Konsekwencje wyroku ws. Schrems II.

16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiejwydał wyrok w słynnej sprawie C-311/18– Schrems II. W wyroku tym stwierdził, że tzw. „Tarcza prywatności”, czyli decyzja będąca podstawą transferu danych osobowych między Unią Europejską a Stanami Zjednoczonymi, będąca wtedy główną podstawą przekazywania przez europejskie przedsiębiorstwa danych takim firmom, jak Google czy Facebook, nie zapewnia bezpiecznego przekazywania danych do USA.

Wyrok dotyczył sprawy Maximillana (Maxa) Schremsa, który twierdził – w sprawie skierowanej bezpośrednio przeciwko Facebook Inc. z siedzibą w Irlandii w zakresie, w jakim podmiot ten przekazywał dane osobowe użytkowników z UE do Stanów Zjednoczonych – że praktycznie nieograniczony dostęp służb specjalnych do danych w USA pozwala kwestionować zapewnianie przez USA ochrony danych osobowych na poziomie porównywalnym z ich ochroną gwarantowaną przez RODO. Przekazywanie danych pomiędzy Facebook Inc. z siedzibą w Irlandii a jej macierzystą jednostką w USA było możliwe właśnie na podstawie „Tarczy Prywatności”.

Tymczasem ogólnym założeniem RODO, zgodnie z jego art. 44, jest możliwość przekazywania danych osobowych poza Europejski Obszar Gospodarczy wyłącznie wówczas, gdy możliwe jest stosowanie odpowiedniego zabezpieczenia tych danych. Zabezpieczeniem takim mogło być oparcie się na decyzji Komisji UE, która po przeanalizowaniu przepisów danego kraju dotyczących ochrony danych osobowych, stwierdza, że są one zasadniczo równie dobre jak RODO. Decyzją taką była „Tarcza Prywatności”. Innymi sposobami zapewnienia bezpieczeństwa danych osobowych było korzystanie z tzw. Standardowych Klauzul Umownych UE, oparcie się na Wiążących Regułach Korporacyjnych (tylko w przypadku przekazywania danych wewnątrz grupy). Istnieją również możliwości odstępstw od ogólnej zasady, zgodnie z którą państwo odbiorcy musi posiadać odpowiedni poziom ochrony, w odstępstwach przewidzianych w art. 49 RODO.

101 skarg NOYB – w tym 5 w Polsce

Po wydaniu tego wyroku pojawiły się liczne wątpliwości co do możliwości i podstaw prawnych przekazywania danych osobowych do USA.

Fundacja NOYB – European Center for Digital Rights (od None of Your Business – „nie twój interes”) z siedzibą w Wiedniu, której honorowym przewodniczącym jest Max Schrems, po wydaniu wyroku przez TSUE skierowała 101 skarg do organów nadzorczych w różnych krajach UE dotyczących przekazywania danych osobowych do USA.

12 stycznia 2022 r. austriacki organ ochrony danych osobowych (Datenschitzbehorde, DSB) doręczył jako pierwszy częściową decyzję (TEILBESCHEID SPRUCH) wydaną w jednej z tych 101 spraw. Decyzja została wydana w sprawie prowadzonej przeciwko austriackiemu przedsiębiorcy prowadzącemu serwis internetowy w domenie .at (austriacka domena krajowa najwyższego poziomu) oraz przeciwko Google LLC z siedzibą w USA.

Standardowe klauzule umowne

W sprawie tej organ przeanalizował możliwość zastosowania przewidzianych przez RODO wyjątków, umożliwiających przekazywanie danych osobowych poza EOG i wskazał, że możliwości takiej nie zapewnia obecnie decyzja Komisji UE wydana na podstawie art. 45 RODO (ze względu na jej unieważnienie wyrokiem TSUE z 15 lipca 2020 r., o którym mowa powyżej). Organ podkreślił także, że zgodnie z wyrokiem TSUE, standardowe klauzule umowne, chociaż zasadniczo jako podstawa międzynarodowego przepływu danych nie budzą wątpliwości, nie mogą skutecznie wiązać organów państwa trzeciego. Istnieją zatem sytuacje, w których standardowe klauzule umowne nie będą mogły w praktyce zagwarantować skutecznej ochrony danych osobowych przekazywanych do takiego państwa trzeciego. Sytuacja taka wystąpi, gdy prawo takiego państwa trzeciego przewiduje, że dozwolona jest ingerencja organów w prawa osób, których dane dotyczą. Organ wskazał, że bardziej szczegółowa analiza sytuacji prawnej w USA (jako kraju trzecim) może zostać pominięta, ponieważ TSUE już się nią zajął i doszedł do wniosku, że decyzja o adekwatności UE-USA oparta na odpowiednim prawie USA irealizacji rządowych programów nadzoru nie gwarantuje odpowiedniego poziomu ochrony osób fizycznych. W ocenie organu jest rzeczą oczywistą, że Google LLC należy uznać za dostawcę usług łączności elektronicznej w rozumieniu przepisów USA i dlatego podlega inwigilacji przez służby wywiadowcze USA zgodnie z przepisami tam obowiązującymi (50 US Code § 1881a („FISA 702”)). W związku z tym Google LLC jest zobowiązany do przekazania władzom USA danych osobowych zgodnie, co też – jak wynika ze sprawozdania Google LLC w sprawie przejrzystości – czyni na regularnie kierowane do niego przez organy USA zapytania. W ocenie DSB, jeśli „Tarcza Prywatności została już uznana za nieważną z powodu sytuacji prawnej w USA, nie można zakładać, że samo skorzystanie ze standardowych klauzul umownych zagwarantuje odpowiedni poziom ochrony, o którym mowa w art. 44 RODO.

art. 46 RODO – odpowiednie zabezpieczenia

Rozpatrując zgłoszoną przez NOYB skargę, DSB pochylił się nad możliwością przekazywania danych osobowych do USA na podstawie art. 46 RODO. Przepis ten zakłada, że dane osobowe mogą być przekazane do państwa trzeciego wyłącznie, gdy zapewnione zostaną odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. W ocenie DSB, w rozpatrywanej przez organ sprawie, takie szczególne środki musiałby być powzięte przez Google LLC i musiałyby zapewniać wypełnienie luk w ochronie zidentyfikowanych w wyroku TSUE z 16 lipca 2020 r. Organ dostrzegł, że Google LLC podjął po wydaniu wyroku szereg dodatkowych środków ochrony danych osobowych, jednak stwierdził, że nie sposób ocenić, czy środki te istotnie zapewniają bezpieczeństwo przed dostępem służb wywiadowczych USA, tym bardziej, że w ocenie TSUE, zgodne z prawem Stanów Zjednoczonych wnioski tych służb nie są zgodne z podstawowym prawem do ochrony danych przewidzianym RODO. Sytuacji tej nie zmienia szyfrowanie danych, ponieważ zgodnie z prawem obowiązującym w USA, Google LLC jako importer danych ma obowiązek udostępnić dane na żądanie odpowiednich służb wywiadowczych USA, w tym wraz z kluczem, umożliwiającym odczytanie zaszyfrowanych danych.

Ponadto DSB uznał, że nie może przychylić się do argumentu, że przekazywanie danych osobowych do USA umożliwia anonimizacja IP użytkownika. Organ podkreślił, że identyfikator GoogleAnalytics jest zawsze połączony z innymi elementami, w tym z kontem Google użytkownika i na tej podstawie może być kojarzony. Anonimizacji adresu IP nie jest przy tym istotna,ponieważ w ocenie organu nie została prawidłowo wdrożona. Adres IP jest tylko jednym z wielu „elementów układanki” cyfrowego śladu użytkownika i skarżącego, stąd w ocenie DSB przekazanie danych nie zostało objęte zakresem art. 46 RODO.

Jednocześnie organ podkreśli, że w sprawie objętej postępowaniem, przepisy art. 49 RODO, przewidujące szczególne sytuacje, w których może dojść do przekazania danych osobowych poza EOG w sytuacji, w której żadna z innych podstaw takiego przekazania się nie stosuje, nie znajdują zastosowania.

Rozstrzygnięcie

W ocenie austriackiego organu ochrony danych osobowych, przekazywanie danych osobowych przez przedsiębiorcę prowadzącego stronę internetową do Google LLC nie gwarantowało odpowiedniego poziomu ochrony tych danych, a zatem stanowiło naruszenie art. 44 RODO. Jednocześnie DSB stwierdził, że wymogi dotyczące przekazywania danych poza EOG dotyczą eksportera danych – a zatem podmiotu przekazującego dane – nie zaś importera danych, czyli w tym wypadku Google LLC.

Wnioski

Argumentacja DSB sprowadza się do stwierdzenia, że obowiązujące w USA przepisy prawa uniemożliwiają zapewnienie odpowiednich środków ochrony danych osobowych przekazywanych do tego kraju. Ze względu na te przepisy właśnie, nie będą skuteczne żadne z przewidzianych RODO narzędzi, które w innych przypadkach mogą takie gwarancje dawać.

Analizując poszczególne podstawy przekazywania danych osobowych do państwa trzeciego, jakim są Stany Zjednoczone, DSB szczegółowo wyjaśnił, dlaczego podstawy takiej nie można doszukiwać się ani w Standardowych Klauzulach Umownych, ani w stosowaniu szczególnych zabezpieczeń, o których mowa w art. 46 RODO.

Z tych względów, w ocenie austriackiego organu ochrony danych osobowych, korzystanie z narzędzia w postaci Google Analytics, stanowi naruszenie RODO, za które odpowiedzialność ponosi podmiot przekazujący dane do USA – zatem podmiot korzystający z tego narzędzia.

Decyzja DSB może zostać zaskarżona do austriackiego sądu administracyjnego, jednak już samo jej wydanie może wpłynąć na praktykę korzystania z narzędzi udostępnianych przez amerykańskich gigantów technologicznych. O ile bowiem nie można stwierdzić, że każde przekazanie danych do USA zawsze będzie naruszało przepisy RODO, tak obrona korzystania z Google Analytics i Facebook Connect, będzie przynajmniej karkołomna z przyczyn wskazanych przez DSB.

Warto mieć tę decyzję i jej uzasadnienie w pamięci oczekując na rozstrzygnięcia pozostałych 100 skarg, w tym pięciu, które zostały złożone w Polsce i na których rozstrzygnięcie przez Prezesa Urzędu Ochrony Danych Osobowych wciąż oczekujemy.