Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym podważył decyzję Komisji Europejskiej mówiącą o tym, że Tarcza Prywatności zapewnia wystarczająca ochronę danych osobowych przesyłanych z Unii Europejskiej do Stanów Zjednoczonych.

Decyzja Trybunału Sprawiedliwości Unii Europejskiej (TSUE) jest niewątpliwym sukcesem austriackiego aktywisty Maximiliana Schremsa, który złożył skargę dotyczą tego, że Stany Zjednoczone nie zapewniają wystarczającej ochrony danych osobowych i żądał zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych.

Trybunał Sprawiedliwości UE (TSUE) ocenił, że Tarcza Prywatności, wbrew decyzji jaką wydała Komisja Europejska, nie zapewnia ochrony prywatności obywateli. TSUE zwrócił uwagę, że Tarcza Prywatności ustanawia pierwszeństwo bezpieczeństwa narodowego, interesu publicznego i ustawodawstwa USA nad ochroną danych unijnych użytkowników. W praktyce oznacza to, że jeśli amerykańskie służby uznają, że któryś z tych elementów jest zagrożony, mogą złamać prywatność osób, których dane są przekazywane do USA. Zdaniem TSUE jest to sprzeczne z prawem UE. Trybunał orzekł, wiec, że wbrew temu, co przyjęła Komisja Europejska, Tarcza Prywatności nie zapewnia adekwatnej ochrony danych Europejczyków i stwierdził nieważność tej decyzji.

To nie jest pierwszy sukces jaki odniósł Schrems w walce o ochronę danych osobowych Europejczyków. Austriak od ponad ośmiu lat domaga się od Facebooka transparentności w kwestii tego, jak traktowane są dane użytkowników portalu. Zdaniem Schremsa, dla takich wielkich korporacji jak Facebook dane użytkowników są po prostu czymś, na czym się zarabia. Nie zawsze przy tym dbają o przejrzystość tego, co z tymi danymi robią i nie zawsze informują o tym użytkowników. Potrzebne zgody często nie są odbierane w sposób właściwy tak, aby spełniać wymogi przepisów prawa. Schrems swoją batalię przeciwko Facebookowi prowadzi od czasu kiedy były analityk pracujący dla amerykańskiej agencji bezpieczeństwa wewnętrznego NSA Edward Snowden ujawnił kulisy tajnego projekty nasłuchu elektronicznego PRISM. Z ujawnionych informacji wynika, że Facebook przystąpił do tego amerykańskiego rządowego programu. Według Snowdena, amerykańskie służby mogą zażądać od amerykańskich przedsiębiorstw dostępu do danych Europejczyków. Schrems domagał się więc zapewnienia, że dane obywateli europejskich nie będą przekazywane do USA w sposób, który narazi ich prywatność.

W 2015 roku, TSUE w wyniku skarg skierowanych przez Schremsa orzekł, że tzw. program Bezpiecznej Przystani (Safe Harbour) tego właśnie nie gwarantuje. Regulował on kwestię przekazywania danych między Unią Europejską, a Stanami Zjednoczonymi. W Safe Harbour brak było mechanizmu weryfikacji czy dana firma rzeczywiście przestrzega zasad wynikających z programu. Dodatkowo program nie zawierał jakichkolwiek ograniczeń związanych z możliwością żądania przez rząd USA danych, uzasadniając to np. bezpieczeństwem publicznym albo zwalczaniem przestępstw.

Rok później Safe Harbor został zastąpiony przez tarczę prywatności UE-USA (Privacy Shield) – kolejny zestaw regulacji mających chronić dane osobowe Europejczyków, gdy są one przekazywane przez Atlantyk w celach komercyjnych. Zgodnie z przepisami RODO, przekazywanie danych do państwa trzeciego może mieć miejsce co do zasady tylko wtedy, gdy państwo trzecie zapewnia odpowiedni stopień ochrony danych. Decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony, wydaje Komisja Europejska (KE). W przypadku przekazywania danych do Stanów Zjednoczonych, Komisja Europejska zawarła umowę z rządem USA 12 lipca 2016 roku, która powołała do życia program „Tarcza Prywatności”. Na jej mocy, firmy w USA mogą dobrowolnie przystąpić do tego programu i zobowiązać się do przestrzegania określonych reguł dot. ochrony danych osobowych, obowiązujących w Unii Europejskiej. Każdy przedsiębiorca, który chce skorzystać z usług jakiegoś podmiotu z USA, może wejść na stronę internetową i sprawdzić czy dana firma przystąpiła do programu. Z racji ogromnych przepływów danych między Unią Europejską, a Stanami Zjednoczonymi, konieczne było wprowadzenie uregulowań prawnych w tym zakresie. Dwa lata po wprowadzeniu programu, Parlament Europejski przyznał, że pewne kwestie związane z przetwarzaniem danych osobowych na terenie USA nie są na tyle jasne i klarowne, aby uznać, że dane te są zabezpieczone w odpowiedni sposób – nawet przez podmioty, które przystąpiły do programu Tarcza Prywatności. Doskonałym przykładem jest głośna sprawa pozyskiwania danych od Facebooka przez firmę Cambridge Analityca pomimo, że Facebook przystąpił do programu „Tarczy Prywatności”. Problemem, na który zwracał uwagę Parlament Europejski było także niepowołanie przez USA niezależnych organów, które mogłyby rozstrzygać spory pomiędzy obywatelami UE, a amerykańskimi podmiotami gospodarczymi, związanych z nieprawidłowym przetwarzaniem danych osobowych.

Wyrok Trybunału Sprawiedliwości UE oznacza, że organy ochrony danych z UE (w tym polski UODO) będą kontrolować jaki jest faktyczny poziom ochrony danych w USA i od tego mogą uzależnić decyzję o ewentualnym pozwoleniu na przekazywanie danych do Stanów. TSUE podtrzymał ważność innego mechanizmu przekazywania danych, znanego jako standardowe klauzule umowne. Podkreślił jednak, że organy nadzoru prywatności muszą zawiesić przekazywanie danych poza UE lub tego zakazać, jeżeli nie można zapewnić odpowiedniej ochrony danych. Oceniając stopień ochrony danych osobowych w Stanach Zjednoczonych, możemy zwrócić uwagę na dwa funkcjonujące akty prawne z zakresu ochrony danych osobowych. Niedawno w Kalifornii pojawił się California Consumer Privacy Act, który ma charakter tylko lokalny zaś jego przepisy są bardzo łagodne. Z kolei Europejska Rada Ochrony Danych (EROD) oceniła, że ustawa Cloud Act, który określa zasady przekazywania danych organom ścigania oraz kontroli sądowej, jest sprzeczna z RODO. Oznacza to, że amerykańskie korporacje, które są jeszcze w programie Tarczy Prywatności, muszą przestrzegać przepisów Cloud Act, która jest niezgodna z RODO. Oznacza to dla wszystkich podmiotów, które przekazują dane do Stanów Zjednoczonych, że w praktyce będą poruszać się na niepewnym gruncie przy braku jednoznacznej regulacji dot. możliwości przekazywania danych do USA.