101 skarg Maxa Schrems’a na przekazywanie danych do USA

Nie milkną echa wydanego niewiele ponad miesiąc temu orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (Schrems II).

17 sierpnia austriacki aktywista wraz z organizacją NOYB – European Center for Digital Rights (dalej: NOYB lub Organizacja), której jest współzałożycielem oraz honorowym przewodniczącym, poinformował o złożeniu skarg na 101 podmiotów z 30 państw członkowskich Unii Europejskiej (UE) i Europejskiego Obszaru Gospodarczego (EOG).  Jak tłumaczy Organizacja na swojej stronie internetowej:


Szybka analiza kodu źródłowego HTML głównych stron internetowych UE pokazuje, że wiele firm nadal korzysta z Google Analytics lub Facebook Connect miesiąc po wydaniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) ważnego wyroku – pomimo tego, że obie firmy wyraźnie podlegają amerykańskim przepisom dotyczącym nadzoru, takim jak FISA 702. Wydaje się, że ani Facebook, ani Google nie mają podstawy prawnej do przekazywania danych. Google nadal twierdzi, że opiera się na „tarczy prywatności” miesiąc po jej unieważnieniu, podczas gdy Facebook nadal korzysta z „SCC”, mimo że Trybunał stwierdził, że amerykańskie przepisy dotyczące nadzoru naruszają istotę praw podstawowych UE.


NOYB wzięło na celownik rozwiązania takie jak Google Analytics  służące do badania ruchu na stronach internetowych czy Facebook Connect, który pozwala na logowanie się do innych witryn internetowych przy wykorzystaniu facebookowego loginu i hasła. Systemy te przesyłają dane o obywatelach UE do Google i Facebooka, które następnie przekazują dane do USA, co – jak wskazuje Organizacja – jest sprzeczne z RODO w świetle orzeczenia TSUE z zeszłego miesiąca.

NOYB stoi na stanowisku, że administratorzy danych z UE/EOG nie mogą opierać przekazywania danych na standardowych klauzulach ochrony danych z art. 46 ust. 2 lit. c) i d) RODO, jeśli prawo państwa trzeciego nie zapewnia właściwej, w świetle prawa Unii, ochrony danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych. Nawiązują przy tym do orzeczenia TSUE, w którym ten wyraźnie stwierdził, że dalsze przekazywanie danych przedsiębiorstwom objętym amerykańską regulacją pozwalającą na śledzenie osób spoza Stanów Zjednoczonych przez agencje wywiadowcze nie tylko narusza odpowiednie artykuły w rozdziale piątym RODO, ale także art. 7 i 8 Karty praw podstawowych Unii Europejskiej. W opinii Organizacji  dalsze przekazywanie danych do Stanów Zjednoczonych narusza podstawowe prawo do prywatności i ochrony danych. Takie stanowisko wynika m.in. z braku uregulowania przewidującego dla osób, których dane dotyczą drogi prawnej w celu uzyskania dostępu do ich danych osobowych, ich sprostowania czy usunięcia takich danych. Zdaniem Organizacji takie przekazywanie narusza także prawo do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu (art. 47 Karty praw podstawowych Unii Europejskiej).

Organizacja stoi na stanowisku, że administratorzy danych, których działań dotyczą skargi ignorują punkty 134. i 135. wyroku, które zgodnie z jej oceną, nakładają na administratorów prawny obowiązek powstrzymania się od przekazywania danych do USA. Wydaje się jednak, że NOYB interpretuje orzeczenie TSUE niezwykle zasadniczo, gdyż Trybunał w pierwszej kolejności nakazał administratorowi danych lub podmiotowi przetwarzającemu sprawdzenie w każdym konkretnym przypadku czy prawo państwa trzeciego odbiorcy danych zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach. Dopiero w przypadku braku możliwości podjęcia dodatkowych środków, odpowiednich dla zagwarantowania takiej ochrony przez administratorów danych lub podmioty przetwarzające mające siedzibę w Unii, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego.

W związku z podniesionymi zarzutami, oprócz żądania nałożenia „skutecznej, proporcjonalnej i odstraszającej administracyjnej kary pieniężnej”, Organizacja wniosła również o niezwłoczne wprowadzenie zakazu lub zawieszenie wszelkich przepływów danych pomiędzy spółkami, których dotyczą skargi a Google lub/i Facebookiem oraz o nakazanie zwrotu takich danych do UE/EOG lub innego państwa, które zapewnia odpowiednią ochronę – na mocy art. 58 ust. 2 lit. d), f) i j) RODO. Urzeczywistniają się zatem obawy, że wyrok może nieść poważne konsekwencje organizacyjne i finansowe dla podmiotów mających siedziby w UE/EOG, które transferują dane do Stanów Zjednoczonych. Rynek z pewnością niecierpliwie będzie oczekiwał na wynik tych spraw.

Na wspomniane rozstrzygnięcie będą czekały również podmioty mające siedzibę w Polsce, gdyż 5 spośród 101 skarg zostało złożonych do Prezesa Urzędu Ochrony Danych Osobowych.

Pełna lista spółek, wobec których zostały złożone skargi, dostępna jest na stronie organizacji NOYB: https://noyb.eu/en/eu-us-transfers-complaint-overview

Źródła:

https://noyb.eu/en/ 101-complaints-eu-us-transfers-filed

https://eur-lex.europa.eu/ legal-content/PL/TXT/HTML/ ?uri=CELEX:32016R0679&from=PL

https://eur-lex.europa.eu/ legal-content/PL/TXT/PDF/ ?uri=CELEX:12012P/TXT

http://curia.europa.eu/ juris/document/document.jsf;jsessionid= 84EBE1FB9493102093ED96177D96078E? text=&docid=228677&pageIndex= 0&doclang=pl&mode=req&dir=&occ= first&part=1&cid=9753969

https://www.govinfo.gov/ content/pkg/USCODE-2014-title50/ html/USCODE-2014-title50-chap36-subchapVI-sec1881a.htm

Autor

Ewa Boboli

Prawnik, aplikantka przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zdobywała w warszawskich kancelariach prawnych oraz spółkach. Doradzała spółkom w zakresie prawa ochrony danych osobowych, e-commerce, sporządzała dokumentację wymaganą przepisami RODO oraz ustawy o świadczeniu usług drogą elektroniczną. Obecnie prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.