O co chodzi w sprawach Schrems 1.0 i 2.0

Głośna w ostatnim czasie sprawa Schrems w wydaniu 2.0 dotyczy oceny zgodności z prawem UE standardowych klauzul ochrony danych osobowych przyjętych przez Komisję Europejską w kilku decyzjach. Klauzule te stanowią w praktyce najczęściej wykorzystywany instrument transferowy, pozwalając przedsiębiorcom na stosunkowo nieskrępowane przekazywanie danych osobowych poza Europejski Obszar Gospodarczy, przy jednoczesnym zapewnieniu niezbędnej ochrony głównym zainteresowanym – obywatelom UE.

Sama sprawa stanowi kontynuację głośnej sprawy zapoczątkowanej przez Maximiliana Schremsa, która jesienią 2015 roku doprowadziła do „zatopienia” programu Bezpiecznej Przystani, który pozwalał na przekazywanie danych do firm amerykańskich. Jest ona pokłosiem rewelacji ujawnionych w 2013 roku przez Edwarda Snowdena, który wskazywał na praktyki amerykańskich służb specjalnych związane z dostępem do danych Europejczyków, przetwarzanych przez amerykańskich gigantów technologicznych, takich jak Google czy Facebook.

Pytania o decyzje Komisji i nie tylko

W skierowanych do Trybunału pytaniach, jedno z nich (pytanie nr 11, ostatnie na przydługiej nieco liście) dotyczy zgodności z Kartą Praw Podstawowych UE trzech obowiązujących aktualnie decyzji Komisji wprowadzających modelowe klauzule: z których dwie odnoszą się do transferów pomiędzy administratorami danych, jedna zaś do operacji przekazywania danych procesorowi z państwa trzeciego. Na podstawie klauzul stanowiących załącznik do ostatniej z tych decyzji (decyzja Komisji nr 2010/87/UE) dochodzi obecnie do przekazywania danych osobowych przez Facebook Ireland (unijnego administratora danych użytkowników serwisu społecznościowego) do amerykańskiej spółki – Facebook, Inc. (procesora danych z państwa trzeciego, tj. z USA).

Inne z pytań dotyczą kwestii powiązanych, o równie istotnym znaczeniu dla unijnej regulacji transferowej. Dla przykładu, pytanie nr 1 koncentruje się na kwestii związanej ze stosowaniem w tym skomplikowanym stanie faktycznym i prawnym prawa unijnego: z jednej bowiem strony nie budzi większych wątpliwości, że operacje transferowe pomiędzy Facebook Ireland a Facebook, Inc. mają charakter komercyjny (tym samym podlegają pod przepisy traktatów unijnych oraz dyrektywy 95/46, a obecnie pod RODO); z drugiej strony transferowane w ten sposób do USA dane mogą być wykorzystywane przez organy publiczne z państwa trzeciego w celach związanych z bezpieczeństwem narodowym, np. ze zwalczeniem terroryzmu – sfera ta zaś nie wchodzi w zakres prawa unijnego, w tym dyrektywy 95/46 oraz RODO.

Kilka pytań koncentruje się na zgodności prawa amerykańskiego (określonych, funkcjonujących tam rozwiązań) z Kartą Praw Podstawowych, m.in. z jej art. 47 oraz art. 52. Sąd irlandzki, formułujący pytania, nie powstrzymał się również przed dodaniem do listy pytania o zgodność z prawem unijnym programu Tarcza Prywatności, który zastąpił Bezpieczną Przystań. Stało się to pomimo, że Facebook nie korzysta z tego instrumentu transferowego, sam Maximilian Schrems również nie podnosił w swej skardze tej kwestii. Zabieg ten może mieć jednak niezwykle istotne skutki praktyczne: ryzyko unieważnienia Tarczy Prywatności staje się bowiem dużo bardziej realne, biorąc dodatkowo pod uwagę krytykę, jaka napłynęła w ostatnim czasie pod jej imieniem ze strony Parlamentu Europejskiego.

Pytanie o „fundamenty” unijnej regulacji transferowej

Na tym tle, pytanie nr 7 wydaje się być najcięższego kalibru, a ewentualne skutki związane z odpowiedzią na nie przez Trybunał mogą sięgać najdalej. Warto przytoczyć je w całości: „Czy okoliczność, że standardowe klauzule umowne znajdują zastosowanie pomiędzy eksporterem danych a importerem danych, i nie wiążą one organów publicznych z państwa trzeciego, które to organy mogą wymagać ze względów bezpieczeństwa od importera danych udostępnienia danych wytransferowanych w oparciu o klauzule przyjęte w Decyzjach Komisji, wyłącza możliwość uznania, że klauzule te zapewniają odpowiednie zabezpieczenia, o których mowa w art. 26 ust. 2 Dyrektywy [95/46/WE].”

Pomimo odniesienia w pytaniu do nieobowiązującej już dyrektywy z 1995 roku, odpowiedź na nie będzie oddziaływała również na podejście do rozwiązań przyjętych w RODO. Art. 46 RODO również przewiduje bowiem możliwość transferowania danych w oparciu o „odpowiednie zabezpieczenia”, wśród których są m.in. modelowe klauzule, określane w RODO mianem „standardowych klauzul ochrony danych”.

Więcej nawet: o ile pozostałe pytania, w szczególności pytanie nr 11, dotyczą konkretnych decyzji Komisji, które – nawet zakładając, iż Trybunał stwierdzi ich nieważność – można w jakiś sposób „poprawić”, np. przyjmując kolejny pakiet tego rodzaju decyzji, spełniający już oczekiwania Trybunału, o tyle znaczenie odpowiedzi na pytanie nr 7 może być o wiele istotniejsze. Pytanie to nie tyle dotyczy bowiem konkretnych decyzji Komisji, lecz klauzul modelowych, jako takich.

W pytaniu tym, niczym w soczewce, koncentruje się swoisty konflikt, z jakim mamy do czynienia w kontekście regulacji dotyczącej międzynarodowych transferów danych, pomiędzy: z jednej strony tzw. podejściem terytorialnym oraz – z drugiej strony – tzw. podejściem organizacyjnym. Pierwsze z nich zakłada dopuszczalność przekazywania danych poza bezpieczny obszar ich przetwarzania (tj. poza EOG) przy założeniu, że w państwie docelowym obowiązują określone rozwiązania chroniące dane osobowe na odpowiednim poziomie (w tym regulujące zasady dostępu i wykorzystania danych przez organy publiczne). Drugie koncentruje się na określonych instrumentach wiążących eksporterów i importerów danych (organizacje, stąd nazwa), do których należą umowy transferowe, w tym te oparte o rozwiązania modelowe. Te zaś, niejako ze swej istoty, nie wiążącą podmiotów, które nie są ich stroną (np. stroną umowy transferowej), a w szczególności nie odnoszą się one do organów publicznych.

Ewentualne uznanie, że klauzule modelowe zapewniają „odpowiednie zabezpieczenia” wyłącznie przy założeniu, że wiążą one również organy publiczne z państw trzecich, podważałoby konstrukcję tych klauzul, a co więcej – osłabiałoby istotnie podejście organizacyjne i inne właściwe dla niego instrumenty transferowe, takie jak np. wiąż��ce reguły korporacyjne czy kodeksy postępowania.