12:24
16/7/2020

To już drugi raz!! Skargi jednego upartego człowieka przekreśliły unijną decyzję, na podstawie której nasze dane mogą być przekazywane do USA przez podmioty takie jak Facebook. W wydanym dziś wyroku unijny Trybunał uznał za nieważną decyzję w sprawie tzw. Tarczy Prywatności UE-USA.

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał dziś wyrok w sprawie nr C-311/18. Stwierdził nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. Tarczę Prywatności UE–USA. Wiemy, że nie brzmi to całkiem jasno.

Pozwólcie, że pomożemy wam połączyć wątki. Będziemy musieli się cofnąć daleko, bo aż do 2015 roku.

Jak to prawny hacker “przeciął podmorskie kable”

Jest sobie facet, który nazywa się Max Schrems. To istny prawny hacker. Składa różne skargi, ciąga się po sądach i niestety (lub stety) udaje mu się wykazać, że niektóre utarte mechanizmy prawne tak naprawdę są wadliwe.

Jednym z mechanizmów przetestowanych przez Schremsa był tzw. Safe Harbour. Od dawna prawo UE pozwalało na przenoszenie danych obywateli do innego kraju pod warunkiem, że ten kraj spełniał pewne standardy w zakresie ochrony danych. Stany Zjednoczone… no cóż, nie zawsze standardy spełniały, ale generalnie uznawano je za kraj bezpieczny. No i dawno temu po długich negocjacjach UE uznała, że amerykańskie firmy będą traktowane jak firmy z kraju bezpiecznego jeśli zadeklarują przestrzeganie pewnych zasad. Tak – w uproszeniu – działał Safe Harbour.

Max Schrems jako aktywista walczący o prywatność postanowił wystąpić do sądu ze skargą na Facebooka. Twierdził, że jego dane nielegalnie trafiają do USA. Irlandzki organ ochrony danych oddalił jego skargę powołując się na “Safe Harbour”. Schrems się nie poddawał. Jego sprawa trafiła do High Court of Ireland, a ten postanowił dopytać o sprawę Trybunał Sprawiedliwości UE. To była sprawa C‑362/14, a więc jeszcze nie ta najnowsza, która jest powodem tego newsa.

W roku 2015  Trybunał Sprawiedliwości UE orzekł, że decyzja ws. Safe Harbour była nieważna. No bo dlaczego miałaby być? Decyzja Komisji nie powinna ograniczać uprawnień organów nadzorczych w zakresie ochrony danych. Wyrok w sprawie  C‑362/14 był tak miażdżący, że fundacja ITIF porównała go do “przecinania morskich kabli”. Ale tak naprawdę niczego nie przecięto. Po prostu nagle stało się jasne, że cały mechanizm prawny pozwalający na przesyłanie danych z UE do USA można sobie wsadzić do d… (drewutni)!

Wypada tu dodać, że do sukcesu Schremsa przyczynił się jeszcze jeden hacker – Edward Snowden. Ujawnione przez niego informacje pozwoliły dodatkowo przekonać unijny Trybunał, że Stany Zjednoczone mają zbyt swobodne podejście do udostępniania danych służbom.

Łatanie dziurawą tarczą

Początkowo nie było wiadomo co robić z upadkiem Safe Harbour. Potem zdecydowano się na mechanizm zastępczy, który w życie wprowadzono już w roku 2016. Komisja Europejska przyjęła Tarczę Prywatności UE-USA (EU-US Privacy Shield). Ustanowiono w niej m.in., że amerykański Departament Sprawiedliwości będzie robił przeglądy firm, że masowa inwigilacja będzie ograniczona, że powstanie mechanizm corocznego przeglądu itd. Mniejsza już o szczegóły zawarte w tarczy. Od razu mówiono, że będzie ona równie dobra, a właściwie równie kiepska co Safe Harbour.

Organizacja European Digital Rights już w dniu wejścia tarczy w życie mówiła, że jest to dokładne powtórzenie wcześniejszego błędu. Przecież decyzję KE mówiącą, iż USA gwarantuje odpowiedni poziom ochrony danych zastąpiono… kolejną decyzją KE mówiąca o tym, że Stany Zjednoczone gwarantują odpowiedni poziom ochrony danych. EDRi słusznie zauważyło, że Tarczę Prywatności da się podważyć w sądzie łatwiej i szybciej bo szlak został już przetarty. No i cóż. Przepowiednia się sprawdziła.

Co dziś orzekł TSUE?

Tu dochodzimy do dzisiejszego wyroku. Trybunał stwierdził nieważność decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.  Wyrok został wydany w reakcji na skargę Maksa Schremsa, która została przeformułowana po wcześniejszych wyrokach i ustaleniach. W tej przeformułowanej skardze Schrems żądał zawieszenia lub zakazania przekazywania w przyszłości jego danych osobowych z Unii do Stanów Zjednoczonych.

Wszyscy się chyba zgodzimy, że jeśli jakieś dane latają sobie z UE do kraju trzeciego to prawo Unii (z RODO na czele) powinno mieć do tego jakieś zastosowanie. Trybunał orzekł, że wymogi ustanowione w RODO  należy interpretować w ten sposób, że osoby, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, muszą korzystać ze stopnia ochrony merytorycznie równoważnego temu, który gwarantowany jest w Unii przez to rozporządzenie. W ramach oceny tego stopnia ochrony należy uwzględniać – zdaniem Trybunału – także ewentualny dostęp organów władzy publicznej państwa trzeciego do przekazywanych w ten sposób danych.

TSUE uznał, że władze amerykańskie mają trochę zbyt swobodny dostęp do danych. Nie jest on ograniczony do tego, co ściśle konieczne, a zatem nie odpowiada całkowicie poziomowi ochrony, jakiego wymaga się w samej UE.

Trybunał orzekł, że wbrew temu, co przyjęła Komisja w decyzji 2016/1250, mechanizm mediacyjny, o którym mowa w tej decyzji, nie dostarcza tym osobom środka odwoławczego przed organem zapewniającym zabezpieczenia merytorycznie równoważne zabezpieczeniom wymaganym prawem Unii, które zapewniałyby zarówno niezależność rzecznika przewidzianego w tym mechanizmie, jak i istnienie norm uprawniających tego rzecznika do przyjęcia wiążących decyzji wobec amerykańskich służb wywiadowczych. Ze wszystkich tych powodów Trybunał stwierdził nieważność decyzji 2016/1250.

Co robić? Jak żyć?

Powiemy szczerze, nie mamy pojęcia jakie będą wszystkie skutki tego orzeczenia.

Najpierw będzie chwila szoku, potem będą komentarze paniczne, a potem się spokojnie zastanowimy. Dość rzeczowy komentarz w tej sprawie zamieścił na Facebooku Maciej Kawecki. Jego zdaniem kończy się pewna epoka “dość swobodnego przepływu danych między USA i UE”.

Czy to oznacza, że transfer danych z UE do USA zostanie natychmiast wstrzymany? Chyba nie. Przecież już raz przerabialiśmy taką sytuację gdy upadł Safe Harbour. Wówczas to Věra Jourová (ówczesna komisarz UE ds. sprawiedliwości) tłumaczyła, że dane mogą być nadal wysyłane do USA w oparciu o takie przesłanki jak konieczność realizacji umowy albo po prostu zgoda zainteresowanej osoby. Powiedzmy, że tymczasowo prowizorycznie jakoś to się ogarnie, ale bardziej długofalowo trzeba będzie wypracować inne rozwiązania. Mamy tylko nadzieję, że teraz KE nie zdecyduje się na wydanie kolejnej, trzeciej decyzji stwierdzającej, że Stany gwarantują odpowiedni poziom ochrony. Dobre nazwy dla takich decyzji się już kończą (zatoka, tarcza, co dalej?).

W ujęciu długofalowym ten wyrok będzie niezwykle ważny. Obrońcy prywatności spodziewają się efektów pozytywnych. Organizacja Acces Now z prędkością atakującej kobry ogłosiła, że jej zdaniem porzucono rozwiązanie z gruntu wadliwe i trzeba będzie wypracować coś lepszego. Zdaniem tej organizacji USA musi wypracować lepsze standardy ochrony danych, a może nawet zreformować swoje praktyki w zakresie inwigilacji.

Podważenie “tarczy” powinno też sprawić, że organy ochrony danych z UE (w tym polski UODO) będą kontrolować jaki jest faktyczny poziom ochrony danych w USA i od tego mogą uzależnić decyzję o ewentualnym pozwoleniu na przekazywanie danych do Stanów.

Wyrok jest jeszcze świeży i wielu komentarzy możemy się spodziewać w najbliższych godzinach i dniach (w momencie pisania tego tekstu nie ma nawet komentarza Komisji Europejskiej, która raczej nie ma dobrego dnia). Tak czy owak będzie trzeba wrócić do dyskusji nad tym w jaki sposób Stany Zjednoczone traktują nasze dane. Czy powstanie kolejna prowizorka czy rzeczowe rozwiązanie? Zapewne niebawem się przekonamy.

Przeczytaj także:



20 komentarzy

Dodaj komentarz
  1. Kolejna porcja bredni z Eurokołchozu. Safe Harbour było genialnym rozwiązaniem i należało je utrzymać.

    Może warto zastanowić się, czy sędziowie sądów kasacyjnych i ostatniej instancji nie powinni mieć ścisłych limitów wieku, na przykład 60 lat. Być może potem oderwanie młodszych pokoleń jest zbyt silne?

    • Genialnym dlaczego? Dlatego, że tak napisałeś? Więc stwierdzam, że bredzisz bardziej niż ustawodawcy odnośnie krzywizny banana…

    • Jakbyś się skupił, to byś zauważył, że właśnie ów “eurokołchoz” dostał znów po uszach — bo znów się okazało, że KE nie może się ot tak dogadywać, na nieco orwellowskich zasadach, z U.S.A.

    • Po prostu tak bezczelnie kłamiesz i trollujesz za bezprawną amerykańską inwigilacją i kradzieżą danych osobowych Europejczyków, że nie potrafię sobie tego inaczej wytłumaczyć, niż faktem, że musisz być jakąś amerykańską agenturą.

    • Nie trolluj trollu.

  2. „Dobre nazwy dla takich decyzji się już kończą (zatoka, tarcza, co dalej?)”
    Biorąc pod uwagę w co robiony jest szary człowiek w tym przypadku, proponuję termin: „Sure Condom”.

  3. “Zdaniem tej organizacji USA musi wypracować lepsze standardy ochrony danych, a może nawet zreformować swoje praktyki w zakresie inwigilacji…”
    “… Czy powstanie kolejna prowizorka czy rzeczowe rozwiązanie? Zapewne niebawem się przekonamy.”
    przekonamy się. że wypracują…
    lepsze metody obejścia niewygodnych przepisów.

    • Taki jest w USA “standard” ochrony danych osobowych: “Microsoft accused of sharing data of Office 365 business subscribers with Facebook and its app devs”…

  4. W komentarzach już kłótnie o to jak i kto ma chronić dane, które SAMODZIELNIE przekazuje jeden z drugim.
    Nikt się na razie nie zastanawia nad tym, że jakiś dziad leśny nie wiedzący gdzie leżą kraje inne niż jego własny stwierdza, że mi osobiście, świadomemu swego wyboru NIE WOLNO skorzystać z tego czy owego rozwiązania, bo dane zostaną przekazane do USA.
    Nikt nie zauważa tutaj problemu? Czym to się różni od odcięcia przez komunistów Chin od internetu? Tamci też uznali, że dla dobra obywatela lepiej mieć swój internet, nasze “chiny” uznały, że też lepiej mieć swój.

    • No właśnie różni się takim niuansem, że jak się zgadzasz, to możesz zrobić ze swoimi danymi co sobie zażyczysz. Chiny twoja zgodę mają raczej w dupie. Czytanie ze zrozumieniem – ciężka sprawa

  5. Ale wgrywając dane na Fejsbóka czy Gógla wiesz dokładnie — dokąd one lecą? A wiesz dokładnie z jakiego hostingu korzysta np. niniejszy serwis? Masz to przeanalizowane?

  6. Apeluje o nie podłapywanie newsów, które są wątpliwe.

    Trybunał Sprawiedliwości Unii Europejskiej nie unieważnił żadnej decyzji. W wyniku pytania prejudycjalnego stwierdził, że sąd irlandzki, który skierował do niego pytania prawne, nie może w oparciu o decyzje Privacy Shield uznać, że przekazywanie danych do USA jest zawsze ok. Trybunał wskazał, że Sąd krajowy powinien rozważyć, czy przekazywane dane są w odpowiedni sposób zabezpieczone i chronione (również przed naruszeniem ich poufności przez amerykańskie służby).

    Dodatkowo pamiętajmy, że Privacy Shield zostało ustanowione na mocy decyzji Decyzji 2016/1250 z dnia 12 czerwca 2016 r. Czyli jak można zauważyć, jeszcze przed RODO. (Tak wiem, że już RODO było w vacatio legis, ale Komisja wydała decyzje na podstawie ówcześnie obowiązującego prawa).

    • A jednak (pkt 5):

      “Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA jest nieważna.”

      Nie ma znaczenia czy decyzja jest starsza od RODO czy nie — skoro RODO jest nad-nad, to wszystko musi być z nim zgodne.

    • Oczywiście, że RODO jest ważniejsze w tej chwili. Sąd nie stwierdził jednak jej nieważności a uznał, że jest nieważna z mocy prawa. A to bardzo bardzo duża różnica. Dodatkowo to stwierdzenie nie ma specjalnej mocy, gdyż w trybie pytani prejudycjalnego Sąd tylko wydaje wskazówki a nie określa bezwględnie obowiązujących norm.

  7. Hmm, a jak się ma do GDPR przekazywanie pewnych moich danych do zagranicznej instytucji z siedzibą w Watykanie? Zwłaszcza jeśli nigdy nie wyraziłem zgody na ich przetwarzanie. Kojarzę że ustawa z 1997 wykluczała związki wyznaniowe z obowiązku ochrony DO, ale RODO?

    • Owa zagraniczna instytucja jest wyłączona z RODO. Trochę Kawecki udawał że chce z tym walczyć, ale zaraz chętnie to rozwiązanie pochwalił.

  8. A czy takiej transmisji:
    https://op.europa.eu/pl/publication-detail/-/publication/c6ac642a-76f2-42be-ba52-7beadca4fdff/language-pl
    z takiej imprezy:
    https://pl.wikipedia.org/wiki/Narodowy_Spis_Powszechny_Ludno%C5%9Bci_i_Mieszka%C5%84_2011
    to dotyczy? Bo danych było nieco więcej i nieco bardziej wrażliwych.

  9. Jak zwykle Bruksela powie tak: Aha, według tego naszego Trybunału, to Komisja a z nią cała Unia robi źle… No trudno, kto nam co zrobi… I nikt się tym orzeczeniem za bardzo nie przejmie. Ale gdybyś to Ty, obywatelu, przekroczył jakiś wyimaginowany zakaz na pięć milimetrów, to Ci puodo przywali miliony kary.
    Europa niszczy sama siebie. Najpierw uchwala regulacje z góry skazane na niemożność ich pełnego stosowania, potem sama ich nie stosuje, ale za to zadręcza własnych obywateli. Reszta świata coś tam z tego przejmie, ale nie tyle, żeby sobie strzelać w stopę, jak to robi Bruksela.
    Te sytuacje de facto stawiają Komisję Europejską ponad porządkiem prawnym, nawet tym przez siebie stworzonym. Wystarczy, że jakaś komisarz powie: No tym, to się nie przejmujemy. To nawet nie chodzi o to, że realnie może mieć jakąś słuszność, tylko o to, że w ogóle może coś takiego powiedzieć. Chore prawo unijne w swojej konstrukcji i praktyce stawie organy UE na pozycji, której nie powinna mieć żadna władza. Tamtejszy cynizm już dawno oderwał się od zasady praworządności i jest manifestacją bezkarności i samowoli. W normalnych warunkach należałoby po prostu jeszcze raz przemyśleć niektóre zapisy RODO, czy nie stępić ich nierealnej surowości, bo po prostu przeszkadza w normalnym funkcjonowaniu społeczeństwa. Ale nie w Brukseli, tutaj utrzyma się bat na własnych obywateli, a Komisja po prostu będzie udawać, że ma w nosie, że nic się nie stało, jak poprzednio. Bruksela jest ponad WŁASNYM prawem, a to jest nienormalny układ, który znamionuje systemową bezprawność, jako manierę wykonywania władzy przez Komisję.

  10. A co się dziwić? Najpierw Snowden ujawnia skalę inwigilacji Europejczyków. Potem SN USA orzeka, że przeniesienie przez M$ i Gugle serwerów do UE nic nie daje i mimo tego muszą rządowi USA udostępniać dane obywateli UE ze swoich serwerów w UE. USA samo sobie podcięło gałąź! Wbrew pozorom AMERYKAŃSKIE FIRMY PRZYJMUJĄ WYROK Z ZADOWOLENIEM! Bo wyrok SN USA umieścił je między młotem i kowadłem: nakazał pod groźbą kary udostępniać dane obywateli obcych państw z serwerów w obcych państwach a jednocześnie za udostępnienie tego naraził je na kary za takie udostępnianie ze strony państw tych obywateli i lokalizacji serwerów! Dodatkowo zagraniczni klienci z tego powodu nie ufają amerykańskim firmom. Dlatego amerykańskie firmy liczą, że wyrok unijnego trybunału zmusi rząd USA do zmiany prawa tak, by nie mógł zmuszać amerykańskiej firmy bez zgody zagranicznych władz do ujawniania USA danych z zagranicznych serwerów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: