przepisów prawa przez następne kilka lat, a to dałoby technologicznym gigantom sporo czasu spokojnej działalności.


Tak jak pisałem, wyrok będzie najprawdopodobniej w lipcu – jak tylko się pojawi poinformuję o nim i zaktualizuję ten wpis.


Sprawa dodatkowa – Kto jest konsumentem na Facebooku? - C‑498/16


Uwaga – chronologicznie to jest właśnie druga sprawa, ale z uwagi na to, że te opisane powyżej są ze sobą połączone, to je nazywa się właśnie Schrems I i Schrems II. Ta jest po prostu inna sprawa, która dotyczyła również Maxa Schremsa.


Kolejna sprawa była mniej skomplikowana niż poprzednie i dotyczyła tego, czy użytkownikowi Facebooka przysługują pewne uprawnienia konsumenckie, dotyczące możliwości pozywania irlandzkiego oddziału Facebooka nie przed irlandzkim sądem. Max Schrems miał prywatne konto na Facebooku oraz fanpage, który możemy nazwać „służbowym” – publikował tam informacje o swojej działalności, konferencjach, wystąpienia czy też aktualności dotyczące skarg, które składał w związku z ochroną swoich danych.


Max Schrems chciał pozwać Facebooka i chciał zrobić to przed sądem w Austrii, czyli tam gdzie mieszkał. Facebook Ireland ma siedzibę w Irlandii, co oznacza, że generalnie jeśli ktoś chce go pozwać, to powinien złożyć pozew właśnie przed sadem irlandzkim. Jest jednak wyjątek – konsument (czyli ktoś kto dokonuje jakichś czynności w celu niezwiązanym z działalnością gospodarczą lub zawodową) może pozwać przedsiębiorcę również w swoim kraju (tzn. w przypadku Maxa Schremsa byłaby to Austria).


Problemem był jednak ten dodatkowy fanpage, tzn. wykorzystywany przez niego do celów zawodowych. Pojawiło się pytanie, czy to pozbawia go statusu konsumenta. Sprawa trafiła do Trybunału Sprawiedliwości UE, który po prostu stwierdził, że fakt założenia przez użytkownika Facebooka fanpage, na którym publikuje on swoje artykuły, książki czy też informuje o wystąpieniach, nie sprawia, że osoba traci status konsumenta. Innymi słowy, Max Schrems mógł pozwać Facebook Ireland również przed sądem w Austrii.





Wątek irlandzki


Jak pewnie zauważyliście, sporo razy pojawia się w tym tekście irlandzki organ ds. ochrony danych osobowych (taki irlandzki Prezes UODO). Wbrew pozorom to ważny element tej całej układanki. Sporo amerykańskich korporacji, takich jak Microsoft, Google czy Facebook ma spółki zależne właśnie w Irlandii (m.in. z uwagi na kwestie podatkowe i ogólną przyjazność Irlandii dla tego rodzaju biznesów). Tym samym wiele skarg dot. przetwarzania danych przez te podmioty trafia właśnie do irlandzkiego DPA (Data Protection Authority). I tam, zdaniem Maxa Schremsa, leżą one zdecydowanie zbyt długo.


Dodatkowo organ ten wykazuje się dość liberalnym podejściem do działalności tych międzynarodowych korporacji. Przez dwa lata w Irlandii nałożono tylko jedną karę w związku z nieprzestrzeganiem przepisów RODO. Mając to wszystko na uwadze, wiele osób zarzuca irlandzkiemu DPA, że sprzyja on korporacjom, przedkładając ich interesy gospodarcze i bezpieczeństwo prawne nad interes obywateli UE. Byłoby to zresztą korzystne dla budżetu Irlandii, bo wpływy z podatków pochodzących od tych korporacji są spore i drażnienie ich nie jest w interesie tego państwa.


Max Schrems na swoim blogu zarzucił m.in. irlandzkiemu DPA, że prowadził on sekretne konsultacje z Facebookiem i spotykał się z przedstawicielami tej korporacji po to aby wskazać im w jaki sposób mogą w miarę bezpiecznie obejść niektóre przepisy RODO, np. te dotyczące zgód na profilowanie. Możecie o tym przeczytać np. tutaj. Artykuł porusza też powolne procedowanie spraw przez irlandzkiego DPA.


Co będzie dalej?


Max Schrems raczej nie odpuści i dalej będzie prowadził swoją krucjatę mającą na celu ochronę prywatności obywateli UE. Nie sposób zresztą odmówić słuszności chociaż części z jego poglądów. Wystarczy poczytać sobie np. analizy publikowane przez fundację Panoptykon aby uświadomić sobie, że korporacje po prostu nie dzielą się z nami tymi informacjami w jaki sposób przetwarzają nasze dane – chociaż zgodnie z RODO powinny to robić.



Wyroki Trybunału Sprawiedliwości Unii Europejskiej, które dotyczą ochrony danych osobowych to bardzo ciekawe zagadnienie Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.


#maxschrems #rodo #gdpr #schremsI #schremsII #datatransfers #tsue

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

  • Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń.