Polityka i prawo
TSUE: Tarcza prywatności UE-USA nie zapewnia wystarczającej ochrony
Decyzja Komisji Europejskiej o tym, że Tarcza Prywatności UE-USA zapewnia wystarczająca ochronę danych osobowych unijnych internautów, korzystających np. z Facebooka, jest nieważna - zawyrokował w czwartek Trybunał Sprawiedliwości UE.
Trybunał Sprawiedliwości UE orzekł w czwartek, że wbrew wcześniejszej decyzji Komisji Europejskiej Tarcza Prywatności UE-USA nie zapewnia adekwatnej ochrony danych osobowych mieszkańców Unii Europejskiej.
Chodzi o sprawę wniesioną przez Austriaka, Maximilliana Schremsa, który od 2008 r. korzysta z Facebooka. Tak jak w przypadku innych obywateli UE, dane osobowe Schremsa są w całości lub części przekazywane przez działającą w Irlandii spółkę Facebook Ireland na serwery koncernu w USA, gdzie dane użytkowników są przetwarzane. Schrems uznał jednak, że USA nie zapewniają wystarczającej ochrony danych, do których wgląd mogą mieć amerykańskie władze i wniósł skargę do irlandzkiego urzędu ochrony danych razem z żądaniem zakazu przekazywania danych.
Zgodnie z unijnymi przepisami o ochronie danych (RODO) przekazywanie danych do państwa trzeciego może mieć miejsce co do zasady tylko wtedy, gdy dane państwo trzecie zapewnia odpowiedni stopień ochrony tych danych. Na podstawie rozporządzenia Komisja może stwierdzić czy dany kraj zapewnia, dzięki swoim przepisom krajowym lub umowom międzynarodowym, taką ochronę. Jeśli tak nie jest, dane mogą być przekazane jedynie w sytuacji, jeśli firma je przekazująca i mająca siedzibę w UE sama zapewni odpowiednie zabezpieczenia. RODO zresztą określa w szczegółowy sposób warunki, w jakich takie przekazanie może mieć miejsce.
Pierwotnie skarga Schremsa została oddalona, jako że Komisja Europejska stwierdziła, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych użytkowników z UE. Irlandzki urząd wezwał więc Austriaka do przeformułowania skargi. W nowej, Schrems utrzymuje zarzut, że USA nie zapewniają wystarczającej ochrony danych osobowych i żąda zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych. Sprawa trafiła do High Court, który wystosował pytania prejudycjalne do TSUE.
W międzyczasie Komisja Europejska przyjęła kolejną decyzję stwierdzającą, że Tarcza Prywatności UE-USA zapewnia adekwatną ochronę danych unijnych obywateli.
W wydanym w czwartek wyroku TSUE uznał, że prawo Unii oraz zapisy RODO są wiążące jeśli chodzi o przekazywanie danych osobowych mieszkańców UE w celach komercyjnych do państw trzecich. Trybunał podkreślił jednak, że zgodnie z RODO osoby, których dane osobowe są przekazywane za granicę, muszą korzystać z takiego samego stopnia ochrony, jaki gwarantowany jest w Unii. Jeśli natomiast państwa trzecie nie są w stanie zapewnić wystarczającej ochrony, przekazywanie danych może zostać zawieszone lub zakazane.
TSUE ocenił również decyzję KE co do adekwatności ochrony zapewnianej przez Tarczę Prywatności w kontekście przepisów o RODO i zauważył, że ustanawia ona pierwszeństwo bezpieczeństwa narodowego, interesu publicznego i ustawodawstwa USA nad ochroną danych unijnych użytkowników. W praktyce oznacza to, że jeśli amerykańskie służby uznają, że któryś z tych elementów jest zagrożony, mogą złamać prywatność osób, których dane są przekazywane do USA. Zdaniem TSUE jest to sprzeczne z prawem UE. Trybunał orzekł, wiec, że wbrew temu, co przyjęła Komisja Europejska, Tarcza Prywatności nie zapewnia adekwatnej ochrony danych Europejczyków i stwierdził nieważność tej decyzji.
