Artykuły

Czy program bezpiecznej przystani „Safe Harbor” będzie nieaktualny?

    •  Piotr Mikosik

Dnia 6 października 2015 roku Europejski Trybunał Sprawiedliwości wydał orzeczenie (sygn. akt C-362/14), w którym stwierdził, że decyzja Komisji Europejskiej z 2000 roku, wprowadzająca program „Bezpiecznej przystani", ang. „Safe Harbor”, jest nieważna.

Trybunał orzekł również, że krajowy organ sprawujący pieczę nad zgodnością z prawem przetwarzania danych osobowych ma prawo rozpatrzyć pozytywnie skargę obywatela, dotyczącą jego praw i wolności w odniesieniu do przetwarzania danych osobowych, nawet jeśli Komisja Europejska wydała uprzednio decyzję, że kraj, w którym przetwarzane są jego dane osobowe zapewnia odpowiedni poziom ich ochrony.

Czym jest Program „Bezpiecznej przystani"?

Program bezpiecznej przystani został stworzony z powodu gruntownych różnic pomiędzy systemem prawnymi Unii Europejskiej a systemem prawnym Stanów Zjednoczonych Ameryki, bowiem kraj ten nie może zostać uznany za gwarantujący odpowiedni poziom ochrony danych osobowych według europejskich standardów.

Niewypracowanie jakiegokolwiek kompromisu w tym zakresie drastycznie ograniczyłoby wymianę handlową pomiędzy Unią Europejską a Stanami Zjednoczonymi Ameryki. Z tego powodu Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską i rządem Szwajcarii Program „Safe Harbour”, który umożliwia amerykańskim podmiotom gospodarczym sprostanie wymaganiom Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Komisja Europejska w 2000 roku wydała odpowiednią decyzję, aby zatwierdzić niniejszy Program

W ramach programu „Bezpiecznej przystani", podmioty gospodarcze, które chcą przetwarzać dane osobowe, pozyskane na terenie Europejskiego Obszaru Gospodarczego, muszą uzyskać odpowiedni certyfikat od władz federalnych Stanów Zjednocznych, który zapewnia, że podmioty te gwarantują odpowiedni poziom ochrony danych osobowych, o którym mowa prawodawstwie unijnym.

Dlaczego doszło do tego orzeczenia?

Orzeczenie zapadło w trybie prejudycjalnym, które dotyczyło indywidualnej sprawy obywatela Austrii Maximiliana Schremsa z irlandzkim odpowiednikiem Generalnego Inspektora Ochrony Danych Osobowych (Data Protection Commissioner).

Austriacki prawnik i aktywista złożył skargę do Data Protection Commissioner, aby ten skorzystał ze swoich uprawnień i zakazał Facebook Ireland – spółki będącej podmiotem odpowiedzialnym na terenie Unii Europejskiej za funkcjonowanie portalu „Facebook”, przesyłania danych osobowych do Stanów Zjednoczonych Ameryki. Powołał się on na rewelacje Edwarda Snowdena, że niniejsze dane są przetwarzane przez służby ochrony bezpieczeństwa Stanów Zjednoczonych Ameryki, między innymi przez National Security Agency. Irlandzki Inspektor oddalił skargę Maximiliana Schremsa powołując się na Decyzję Komisji z 2000 roku, co skłoniło Austriaka do skierowania sprawy na drogę sądową.

Dlaczego Trybunał podważył Decyzję?

Trybunał podważył ważność Decyzji, ponieważ uznał, że możliwość nadawania przez władze federalne Stanów Zjednoczonych Ameryki odpowiednich certyfikatów jest niezgodna z Dyrektywą 95/46/WE.  Wskazał on, że amerykańskie władze nie są związane unijnym prawodawstwem, a program „Safe Harbour” dokładnie nie określa zasad przetwarzania niniejszych danych i nie zawiera tak naprawdę żadnych gwarancji dotyczących zakazu przetwarzania danych osobowych przez podmioty nieuprawnione.

Podniósł on również, że zarówno prawo, jak i praktyka w Stanach Zjednoczonych Ameryki pozwalają na gromadzenie i przetwarzanie na szeroką skalę danych osobowych obywateli Unii Europejskiej, którzy nie mają zapewnionej tam skutecznej ochrony prawnej. Wskazano także, że żaden niezależny organ nie jest w stanie kontrolować w Stanach Zjednoczonych Ameryki zasad przetwarzania danych osobowych przez podmioty publiczne, przede wszystkim przez amerykańskie służby specjalne.

Kogo przede wszystkim dotyczy orzeczenie i jakie będą jego skutki?

Orzeczenie najbardziej dotyczy podmiotów, które transferują dane osobowe obywateli Unii Europejskiej do podmiotów gospodarczych w Stanach Zjednoczonych. Będą one zmuszone do przemodelowania swojej polityki bezpieczeństwa informacji, a nawet w niektórych przypadkach całej działalności, aby przesyłanie danych osobowych w celu ich przetwarzania za ocean było zgodne z prawem Unii Europejskiej. 

Wyrok już może doprowadzić do tego, że Generalny Inspektor Ochrony Danych Osobowych oraz jego odpowiednicy w innych państwach Unii Europejskiej  będą mogli wydać decyzję zakazującą transferu danych osobowych przez konkretny podmiot gospodarczy do USA.

Teoretycznie może ziścić się „najczarniejszy” scenariusz, w którym to na pewien okres czasu, aby uniknąć naruszenia prawa, konieczne będzie zawieszenie transferu danych. Mogłoby to doprowadzić do okresowego zaprzestania funkcjonowania w obecnym kształcie portalu „Facebook”, bowiem bardzo wiele danych jest wysyłanych na serwery należące do Facebook Inc. znajdujące się w Stanach Zjednoczonych.  

 Do góry