Trybunał Sprawiedliwości unieważnił decyzję Komisji Europejskiej w sprawie programu Safe Harbour

Autor: Marek Sterniczuk

Dodano: 12-10-2015
Publikator: Trybunał Sprawiedliwości Unii Europejskiej Sygnatura: C-362/14

Trybunał Sprawiedliwości Unii Europejskiej (Trybunał) w wyroku z dnia 6 października 2015 r. stwierdził nieważność decyzji Komisji Europejskiej 2000/250 dotyczącej programu Safe Harbour. Chodzi o umowę w sprawie przekazywania danych osobowych z terytorium Unii Europejskiej do Stanów Zjednoczonych (USA) potwierdzającą, że USA zapewniają odpowiedni poziom ochrony danych osobowych. Trybunał w wyroku C-362/14 uznał, że program Safe Harbour nie zapewnia odpowiedniego poziomu ochrony danych osobowych, zgodnego z regulacjami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dyrektywa 95/46/WE).

Wyrok Trybunału został wydany wskutek skargi Maximilliana Schremsa obywatela Austrii, użytkownika Facebooka, którego dane osobowe były przekazywane z irlandzkiego oddziału Facebooka do serwerów znajdujących się w USA. W złożonej skardze uznał on, że prawo i praktyka USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez organy publiczne USA jego danych osobowych przekazywanych do tego państwa. Irlandzki organ ochrony danych osobowych oddalił skargę Austriaka, powołując się na obowiązywanie decyzji Komisji w sprawie programu Safe Harbour. High Court of Ireland, do którego trafiła następnie sprawa, skierował pytanie prejudycjalne do Trybunału.  

Trybunał uznał, że nawet w przypadku istnienia decyzji Komisji Europejskiej w sprawie dopuszczalności przekazywania danych osobowych do państw trzecich, krajowe organy ochrony danych osobowych mają prawo kontroli, czy ich przekazywanie spełnia wymogi określone w dyrektywie 95/46/WE. Trybunał wskazał również, że jest jedynym organem do stwierdzenia nieważności decyzji Komisji Europejskiej.

Oceniając program Safe Harbour, Trybunał uznał, że ma on zastosowanie wyłącznie do przedsiębiorstw amerykańskich, które do niego przystąpiły, natomiast nie obejmuje on organów publicznych. Dodatkowo wymogi dotyczące bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustaw USA mają przewagę nad programem Safe Harbour w ten sposób, że przedsiębiorstwa amerykańskie są zobowiązane do odstąpienia od stosowania – bez ograniczeń – zasad ochrony przewidzianych w tym programie, jeśli stoją one w sprzeczności z takimi wymogami. Amerykański program bezpiecznej przystani umożliwia zatem ingerencję amerykańskich organów publicznych w prawa podstawowe osób, których dane osobowe są przekazywane. Zdaniem Trybunału decyzja Komisji Europejskiej jest nieważna, gdyż nie wskazano w niej na istnienie w USA przepisów ani środków ochrony prawnej mających na celu ograniczenie ingerencji władz publicznych. W konsekwencji, Trybunał zobowiązał irlandzki organ ochrony danych osobowych, który był pozwanym w tej sprawie, do zbadania skargi złożonej na Facebook przez Maximilliana Schremsa.

Wyrok Trybunału oznacza możliwość kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO) podmiotów, które przekazywały dotychczas dane osobowe uczestnikom programu Safe Harbour. GIODO będzie uprawnione do oceny, czy zapewniają one odpowiedni poziom ochrony danych osobowych przekazywanych do USA.

 

W obecnej sytuacji do czasu ustalenia stanowiska w sprawie wyroku Trybunału warto zastanowić się nad wprowadzeniem rozwiązań alternatywnych do Safe Harbour.

Tagi: dyrektywa, tsue, giodo
wstecz