Brak bezpieczeństwa przetwarzania danych w Stanach Zjednoczonych

Trybunał Sprawiedliwości Unii Europejskiej uznał, iż Stany Zjednoczone w sprawach ochrony danych osobowych, które są przekazywane z UE do USA, nie stosują się do zasady proporcjonalności, przyjętej przez Unię, poprzez złe przystosowanie programów nadzoru. Jest to wyraźny sygnał ostrzegawczy dla administratorów danych osobowych. Trybunał uznał, że stosowany w USA nadzór nad przetwarzaniem danych osobowych nie spełnia standardów UE w stosunku do osób nie posiadających obywatelstwa amerykańskiego. Wymogi stosowane przez władze amerykańskie nie przyznają osobom praw, które mogłyby być egzekwowane przed sądami.

Czy przekazywanie danych do USA jest bezpieczne?

Uznanie decyzji za nieważną, nie oznacza, że nie wolno przekazywać danych osobowych do USA. Nadal istnieje taka możliwość na podstawie art. 49 RODO, pod warunkiem, że:

  • osoba, której dotyczą dane, wyraziła zgodę, ale wcześniej została poinformowana o ryzyku w związku z przekazaniem danych,
  • przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem a osobą, której dotyczą dane,
  • przekazanie danych jest niezbędne do dochodzenia roszczeń,
  • lub przekazanie danych następuje na żądanie osoby, której dane dotyczą z powodu zawarcia w przyszłości umowy.

Nieważność decyzji 2016/1250

Orzeczenie TSUE jest efektem wniesienia przez Maxymilliana Schrems skargi do irlandzkiego organu nadzorczego, z żądaniem by zakazano przekazywania przez Facebook Ireland danych osobowych użytkowników portalu z Unii Europejskiej na serwery należące do Facebook Inc., które znajdują się w Stanach Zjednoczonych. Skarżący wniósł, że Stany Zjednoczone nie chronią w odpowiedni sposób danych użytkowników przed władzą publiczną. Skarga została odrzucona przez Komisję Europejską (KE – decyzja 2000/520). Następnie irlandzki sąd skierował pytanie prejudycjalne do TSUE. Trybunał orzekł nieważność ww. decyzji Komisji (wyrok Schrems I). W związku z tym Schrems zmienił treść skargi i zażądał zawieszenia lub zakazania przesyłania jego danych osobowych do Stanów Zjednoczonych. To czy skarga została dla Schremsa pozytywnie rozpatrzona, zależało od ważności decyzji 2010/87. Dlatego też irlandzki organ nadzorczy wszczął postępowanie przed sądem, aby przedłożyć TSUE wniosek o wydanie orzeczenia w trybie prejudycjalnym.

Komisja przyjęła decyzję 2016/1250 w sprawie adekwatności ochrony zapewnianej przez RODO oraz Tarczę Prywatności w stosunku do regulacji stosowanych przez USA. Trybunał powziął wątpliwość w sprawie ważności decyzji 2010/87 oraz 2016/1250. Trybunał stwierdził ważność decyzji 2010/87 w odniesieniu do Kart Praw Podstawowych Unii, jednak co do decyzji 2016/1250 – uznał ją za nieważną.

Decyzja 2016/1250 została uznana przez Trybunał za decyzję, która stawia na pierwszym miejscu bezpieczeństwo narodowe, interes publiczny oraz przestrzeganie ustawodawstwa amerykańskiego, co spowodowało ingerencję w prawa podstawowe osób, których dane były przekazywane.

 

młodszy prawnik Patrycja Jabłońska
adwokat Mateusz Grosicki