Aktualności

Maximillian Schrems vs. Data Protection Commisioner – C-362/14

dodano: 14.01.2016
Maximillian Schrems vs. Data Protection Commisioner – C-362/14

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 6 października 2015 roku wydanym w sprawie o sygnaturze akt C-362/14 unieważnił decyzję Komisji Europejskiej z 2000 r. (2000/520/WE), na mocy której Stany Zjednoczone uznane zostały za „kraj bezpiecznej przystani” (Safe Harbour).

Sprawa C-362/14 (Schrems – Data Protection Commissioner) jest rezultatem sporu, który zawisł przed wysokim trybunałem sądu irlandzkiego (High Court of Ireland) na skutek skargi Maximiliana Schrems.

W pierwszej kolejności Trybunał stwierdził, że okoliczność istnienia decyzji Komisji dotyczącej przekazywania danych osobowych do państwa trzeciego nie wyłącza uprawnień organów nadzorczych państw członkowskich do samodzielnego kontrolowania takiego transferu pod kontem spełnienia wymogów określonych w dyrektywie 95/46/WE. Ponadto, Trybunał wskazał, że jest on jedynym organem właściwym do stwierdzenia nieważności aktów Unii, w tym decyzji Komisji, a zatem w przypadku powzięcia przez sąd krajowy wątpliwości, co do ważności takiego aktu może on się zwrócić z pytaniem prejudycjalnym do Trybunału Sprawiedliwości.

W dalszej części uzasadnienia Trybunał wskazał, że bez konieczności prowadzenia rozważań na temat poziomu ochrony samego systemu Safe Harbour można stwierdzić, że jego skuteczność jest ograniczona – jego standardy ochrony wiążą wyłącznie przedsiębiorstwa amerykańskie, które do niego przystąpiły, nie podlegają mu natomiast organy i urzędy publiczne. Przedsiębiorstwa, które stosują program, mają obowiązek od niego odstąpić, jeżeli wymagają tego względy bezpieczeństwa narodowego, interes publiczny i nadrzędne przepisy krajowe, stosowane przez te podmioty w pierwszej kolejności. Biorąc pod uwagę fakt, że ustawodawstwo Stanów Zjednoczonych nie przewiduje środków mających na celu ograniczenie ingerencji organów publicznych w dane osobowe przekazywane do tego państwa z krajów trzecich, ingerencja taka może mieć miejsce. W konsekwencji, cyt. organy USA mogą uzyskiwać dostęp do danych osobowych przekazywanych z państw członkowskich do tego państwa i przetwarzać je w sposób niezgodny z celami ich przekazania (…) a osoby, których dane są przekazywane, nie dysponują administracyjnymi bądź sądowymi środkami prawnymi umożliwiającymi w szczególności uzyskanie dostępu do dotyczących ich danych i, w stosownym przypadku, skorygowanie lub usunięcie ich.

Trybunał negatywnie odniósł się również do samego poziomu ochrony zapewnianego przez system. Stwierdził, że cyt. pozwala on w ogólny sposób na przechowywanie wszelkich danych osobowych wszystkich osób, które są przekazywane z Unii do USA, bez dokonywania jakiegokolwiek rozróżnienia, ograniczenia lub wyjątku w  oparciu o zamierzony cel i bez określenia obiektywnych kryteriów w celu wytyczenia granic dostępu organów publicznych do danych i ich późniejszego wykorzystywania.

Wreszcie, Trybunał zbadał ważność decyzji Komisji z dnia 26 lipca 2000 r. W efekcie, stwierdził on że pozbawia ona w sposób nieuprawniony krajowe organy nadzorcze prawa wydawania rozstrzygnięć w przypadku, gdy jednostka podważa zgodność tej decyzji z ochroną prywatności, wolności i praw podstawowych osób. Z tego powodu uznał on decyzję Komisji z dnia 26 lipca 2000 r. za nieważną. W efekcie, decyzja o tym, czy należy na mocy dyrektywy zawiesić przekazywanie danych europejskich użytkowników portalu Facebook do USA pozostawiona została właściwości irlandzkiego organu nadzoru, którą to ten organ powinien podjąć po przeprowadzeniu wyczerpującego i wszechstronnego postępowania.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 roku stał się wiążący z chwilą jego ogłoszenia. Oznacza to, że przekazywanie danych osobowych z powołaniem się na program Safe Harbour może być już w tym momencie uznane za niezgodne z prawem.