Ochrona danych w zglobalizowanym świecie od dawna jest przedmiotem dyskusji. Często mówi się, że dane to „nowa ropa cyfrowej ekonomii”, ale do jakiego stopnia jesteśmy w stanie kontrolować własne dane osobowe? Czy każdy z nas powinien w pełni decydować o tym, jak zarządzać własnymi danymi osobowymi, czy może firmy powinny mieć swobodę przekazywania naszych danych do innych krajów w celach biznesowych? Jaka jest granica między prawem jednostki do chronienia prywatności a potrzebą firm do działania na międzynarodowym rynku bez napotykania problemów prawnych? Na wszystkie te pytania od dawna próbują odpowiedzieć sędziowie, eksperci biznesowi i osoby prywatne. Żyjemy w świecie, który oferuje nam niezliczone darmowe aplikacje i narzędzia do poprawy jakości życia, ale musimy pamiętać, że chociaż nie kosztują nas one ani złotówki, to wciąż pobierają od nas opłatę w zupełnie innej walucie — naszych danych osobistych. Jako że ludzie zaczynają rozumieć coraz lepiej, w jaki sposób ich dane osobiste mogą zostać użyte przeciwko nim w oszustwach, przekrętach finansowych i innych rodzajach przestępczości internetowej, globalne zainteresowanie ochroną danych osobowych wzrasta. Według portalu Statista 90% globalnych użytkowników internetu miało przynajmniej jedną obawę związaną z prywatnością danych. 47% ankietowanych bało się, że ich dane osobowe zostaną naruszone w wycieku danych i użyte przez internetowych przestępców, 40% miało obawy związane z potencjalną sprzedażą ich poufnych danych osobom trzecim i użycie ich w procesach podejmowania decyzji bez ich zgody. 31% ankietowanych martwiła niepewność związana z przyszłym użyciem danych, a 12% było zaniepokojonych potencjalnym użyciem ich danych osobowych do wpłynięcia na ich wybór w wyborach. Pokazuje to, że ochrona danych osobowych to nie teoretyczny problem, który dyskutuje się w salach sądowych, ale uzasadniona obawa, do której należy się odnieść w naszym codziennym życiu. Czy możliwa jest ochrona poufnych informacji w pozbawionym granic, hiperpołączonym świecie? Przyjrzyjmy się bliżej sprawie sądowej, w której Maximillian Schrems pozwał Facebooka w proteście przeciwko międzynarodowym transferom swoich danych osobistych.
Komisarz ds. ochrony danych v Facebook Irlandia i Maximillian Schrems
Pan Maximillian Schrems, działacz na rzecz praw do prywatności, używał Facebooka od 2008 roku w celach osobistych, używając fałszywego imienia, aby chronić swoją tożsamość. W 2011 roku zaczął używać mediów społecznościowych, aby promować swoją działalność na rzecz praw do prywatności, informując swoją społeczność o postępowaniach sądowych i wykładach, a także zbiórkach na finansowanie swojej działalności aktywisty. W tym samym okresie złożył kilka skarg przeciwko irlandzkiemu Facebookowi, twierdząc, że platforma naruszyła przepisy dotyczące ochrony danych wynikające z austriackiego
i irlandzkiego prawa, a także przepisów Unii Europejskiej. Zażądał od sądu zakazu użycia jego danych do konkretnych celów i pełnej jawności tego, w jaki sposób jego dane osobowe są używane przez Facebooka. Warto wspomnieć, że Shrems opublikował dwie książki na temat swoich spraw sądowych i udzielił wielu wykładów, część z nich odpłatnie, co właśnie zaważyło na tym, że regionalny sąd cywilny odrzucił jego skargę. Sąd stwierdził, że skoro Shrems używał Facebooka w celach służbowych, to nie może opierać swojej skargi na przepisach, które regulują umowy konsumenckie. Po ogłoszeniu orzeczenia Shrems odwołał się do sądu okręgowego drugiej instancji we Wiedniu, a sprawa trafiła następnie do Sądu Najwyższego Austrii, a w końcu do Trybunału Sprawiedliwości Unii Europejskiej. Trybunał Sprawiedliwości Unii Europejskiej musiał rozważyć znaczenie pojęcia „klient” na podstawie przepisu 44/2001 i ostatecznie zdecydował, że pan Schrems nie może stracić swojego statusu klienta z powodu swojej działalności zawodowej (publikacja książek, udzielanie wykładów). Schrems był także przeciwny transferowi swoich danych personalnych z irlandzkich serwerów Facebooka do głównych serwerów portalu, które znajdują się w Stanach Zjednoczonych. Twierdził, że to naruszenie ogólnego rozporządzenia o ochronie danych (RODO), ponieważ jego dane osobowe nie są dostatecznie chronione przez amerykańskie prawo, a więc władze Irlandii są legalnie zobowiązane do zapobiegania podobnym transferom danych, aby przestrzegać przepisów UE dotyczących ochrony danych osobowych. Sprawa sądowa ciągnęła się przez kilka lat i w 2015 roku Trybunał Sprawiedliwości zdecydował, że poprzednie przepisy dotyczące przesyłania i ochrony danych (program Safe Harbour) są nieważne, jednocześnie jednak nie podważając zgodności amerykańskiego prawa z europejskimi przepisami dotyczącymi ochrony danych. Wyrok sądu nie rozwiązał problemu i sprawa została rozpatrzona po raz kolejny w 2020 roku. Co zdecydował sąd w 2020 roku?
Amerykańskie przepisy dotyczące ochrony danych nie są wystarczająco rygorystyczne, aby spełnić wymogi prawne UE
16 lipca 2020 roku Trybunał Sprawiedliwości unieważnił decyzję 2016/1250, która dotyczyła adekwatności ochrony dostarczanej przez porozumienie UE-USA dotyczące ochrony danych, twierdząc, że „ograniczenia ochrony danych osobowych, które wynikają z wewnętrznych przepisów USA regulujących dostęp do danych i ich użycie przez organy publiczne” sprawiają, że amerykańskie przepisy nie mogą w pełni spełnić standardów ochrony danych osobowych wymaganych przez Unię Europejską. Sąd zadecydował, że amerykańskie „programy nadzoru nie są ograniczone do tego, co jest konieczne”, a osoby fizyczne, których dane osobowe są przesyłane do krajów trzecich, muszą otrzymać „poziom ochrony zasadniczo równoważny do tego, który jest gwarantowany w UE przez RODO”. W praktyce oznacza to, że firmy, które przesyłają dane z EU do USA, muszą ustanowić nowe porozumienie prawne, aby działać zgodnie z przepisami prawa. Niemniej jednak sąd orzekł także, że niektóre klauzule umowne dotyczące transferów danych do krajów trzecich nie są problemem o ile „spełniają standardy ochrony danych wymagane przez UE”, a transfer danych osobowych jest wstrzymany lub zabroniony, jeśli klauzule prawne dotyczące ochrony danych osobowych są naruszone, albo ich uszanowanie jest niemożliwe. W rezultacie sąd podtrzymał ważność decyzji 2010/87, potwierdzając, że użycie klauzuli umownych nie łamie postanowień RODO.
Podsumowując: orzeczenie sądu zakwestionowało globalny system ochrony danych
i transferu informacji, a sąd domagał się nowych porozumień prawnych, które zagwarantowałyby prawną zgodność z wymaganiami UE dotyczącymi ochrony danych osobowych w zglobalizowanym świecie. Być może to jeden mały krok dla systemu sądownictwa, ale jeden ogromny krok dla obrońców praw prywatności w walce o jawność danych i ochronę naszego nowego kapitału — informacji.
Źródła:
http://curia.europa.eu/juris/liste.jsf?td=ALL&language=en&jur=C,T,F&part...
https://www.statista.com/statistics/296700/personal-data-security-percep...
https://globalfreedomofexpression.columbia.edu/cases/maximilian-schrems-...
