noyb: miesiąc po Schrems II składamy 101 skarg w całej Europie

Po głośnym wyroku Trybunału Sprawiedliwości UE w sprawie przekazywania danych osobowych Europejczyków do USA rozgorzała dyskusja na temat jego praktycznych konsekwencji. Czy po tym orzeczeniu europejskie firmy wciąż mogą legalnie przekazywać nasze dane osobowe do takich firm, jak Facebook i Google? Do skomentowania tej sytuacji zaprosiliśmy Alę Krinickytė z organizacji noyb, która doprowadziła do wydania głośnego wyroku, a teraz złożyła skargi na 101 firm w całej Europie (w tym 5 z Polski). Z tekstu Ali dowiecie się, na jakich argumentach opiera się działanie noyb oraz czego oczekują zaprzyjaźnieni z nami aktywiści.

­­Kontekst: decyzja w sprawie Schrems II

16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej unieważnił „Tarczę prywatności” – decyzję regulującą transfery danych między Unią a USA, stwierdzając, że nie jest ona adekwatnym mechanizmem, który zapewniałby bezpieczne przekazywanie danych do USA. Do tej pory europejskie firmy powszechnie powoływały się na „Tarczę prywatności”, przekazując dane do amerykańskich cyberkorporacji, takich jak Facebook czy Google.

To nie decyzja Trybunału jest powodem, dla którego dane osobowe nie mogą być przekazywane do USA, tylko amerykańskie przepisy dotyczące inwigilacji, które uniemożliwiają zapewnienie odpowiedniego stopnia ochrony tych danych po drugiej stronie oceanu.

Choć orzeczenie TSUE zostało wydane w sprawie formalnie skierowanej przeciwko Facebookowi, to z analizy wyroku wynika, że przekazanie danych osobowych z UE do Stanów Zjednoczonych jest niedopuszczalne, jeżeli dane trafiają do jakiegokolwiek „dostawcy usług łączności elektronicznej” w USA. Zgodnie z amerykańskimi przepisami o inwigilacji takie podmioty mają obowiązek przekazywania danych służbom specjalnym Stanów Zjednoczonych.

Europa gwarantuje swoim obywatelom prawo do ochrony danych, prawo do prywatności oraz do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu. Kiedy dane osobowe są przekazywane z UE do USA, te gwarancje znikają, ponieważ prawo amerykańskie zastrzega większość z nich wyłącznie dla „osób z USA”.

Amerykańskie przepisy nakładają na firmy takie jak Facebook i Google obowiązek przekazania danych osobowych cudzoziemców do amerykańskich służb wywiadowczych i robią to w pełnej tajemnicy. Oznacza to, że osoba, której dane dotyczą, nie jest informowana, że została poddana nadzorowi – nawet w przypadkach, w których nie jest to uzasadnione. Ze względu na to, że wiele amerykańskich programów masowej inwigilacji jest objętych tajemnicą, nie ma możliwości weryfikacji, na czym dokładnie polegają. Tego lata TSUE jasno stwierdził, że przepisy obowiązujące w USA nie oferują poziomu ochrony, który można by uznać za równoważny z poziomem oferowanym przez UE.

noyb składa 101 skarg miesiąc po Schrems II

Zaraz po wydaniu wyroku wiele instytucji (np. Europejska Rada Ochrony Danych, Europejski Inspektor Ochrony Danych oraz oczywiście sam noyb) skomentowało praktyczne konsekwencje unieważnienia „Tarczy prywatności”. Najbardziej oczywistym skutkiem decyzji Trybunału jest to, że firmy nie mogą już opierać się na „Tarczy prywatności”, by przekazywać dane osobowe do USA.

Jednak w związku ze stwierdzeniem TSUE, że prawo amerykańskie nie zapewnia obywatelom UE wystarczającej ochrony, poleganie na innych mechanizmach przekazywania danych, które przewiduje RODO, takich jak tzw. standardowe klauzule umowne (SKU), jest również prawnie niemożliwe. SKU to seria umów, które firma z siedzibą w Unii może zawrzeć z firmą amerykańską w celu przekazania danych poza UE. Ponieważ SKU są umowami między prywatnymi firmami, nie mogą one ani zmienić, ani uchylić amerykańskich przepisów dotyczących nadzoru, co oznacza, że firma amerykańska będzie zmuszona złamać SKU, jeśli krajowe służby zapukają do jej drzwi.

Organizacja noyb opublikowała na swojej stronie bezpłatną ankietę, która miała za zadanie pomóc przedsiębiorcom zrozumieć konsekwencje wyroku dla ich biznesów. Zauważyliśmy jednak, że po upływie miesiąca od wydania wyroku Trybunału wiele europejskich firm nie podjęło żadnych działań, i w związku z tym postanowiliśmy zareagować. Skargi, które złożyliśmy w nocy z 17 na 18 sierpnia, są przypomnieniem dla administratorów danych osobowych w Unii Europejskiej, że mają oni obowiązek zastosować się do wyroku TSUE i zaprzestać współpracy z firmami amerykańskimi, które przekazują dane osobowe Europejczyków agencjom wywiadu USA. Żadne państwo na świecie nie pozwoliłoby na coś podobnego (zob. na przykład reakcję rządu USA w sprawie aplikacji Tik Tok), więc dlaczego Europejczycy powinni zgadzać się na to, że ich dane są bezkarnie ujawniane amerykańskim służbom?

Jesteśmy świadomi tego, że prawo w Stanach Zjednoczonych szybko się nie zmieni. Właśnie dlatego oczekujemy, że firmy europejskie, w tym polskie, zaprzestaną współpracy z takimi firmami jak Google czy Facebook.

Pięć skarg w Polsce

Po przeprowadzeniu szybkiej analizy kodu źródłowego HTML najpopularniejszych serwisów w Polsce odkryliśmy, że wiele firm, w tym tak powszechnych spółek jak bank PKO BP, portal internetowy Interia.pl, główne stacje telewizyjne TVN oraz TVP, a także podmiot odpowiedzialny za aplikacje Jakdojade.pl (Onet-RAS), nadal korzystają z usług Google Analytics i/lub Facebook Connect, mimo że obie firmy podlegają przepisom o inwigilacji w USA.

Nie widzimy powodu, dla którego podmioty polskie czy inne z pozostałych 29 innych krajów Europejskiego Obszaru Gospodarczego nie miałyby ponosić odpowiedzialności za brak przestrzegania praw odbiorców swoich usług. TSUE w sprawie Schrems II jasno powiedział, że to administratorzy unijni (we współpracy z podmiotem odbierającym dane) mają obowiązek sprawdzenia, czy prawo państwa trzeciego zapewnia właściwą ochronę danych osobowych przekazywanych na podstawie SKU. W kontekście prawa amerykańskiego TSUE już odpowiedział na to pytanie – negatywnie. Wydaje się zatem jasne, że ani podmioty unijne, ani odbiorcy danych ze Stanów nie mogą przekazywać danych na podstawie SKU, tymczasem Facebook i Google nadal opierają się na tym mechanizmie.

Skoro administratorzy i odbiorcy danych nie stosują się do swoich obowiązków nałożonych na nich przez Trybunał w pkt 134 wyroku, postanowiliśmy sprawdzić, jak urzędy ochrony danych osobowych zareagują na takie łamanie prawa. Zgodnie z wyrokiem to właśnie one są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do państwa trzeciego, w którym prawo nie gwarantuje właściwej ochrony danych osobowych.

Nie mamy wątpliwości, że organy nadzorcze, w tym polski UODO, mają kompetencje do zatrzymania transferów danych przez administratorów wskazanych w naszych skargach. Oprócz wprowadzenia zakazu lub zawieszenia przekazywania danych do USA nasze żądania obejmują:

• zbadanie, jakie dokładnie dane osobowe zostały przekazane przez polskie podmioty do Google i Facebook w USA;
• na jaki mechanizm przekazywania danych uregulowany w RODO podmioty polskie się powoływały;
• czy postanowienia regulaminów Google’a i Facebooka w tym zakresie są zgodne z RODO.

Oczekujemy również, że w przypadku stwierdzenia naruszenia urząd nałoży na administratorów i odbiorców danych odpowiednio wysokie kary.

Artykuł gościnny został przygotowany przez Alę Krinickytė, prawniczkę ds. ochrony danych osobowych w organizacji noyb – European Center for Digital Rights, założonej w 2018 r. przez austriackiego prawnika i aktywistę Maxa Schremsa.

Więcej informacji:

noyb: 101 Complaints on EU-US transfers filed

Panoptykon: „Tarcza prywatności” uchylona. Przełom w przesyłaniu danych Europejczyków za ocean