TSUE: przetwarzanie danych w USA jest niezgodne z RODO

Z chwilą wydania decyzji TSUE każda operacja transgranicznego przetwarzania danych do USA jest niezgodna z przepisami RODO. Dotyczy to zarówno użytkowników największych portali społecznościowych, których właścicielem są amerykańskie korporacje, a także firm przetwarzających dane klientów np. w chmurach AWS. Transgraniczne przetwarzanie danych osobowych do podmiotów mających siedzibę w USA jest zagrożone.

Niespełna pół miesiąca temu Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał ważny wyrok w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems. TSUE stwierdził nieważność decyzji Komisji Europejskiej w sprawie Tarczy Prywatności, skutkiem czego USA uznane zostało za państwo niegwarantujące standardu równoważnego dla unijnego rozporządzenia o ochronie danych osobowych (RODO). Wyrok ten ma istotne znaczenie dla ochrony danych osobowych w UE, ponieważ rozstrzyga o zgodności z przepisami RODO transgranicznego przekazywania danych osobowych do Stanów Zjednoczonych przez administratorów posiadających siedzibę w Unii Europejskiej.

Jakie są najważniejsze tezy wyroku TSUE i jego konsekwencje dla operacji transgranicznego przetwarzania danych osobowych w USA?

Tło wydania wyroku

Obecny wyrok TSUE to pokłosie tzw. sprawy Schremsa. Maximillian Schrems, to zamieszkały w Austrii użytkownik Facebook, który swoje konto społecznościowe założył w tym portalu w 2008 r. Od wszystkich osób mieszkających na terytorium Unii Europejskiej, które chcą używać Facebooka wymagane jest zawarcie w chwili rejestracji umowy ze spółką Facebook Ireland, będącą spółką zależną spółki dominującej Facebook Inc. z siedzibę w Stanach Zjednoczonych. Dane osobowe użytkowników Facebooka mieszkających na terytorium Unii są, w całości lub częściowo, przekazywane na serwery spółki Facebook Inc., położone na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane.

25 czerwca 2013 r. Schrems wniósł do Irlandzkiego organu nadzorczego skargę, w której zwrócił się zasadniczo o zakazanie spółce Facebook Ireland przekazywania jego danych osobowych do Stanów Zjednoczonych. W skardze podniósł on, że prawo i praktyka obowiązujące w tym państwie nie zapewniają wystarczającej ochrony. Skarga ta została oddalona w szczególności ze względu na to, że Komisja Europejska w decyzji 2000/520 stwierdziła, że Stany Zjednoczone zapewniają, iż amerykańskie korporacje uczestniczące w ramach programu Safe Harbour zapewniają odpowiedni stopień ochrony. Schrems zaskarżył to rozstrzygnięcie.

Irlandzki Wysoki Trybunał, przed którym M. Schrems zaskarżył oddalenie jego skargi, zwrócił się do TSUE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie wykładni i ważności decyzji 2000/520.

Przyczyną wątpliwości sądu irlandzkiego są przepisy obowiązujące w USA, w szczególności sekcji 702 ustawy o kontroli obcego wywiadu (Foreign Intelligence Survilence Act), które nakładają na spółki amerykańskie – a więc również Facebook Inc. – obowiązek udostępnienia władzom amerykańskim, takim jak Amerykańska Agencja Bezpieczeństwa (National Security Agency – NSA) i Federalne Biuro Śledcze (FBI), przekazanych tej spółce danych osobowych. Ponadto amerykański Prokurator Generalny i dyrektor państwowych służb wywiadu (DNI) uprawieni są do tworzenia i wykonywania programów, w celu pozyskiwania „zagranicznych informacji wywiadowczych”. W ramach tych uprawnień, przedsiębiorstwa telekomunikacyjne korzystające z „infrastruktury szkieletowej” internetu – czyli sieci kabli, przełączników sieciowych i routerów – są zobowiązane umożliwić NSA kopiowanie i filtrowanie internetowego ruchu danych w komunikacji oraz dotyczących osób niebędących obywatelami amerykańskimi.

Rozstrzygnięcie Trybunału

W obecnej ocenie TSUE obywatele państw UE nie mają w USA dostępu do tych samych sądowych środków prawnych, którymi mogą posłużyć się obywatele amerykańscy w obronie przeciwko przetwarzaniu danych osobowych przez władze amerykańskie, ponieważ czwarta poprawka do konstytucji Stanów Zjednoczonych, będąca najważniejszym środkiem ochrony, nie znajduje zastosowania w przypadku obywateli Unii.

Pomimo tego stanu rzeczy, Stany Zjednoczone zostały wcześniej uznane przez Komisję w decyzji określanej Tarczą Prywatności, za państwo zapewniające odpowiedni standard ochrony danych osobowych. Jako swoistą rekompensatę braku równoważnych środków ochrony przysługujących w Europie, Komisja uznała utworzenie urzędu niezależnego Rzecznika ds. Tarczy Prywatności, który miał realizować zadania ochrony praw osób trzecich spoza USA. Jednakże, w ocenie Trybunału Rzecznik ten nie spełnia wymogów nałożonych w decyzji, tj. nie posiada cech organu niezależnego ponieważ jest bezpośrednio włączony w aparat władzy wykonawczej.

W swoim orzeczeniu TSUE stwierdził nieważność decyzji Tarcza Prywatności. Skutkiem tego, począwszy od dnia 16 lipca 2020 r. Stany Zjednoczone nie są już w świetle prawa unijnego państwem zapewniającym odpowiedni stopień ochrony. Tym samym wszelkie operacje przetwarzania danych, dokonywane dotychczas w oparciu o uchyloną decyzję są sprzeczne z przepisami RODO.

Skutki uchylenia decyzji

Orzeczenie w sprawie Schrems II wywołuje skutki prawne zarówno dla osób fizycznych przebywających na terytorium Unii Europejskiej, jak i dla spółek i innych organizacji prawnych z siedzibą w UE. Uchylenie podstawy legalizującej transfer danych osobowych do USA niesie za sobą wymóg poszukiwania innej podstawy takiego przetwarzania. Tym samym, z chwilą wydania decyzji TSUE każda operacja transgranicznego przetwarzania danych do USA jest niezgodna z przepisami RODO. Dotyczy to zarówno użytkowników największych portali społecznościowych, których właścicielem są amerykańskie korporacje, a także firm przetwarzających dane klientów np. w chmurach AWS.

Obecnie więc administrator danych lub podmiot przetwarzający mogą przekazywać dane osobowe do państwa trzeciego jedynie wówczas, gdy ustanowiono zostanie odpowiednie zabezpieczenie w drodze odpowiednich klauzul umownych. W szczególności strony mogą posłużyć się standardowymi klauzulami ochrony przyjętymi przez Komisję Europejską. Przepisy wymagają by zabezpieczenie zapewniało skuteczne środki ochrony prawnej dla osób, których dane osobowe są przekazywane do państwa trzeciego w stopniu równoważnym temu gwarantowanemu w Unii. Co to oznacza w praktyce?

Orzeczenie w sprawie Schrems II wywołuje skutki prawne zarówno dla osób fizycznych przebywających na terytorium Unii Europejskiej, jak i dla spółek i innych organizacji prawnych z siedzibą w UE. Uchylenie podstawy legalizującej transfer danych osobowych do USA niesie za sobą wymóg poszukiwania innej podstawy takiego przetwarzania. Tym samym, z chwilą wydania decyzji TSUE każda operacja transgranicznego przetwarzania danych do USA jest niezgodna z przepisami RODO. Dotyczy to zarówno użytkowników największych portali społecznościowych, których właścicielem są amerykańskie korporacje, a także firm przetwarzających dane klientów np. w chmurach AWS.

Niemniej jednak standardowe klauzule ochronne wydawane przez Komisję Europejską nie analizują przepisów prawa poszczególnych państw trzecich, z uwagi na ich ogólność. Ponadto obligacyjny stosunek łączy wyłącznie administratora i procesora. Zastosowanie standardowych klauzul nie wpływa na przepisy prawa państwa, które godzą w zasady transferu danych wyznaczone przez prawo UE, m.in. ochrony bezpieczeństwa i kompetencji organów władzy do dokonywania operacji nieograniczonych czynności przetwarzania.

Z tego powodu dyrektywa w sprawie standardowych klauzul ochrony nakłada na administratorów obowiązek weryfikowania, czy prawo państwa trzeciego zapewnia należyty standard ochrony. Wobec jej braku administrator powinien zaprzestać operacji transgranicznego przetwarzania i rozwiązać umowę. W przeciwnym wypadku, takie operacje przetwarzania są niezgodne z przepisami RODO, co niesie dla niego określone przepisami konsekwencje. Ponadto właściwy krajowy organ nadzoru, a więc np. w naszym przypadku Urząd Ochrony Danych Osobowych, uprawniony jest do orzeczenia zakazu przekazywania danych w sytuacji, gdy pomimo zapewnienia środków zabezpieczających w postaci klauzul umownych nie jest możliwe zagwarantowania standardu ochrony UE, przez wzgląd na treść prawa państwa trzeciego.

W najnowszym oświadczeniu Europejskiej Rady Ochrony Danych Osobowych (EROD) z 17 lipca 2020 r. jednoznacznie stwierdzono, że organ przyjął do wiadomości obowiązki właściwych organów nadzorczych w zakresie zawieszenia lub zakazu przekazywania danych do państwa trzeciego na podstawie zawartych standardowych klauzul umownych.
Jeżeli więc – w opinii właściwego organu nadzorczego i w świetle wszystkich okoliczności towarzyszących temu przekazania – klauzule te nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrony przekazywanych danych nie można zapewnić w inny sposób, UODO może zawiesić lub zakazać przekazywania danych. EROD zobowiązał się do dokonania bardziej szczegółowej oceny wyroku, wyjaśnienia go zainteresowanym stronom oraz stworzenia wytycznych odnośnie wykorzystania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem. Celem jest zapewnienie, zgodnie ze stwierdzeniem TSUE, spójności w całym Europejskim Obszarze Gospodarczym.

Obecna sytuacja jest ogromnym wyzwaniem zarówno dla Unii Europejskiej, jak i największych korporacji amerykańskich. Stwierdzenie nieważności decyzji o odpowiednim stopniu ochrony przez Tarczę Prywatności stwarza poważną lukę prawną. Pewne wątpliwości może wywoływać stanowczość TSUE, w którego ocenie całokształt uprawnień władz amerykańskich uniemożliwia zapewnienia odpowiedniego standardu ochrony na podstawie obligacyjnych obowiązków administratora i podmiotu przetwarzającego z siedzibą w państwie trzecim.

Zadania administratorów przetwarzających dane do USA

Każdy z administratorów przetwarzających dane osobowe do USA jest obowiązany sprawdzić czy dostawca usługi łączności podlega FISA 702. W przypadku odpowiedzi pozytywnej nie będzie możliwe transferowanie danych do USA.

Definicja „dostawcy usług łączności elektronicznej” jest zawarta w 50 USC § 1881 (b) (4). Przepis ten wymienia m.in. dostawców zdalnych usług informatycznych, usług łączności elektronicznej, operatorów telekomunikacyjnych, inny dostawców usług komunikacyjnych, którzy ma dostęp do komunikacji przewodowej lub elektronicznej w momencie ich przesyłania lub przechowywania oraz jakikolwiek urzędników, pracowników lub agentów/pośredników takiego podmiotu.

Jak widać przywołana definicja jest bardzo szeroka, stąd w praktyce może się okazać, że faktycznie transfer danych do USA jest zagrożony.

Najprostszym sposobem uzyskania informacji, czy podmiot z siedzibą w USA, któremu dane są udostępniane, podlega regulacji FISA 702, jest bezpośrednie zwrócenie się do zainteresowanego z odpowiednim kwestionariuszem. Takie zachowanie powinno być zakwalifikowane jako podjęcie niezbędnych i natychmiastowych działań, w celu dostosowania operacji przetwarzania danych do USA zgodnie z RODO. To zabezpiecza przed sankcjami administracyjnymi ze strony krajowego organu ochrony danych.

Obecnie nie istnieje pełna lista podmiotów przetwarzających, którzy podlegają w USA regulacji FISA 702, niemniej jednak większość dużych spółek tworzy tzw. Raporty przejrzystości, w których wprost wskazuje na objęcie ich tą regulacją. Dotyczy to między innymi spółek: AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (dawniej Oath & Yahoo), Verizon.

Dopuszczalność stosowania innych podstaw przetwarzania (art. 49 RODO)

Jak wskazuje w raporcie EDPB (Grupa Robocza, art. 29) „Wytyczne 2/2018 w sprawie wyjątków określonych w art. 49 rozporządzenia 2016/679”, przyjętego dnia 25 maja 2018 r., w związku z tym, że wyjątki na mocy art. 49 stanowią odstępstwa od ogólnej zasady, to dokonując ich interpretacji w zgodzie z zasadami właściwymi dla wykładni prawa europejskiego, należy je interpretować tak, aby wyjątki te nie stawały się regułą . Znajduje to potwierdzenie w brzmieniu tytułu art. 49 tj. „wyjątki w szczególnych sytuacjach”. Dlatego też przetwarzanie danych, w oparciu o tę podstawę powinno mieć charakter sporadyczny i niepowtarzalny.

Podmioty przekazujące dane powinny zdawać sobie sprawę, że w razie braku decyzji stwierdzającej odpowiedni stopień ochrony prawo Unii lub prawo państwa członkowskiego może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych osobowych do państwa trzeciego lub organizacji międzynarodowej (art. 49 ust. 5).

Europejska Rada Ochrony Danych wskazuje, że przepisy RODO dla uzasadnienia dopuszczalności wyjątkowości takiego transferu posługują się terminem „sporadyczne” w motywie 111 RODO, a także określeniem „nie jest powtarzalne” w art. 49 ust. 1 akapit drugi. Wyrażenia te sugerują, że takie czynności mogą co prawda mieć miejsce więcej niż jeden raz, ale nie regularnie, a ich przeprowadzenie wykracza poza regularne działania, na przykład następują w losowych, nieznanych okolicznościach i w uznaniowych odstępach czasu. Dla przykładu przekazywanie danych, które odbywa się regularnie w ramach stałej relacji między podmiotem przekazującym dane a pewnym podmiotem odbierającym dane, można w zasadzie uznać za systematyczne i powtarzalne, w związku z czym nie można stwierdzić, że jest sporadyczne lub niepowtarzające się. Ponadto na przykład przekazanie nie zostanie zwykle uznane za sporadyczne lub powtarzające się, jeżeli podmiotowi odbierającemu dane przyznano bezpośredni dostęp do bazy danych (np. za pośrednictwem interfejsu do programu komputerowego) na zasadach ogólnych.

Jak podkreśla w swoim raporcie Grupa Robocza art. 29 nawet te wyjątki, które nie zostały wyraźnie ograniczone do „sporadycznych” lub „niepowtarzających się” przekazań, należy interpretować w sposób, który nie jest sprzeczny z charakterem wyjątków jako odstępstw od zasady, zgodnie z którą danych osobowych nie można przekazać do państwa trzeciego, chyba że państwo to zapewni właściwy stopień ochrony danych lub pod warunkiem że zostaną wprowadzone odpowiednie zabezpieczenia.

Wbrew niektórym twierdzeniom outsourcing operacji przetwarzania nie jest „konieczny” w celu realizacji umowy, jeśli teoretycznie można by również skorzystać z usług dostawcy z UE / EOG lub przetwarzać dane wewnętrznie. Administratorzy powinni mieć również na uwadze, że osoby, których dane dotyczą, mogą w każdej chwili wycofać swoją zgodę.

Zagrożenie interesów Doliny Krzemowej?

Amerykański program PPD-28 umożliwia „hurtowe” gromadzenie dużego wolumenu informacji lub danych w sytuacji, nawet gdy organy wywiadu USA nie prowadzą identyfikacji w celu związanym z namierzeniem konkretnej osoby. Należy podkreślić, że NSA ma również dostęp do danych, które są „w tranzycie” w kierunku terytorium Stanów Zjednoczonych poprzez dostęp do podwodnych kabli spoczywających na dnie Oceanu Atlantyckiego.

Inne państwa trzecie

Same Stany Zjednoczone zgłaszają szereg wątpliwości dotyczące przetwarzania danych osobowych obywateli amerykańskich w Chinach, podczas korzystania z chińskich rozwiązań i usług technologicznych, jak Huawei czy TikTok. Przepisy chińskie dają tożsame nieograniczone kompetencje dla władz tego komunistycznego państwa do przetwarzania danych, bez zabezpieczenia interesów osób, których dane są przetwarzane.

W dniu 7 lipca Wysoki Przedstawiciel UE do spraw zagranicznych i polityki bezpieczeństwa – Josep Borrell w swoim wystąpieniu podkreślił, że wymiana danych między UE a Chinami może odbywać się tylko w pełnej zgodności z RODO. Celem ochrony interesów państw członkowskich, Unia Europejska nadal będzie koncentrować się na utrzymaniu zrównoważonych stosunków handlowych, oraz wzmocnienia pozycji UE w kontaktach z Chinami. Ponadto Unia dąży do poprawy własnego potencjału, w tym poprzez ustanowienie ram w celu monitorowania bezpośrednich inwestycji zagranicznych unowocześnienie kontroli eksportu towarów podwójnego zastosowania, oraz wzmocnienie bezpieczeństwa infrastruktury krytycznej i bazy technologicznej, zwłaszcza w celu przeciwdziałania zagrożeniom dla bezpieczeństwa związanego z wdrożeniem 5G. Przy dokonywaniu operacji transgranicznego przetwarzania administrator obowiązany jest do weryfikacji zgodności tej operacji z przepisami unijnymi.

Unia na rozdrożu ochrony danych osobowych?

Rozstrzygnięcie TSUE otwiera nowy rozdział dyskusji na temat operacji transgranicznego przetwarzania danych w oparciu o przepisy RODO. Orzeczenie w sprawie Schrems II wymaga podjęcia przez Państwa członkowskie odpowiednich środków zaradczych odnoszących się do powstałego impasu. W obecnym stanie prawnym zaistniałym po dniu 16 lipca, to na administratorze oraz podmiocie, któremu dane są udostępniane a mającym siedzibę w USA, ciąży obowiązek ułożenia wzajemnych relacji gwarantujących zgodność tych operacji z prawem europejskim.

Nie oznacza to jednak, ze to tylko problem firm amerykańskich czy ich europejskich klientów. UE będzie musiała zaproponować również wyjście z sytuacji.
Biorąc pod uwagę rosnącą liczbę danych udostępnianych przez Europejczyków amerykańskim dostawcom usług chmurowych czy usług związanych z scyfryzowanymi produktami albo choćby z dostępem do portali społecznościowych, trudno sobie wyobrazić realnie działający zakaz dostępu, choćby z uwagi na brak alternatywnych rozwiązań oferowanych na rynku europejskim.

Klaudia Raczek – ORCID: 0000-0001-7369-462X. Autorka jest prawnikiem, zajmuje się także pracą naukową.