Max Schrems to facet, który ma niemały wpływ na to, co dzieje się w świecie danych osobowych i interpretowania przepisów RODO. Patrząc na jego dokonania oraz założoną fundację (NOYB – none of your business), może się wydawać, że za swój życiowy cel wziął sobie ochronę danych osobowych Europejczyków. Jego głównym wrogiem pozostają amerykańskie korporacje takie jak Google czy Facebook, dla których dane użytkowników są po prostu czymś, na czym się zarabia. Nie zawsze przy tym wychodzi im dbanie o przejrzystość tego, co z tymi danymi robią, informowanie o tym użytkowników czy odbieranie na to ich zgód, tak aby spełniały one wymogi przepisów prawa.
Dlatego też Max Schrems walczy i do tej walki wybiera drogę prawną, tzn. skarży się na niezgodne z prawem działanie amerykańskich korporacji, które przetwarzają dane osobowe, docierając czasem do samego Trybunału Sprawiedliwości UE.
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w tzw. Schrems II, który miał bardzo duże znaczenie dla przesyłania danych osobowych pomiędzy UE a USA. To dobry czas aby przypomnieć sobie jego dotychczasowe potyczki dotyczące ochrony danych osobowych.
Sprawa pierwsza – Bezpieczna Przystań (Safe Harbor) - C‑362/14
O tej sprawie pisałem nieco również tutaj. Dotyczyła ona możliwości przekazywania danych użytkowników Facebooka z Europy do Stanów Zjednoczonych. Generalnie rzecz biorąc jest tak, że jeśli ktoś, kto mieszka na terenie UE, rejestruje konto w ramach Facebooka, to akceptuje regulamin i zawiera umowę z Facebook Ireland, czyli spółką odpowiedzialną za usługi Facebooka w Europie.
Tym samym, jako podmiot zarejestrowany w Europie, spółka ta musi przestrzegać wszystkich reguł związanych z przepisami dot. ochrony danych osobowych. Oczywiście Facebook Ireland jest spółką zależną od Facebook Inc z siedzibą w Kalifornii. Facebook Ireland przekazywał dane swoich użytkowników do USA, bo tam znajdowała się część serwerów Facebooka.
RODO wtedy jeszcze nie obowiązywało, dane w UE były przetwarzane na podstawie krajowych przepisów, opartych o poprzednia unijną dyrektywę 95/46/WE. Przekazywanie danych do USA następowało wtedy (sprawa toczyła się w latach od 2013 do 2015) na podstawie programu Bezpieczna Przystań, który został zaakceptowany przez Komisję Europejską. Polegał on z grubsza na tym, że amerykańskie podmioty mogły zadeklarować, że będą przestrzegały unijnych zasad przetwarzania danych, co z kolei pozwalało na zgodne z prawem przekazywanie ich do USA – przynajmniej do tych podmiotów, które przystąpiły do programu Safe Harbor.
Pan Schrems nie był zadowolony z takiego obrotu spraw, bo uznał, że program Bezpieczna Przystań gwarantuje ochronę prywatności obywateli UE jedynie na papierze i w rzeczywistości nie funkcjonuje. Działo się to w czasie gdy Edward Snowden ujawnił informacje dotyczące działalności NSA w Stanach, m.in. w zakresie programu Prism, który polegał na masowym śledzeniu obywateli. Kwestia ta została zresztą podniesiona w skardze do TSUE.
Max poskarżył się więc do irlandzkiego organu odpowiedzialnego za egzekwowanie przepisów dot. ochrony danych osobowych. Irlandzki organ uznał, że skoro Komisja Europejska zatwierdziła program Bezpieczna Przystań to on już nie będzie badał tego jeszcze raz (bo decyzja go wiąże) i skargę oddalił, a więc nasz bohater odwołał się od tej decyzji. Finalnie sprawa trafiła do Trybunału Sprawiedliwości UE. I Trybunał ten uznał, że:
Organy, które są odpowiedzialne za ochronę danych osobowych (takie jak w Polsce Prezes UODO a kiedyś GIODO) mają mieć zagwarantowaną niezależność,
Organy te mogą prowadzić postępowania, które mają na celu ustalenie okoliczności związanych z przetwarzaniem danych, np. na podstawie skarg, które są do nich kierowane,
Decyzja Komisji Europejskiej dot. programu Safe Harbor nie powinna ich w tym ograniczać, bo sprawa dotyczy konkretnej osoby, która poskarżyła się na niezgodne z prawem przetwarzanie jej danych,
W konsekwencji, irlandzki DPA (organ ochrony danych) może sprawdzić, czy przekazywanie danych przez Facebook Ireland odbywa się zgodnie z przepisami dot. ochrony danych osobowych,
Taki organ nie może jednak sam stwierdzić nieważności decyzji Komisji, takiej jak ta dotycząca programu Safe Harbor.
Co ważne, Trybunał wskazał, że podziela zastrzeżenia Maxa Schremsa dotyczące skuteczności ochrony praw osób, których dane są przekazywane na podstawie programu Bezpieczna Przystań. Trybunał wskazał, że uczestnictwo w programie Safe Harbor jest dla amerykańskich firm dobrowolne i ma charakter samocertyfikacji. Brak jest jednocześnie obowiązków nałożonych w tym zakresie na władze USA.
Oznacza to, że nie ma skutecznego mechanizmu weryfikacji czy dana firma rzeczywiście przestrzega zasad wynikających z programu. Dodatkowo program nie zawierał jakichkolwiek ograniczeń związanych z możliwością żądania przez rząd USA danych, uzasadniając to np. bezpieczeństwem publicznym albo zwalczaniem przestępstw. Przepisy jednocześnie nie przyznawały obywatelom UE złożenia jakiejkolwiek skargi na tego rodzaju postępowanie.
To dla Trybunału wystarczyło, aby uznać, że program Safe Harbor nie spełnia unijnych wymogów dot. ochrony danych osobowych, a tym samym jest nieważny.
Tym samym podstawa, która była przez niemal 15 lat wykorzystywana do przekazywania danych pomiędzy UE a USA została obalona, m.in. z uwagi na działalność właśnie p. Maxa Schremsa. Spowodowało to komplikacje związane z korzystaniem przez podmioty z UE z różnych usług amerykańskich korporacji, takich jak Google czy Microsoft. Dlatego też jakiś czas później przyjęto nowy program, czyli Tarczę Prywatności, która działa do dziś. Jest ona nieco lepsza od starego, ale to nie oznacza, że nadal nikt nie ma do niej zastrzeżeń (np. Max Schrems ma i to spore – o czym zaraz).
Sprawa druga – Standardowe Klauzule Umowne i Tarcza Prywatności – C 311/18
W sprawie Schrems I, Trybunał Sprawiedliwości UE badał kwestię przekazywania danych do USA na podstawie programu Bezpieczna Przystań. W związku z tym, że TSUE stwierdził nieważność tego programu, a Facebook dalej przekazywał dane z Irlandii do USA, Max Schrems spróbował zaatakować Facebooka z innej strony i skupił się na:
standardowych klauzulach umownych,
programie Tarcza Prywatności, czyli następcy "bezpiecznej przystani".
Standardowe klauzule umowne to takie wzory umów, zatwierdzone przez Komisję Europejską, które mają gwarantować odpowiednie bezpieczeństwo danych, które są przekazywane pomiędzy dwoma podmiotami. Innymi słowy, dwie firmy podpisują umowę zawierającą takie klauzule, przy czym jedna z nich jest administratorem danych zlokalizowanym w UE, a druga odbiorcą danych poza UE. Umowa zapewnia szereg gwarancji, które daje ten drugi podmiot (poza UE), co w teorii ma wymuszać odpowiednio wysokie standardy przetwarzania danych.
Facebook Ireland zawarł sobie taką umowę z Facebookiem Inc i uznał, że na tej podstawie może przekazywać dane do USA. Mamy tu jednak pewną sprzeczność – standardowe klauzule umowne mówią coś innego na temat przekazywania danych do różnych organów i służb rządowych (tzn. zakazują go, chyba że istnieje podstawa w prawie UE), a prawo amerykańskie mówi coś innego (tzn. nakazują takie przekazywanie w określonych sytuacjach).
Dodatkowo, Facebook przystąpił do programu Tarcza Prywatności, czyli następcy Bezpiecznej Przystani i uznał, że na tej podstawie również może przekazywać dane pomiędzy Facebook Inc z siedzibą w Kalifornii i Facebook Ireland.
Musimy tu pamiętać, że w sprawie Schrems I TSUE uznał, że prawo kraju trzeciego (w tym przypadku USA) ma znaczenie jeśli chodzi o przekazywanie danych na podstawie decyzji Komisji Europejskiej. Tym samym trzeba zbadać czy poziom ochrony prywatności w danym kraju jest adekwatny i daje podobne gwarancje co ten europejski. A przez ostatnie lata w USA niewiele się w tej kwestii zmieniło.
I to właśnie było podstawą do tego aby 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym:
uznał, że program Tarcza Prywatności jest nieważny - innymi słowy, przekazywanie danych do USA na jego podstawie nie jest dopuszczalne. Jeżeli to robimy to działamy niezgodnie z przepisami o ochronie danych osobowych,
uznał, że Standardowe Klauzule Umowne generalnie są ważne - innymi słowy, można się na nich opierać podczas przekazywania danych do krajów spoza Europejskiego Obszaru Gospodarczego. Trybunał jednocześnie wskazał, że takie przekazanie powinna poprzedzić ocena czy państwo, do którego dane osobowe trafią posiada taki system prawny, który realnie zapewnia możliwość wypełnienia postanowień Standardowych Klauzul Umownych (SCC). Innymi słowy, powołując się na Standardowe Klauzule Umowne musimy sprawdzić czy kraj, do którego dane trafią, ma takie przepisy prawa, które zapewniają na tyle wysoki poziom ochrony praw jednostki, że możliwe będzie przestrzeganie SCC. Istotna tu jest także praktyka dotycząca poszanowania prywatności w danym państwie. Dotyczy to np. ewentualnego dostępu organów władzy publicznej do danych i związanej z tym kontroli sądowej.
Czemu Tarcza Prywatności została unieważniona?
Trybunał Sprawiedliwości Unii Europejskiej uznał, że Tarcza Prywatności nie spełnia swojej roli w należyty sposób. Wymogi, które wynikają z treści przepisów RODO oraz Karty Praw Podstawowych są bowiem wyższe niż to co zapewnia obywatelom UE Tarcza. Innymi słowy, standardy wynikające z Tarczy okazały się być zbyt niskie. Co szczególnie nie spodobało się Trybunałowi?
W Tarczy Prywatności wskazano, że agencje rządowe USA będą mogły przetwarzać dane osobowe w zakresie niezbędnym do spełnienia wymagań bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa - w takim wypadku postanowień Tarczy nie stosuje się. Innymi słowy, w momencie gdy dane były przetwarzane pzez amerykańskie służby, nie chroniła ich Tarcza. A to, w połączeniu z bardzo szerokimi uprawnieniami inwigilacyjnymi, które służby mają w USA, sprawiło, że Trybunał uznał taką ingerencję za zbyt daleko idącą. Zwrócił tu m.in. uwagę na program szpiegowski PRISM, który jest prowadzony na podstawie amerykańskiej ustawy FISA (Foreign Intelligence Surveillance Act), rozporządzenia wykonawczego 12333 oraz Presidential Policy Directive-28. Zwłaszcza FISA nie posiada jakichkolwiek ograniczeń, które choniłyby prawa obywateli.
Amerykańskie służby mogą "hurtowo" przechwytywać i gromadzić dane, które są przekazywane z UE do USA - nie muszą one nawet dotyczyć konkretnej, zidentyfikowanej osoby, względem której toczy się jakieś postępowanie.
Rzecznik ds. Tarczy Prywatności, czyli podmiot, który miał za zadanie dbać o przestrzeganie praw osób z UE po ich przekazanie do USA nie ma jakiegokolwiek wpływu na działania amerykańskich służb. Nie jest również sądem i nie zapewnia odpowiedniego poziomu niezależności. Tym samym obywatele UE nie mają możliwości skutecznego dochodzenia swoich praw przed organami w USA.
Te argumenty sprawiły, że program Tarcza Prywatności się nie obronił i został uznany za nieważny. Warto tylko przypomnieć, że na podstawie tego programu dane były przekazywane m.in. przez:
dostawców usług chmurowych - Microsoft, Google, Amazon,
portale społecznościowe - Facebook, LinkedIn,
aplikacje do komunikacji - Cisco Webex, Zoom,
programy do zarządzania zespołem - Microsoft Teams, Slack, Basecamp,
programy do zarządzania projektami - Jira, Trello,
Cios jest więc dość spory. Większość z powyżej wymienionych opierało się jednak również na wspomnianych już Standardowych Klauzulach Umownych, które teoretycznie są nadal ważne i mogą stanowić podstawę do przekazywania danych do państw poza Europejskim Obszarem Gospodarczym. Przyjrzyjmy się więc im bliżej.
Jaki jest problem ze standardowymi klauzulami umownymi?
Standardowe klauzule umowne to taki specjalny wzór umowy, zaakceptowany przez Komisję Europejską. Może ona zostać zawarta pomiędzy podmiotem, który przekazuje dane osobowe (z UE) oraz podmiotem, który te dane otrzymuje (czyli z podmiotem spoza UE, a więc z tzw. państwa trzeciego). Umowa ta nakłada na ten podmiot spoza UE dość dużo dodatkowych obowiązków dotyczących ochrony danych. Ma to zapewniać poziom ochrony danych, który będzie odpowiednio wysoki, biorąc pod uwagę przepisy RODO.
Tylko, że zapewnienie tego poziomu bezpieczeństwa nie polega jedynie na zawarciu umowy. Tak jak napisałem wcześniej, Trybunał Sprawiedliwości wymaga, aby w takiej sytuacji została przeprowadzona analiza czy dane rzeczywiście będą bezpieczne i przetwarzane przy poszanowaniu reguł wynikających z RODO. Aby to sprawdzić, konieczna jest analiza systemu prawnego, który obowiązuje w państwie, w którym znajduje się podmiot przyjmujący dane.
I, biorąc pod uwagę Stany Zjednoczone, można stwierdzić, iż z uznaniem, że system prawny USA spełnia odpowiednie wymogi, umożliwiające przekazanie danych, jest problem. Bo w swoim wyroku Trybunał Sprawiedliwości UE dość mocno wskazał argumenty, które temu przeczą. A to oznaczałoby, że nie jest możliwe powoływanie się na Standardowe Klauzule Umowne w sytuacji gdy dane mają być przekazane do USA.
Taka jest przynajmniej najprostsza odpowiedź. W mojej ocenie nie musi ona jednak być tą właściwą - przekazywanie danych osobowych do USA może być dopuszczalne w sytuacji gdy rzeczywiście ryzyko związane z możliwością przekazania tych danych służbom jest niewielkie. Musimy więc przeanalizować to jakie dane są przesyłane, kogo dotyczą, w jakim celu je przetwarzamy i w związku z jakimi usługami, a także rozważyć, czy należy w jakiś sposób dodatkowo je zabezpieczyć (np. zaszyfrować po naszej stronie - end to end). Warto również sprawdzić, jak zachowuje się podmiot, do którego dane mają trafić - np. czy dotąd przekazywał dane do służb chętnie czy w jakiś sposób to utrudniał.
I w takiej sytuacji przekazanie w mojej nie jest automatycznie niedopuszczalne - zawsze wymaga jednak rzetelnej, krytycznej analizy, która będzie odpowiednio udokumentowana.
Sprawa dodatkowa – Kto jest konsumentem na Facebooku? - C‑498/16
Uwaga – chronologicznie to jest właśnie druga sprawa, ale z uwagi na to, że te opisane powyżej są ze sobą połączone, to je nazywa się właśnie Schrems I i Schrems II. Ta jest po prostu inna sprawa, która dotyczyła również Maxa Schremsa.
Kolejna sprawa była mniej skomplikowana niż poprzednie i dotyczyła tego, czy użytkownikowi Facebooka przysługują pewne uprawnienia konsumenckie, dotyczące możliwości pozywania irlandzkiego oddziału Facebooka nie przed irlandzkim sądem. Max Schrems miał prywatne konto na Facebooku oraz fanpage, który możemy nazwać „służbowym” – publikował tam informacje o swojej działalności, konferencjach, wystąpienia czy też aktualności dotyczące skarg, które składał w związku z ochroną swoich danych.
Max Schrems chciał pozwać Facebooka i chciał zrobić to przed sądem w Austrii, czyli tam gdzie mieszkał. Facebook Ireland ma siedzibę w Irlandii, co oznacza, że generalnie jeśli ktoś chce go pozwać, to powinien złożyć pozew właśnie przed sadem irlandzkim. Jest jednak wyjątek – konsument (czyli ktoś kto dokonuje jakichś czynności w celu niezwiązanym z działalnością gospodarczą lub zawodową) może pozwać przedsiębiorcę również w swoim kraju (tzn. w przypadku Maxa Schremsa byłaby to Austria).
Problemem był jednak ten dodatkowy fanpage, tzn. wykorzystywany przez niego do celów zawodowych. Pojawiło się pytanie, czy to pozbawia go statusu konsumenta. Sprawa trafiła do Trybunału Sprawiedliwości UE, który po prostu stwierdził, że fakt założenia przez użytkownika Facebooka fanpage, na którym publikuje on swoje artykuły, książki czy też informuje o wystąpieniach, nie sprawia, że osoba traci status konsumenta. Innymi słowy, Max Schrems mógł pozwać Facebook Ireland również przed sądem w Austrii.
Wątek irlandzki
Jak pewnie zauważyliście, sporo razy pojawia się w tym tekście irlandzki organ ds. ochrony danych osobowych (taki irlandzki Prezes UODO). Wbrew pozorom to ważny element tej całej układanki. Sporo amerykańskich korporacji, takich jak Microsoft, Google czy Facebook ma spółki zależne właśnie w Irlandii (m.in. z uwagi na kwestie podatkowe i ogólną przyjazność Irlandii dla tego rodzaju biznesów). Tym samym wiele skarg dot. przetwarzania danych przez te podmioty trafia właśnie do irlandzkiego DPA (Data Protection Authority). I tam, zdaniem Maxa Schremsa, leżą one zdecydowanie zbyt długo.
Dodatkowo organ ten wykazuje się dość liberalnym podejściem do działalności tych międzynarodowych korporacji. Przez dwa lata w Irlandii nałożono tylko jedną karę w związku z nieprzestrzeganiem przepisów RODO. Mając to wszystko na uwadze, wiele osób zarzuca irlandzkiemu DPA, że sprzyja on korporacjom, przedkładając ich interesy gospodarcze i bezpieczeństwo prawne nad interes obywateli UE. Byłoby to zresztą korzystne dla budżetu Irlandii, bo wpływy z podatków pochodzących od tych korporacji są spore i drażnienie ich nie jest w interesie tego państwa.
Max Schrems na swoim blogu zarzucił m.in. irlandzkiemu DPA, że prowadził on sekretne konsultacje z Facebookiem i spotykał się z przedstawicielami tej korporacji po to aby wskazać im w jaki sposób mogą w miarę bezpiecznie obejść niektóre przepisy RODO, np. te dotyczące zgód na profilowanie. Możecie o tym przeczytać np. tutaj. Artykuł porusza też powolne procedowanie spraw przez irlandzkiego DPA.
Co będzie dalej?
Max Schrems raczej nie odpuści i dalej będzie prowadził swoją krucjatę mającą na celu ochronę prywatności obywateli UE. Nie sposób zresztą odmówić słuszności chociaż części z jego poglądów. Wystarczy poczytać sobie np. analizy publikowane przez fundację Panoptykon aby uświadomić sobie, że korporacje po prostu nie dzielą się z nami tymi informacjami w jaki sposób przetwarzają nasze dane – chociaż zgodnie z RODO powinny to robić.
Wyroki Trybunału Sprawiedliwości Unii Europejskiej, które dotyczą ochrony danych osobowych to bardzo ciekawe zagadnienie. Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
