W każdej ze 101 spraw skarżących reprezentuje NOYB – European Center for Digital Rights. To organizacja non profit walcząca o cyfrowe prawa. Założył ją w 2017 r. Austriak Max Schrems, który zasłynął z tego, że w 2015 r. doprowadził do unieważnienia programu "Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. W lipcu 2020 r. wygrał kolejną sprawę przed Trybunałem Sprawiedliwości Unii Europejskiej, który stwierdził nieważność następcy "Safe Harbour”, czyli porozumienia "Privacy Shield” (tarcza prywatności). Teraz, po miesiącu od tego ostatniego orzeczenia, NOYB dowodzi, że transfer danych do USA jest bezprawny.
Skupia się na dwóch firmach, Facebook i Google, tyle że w rzeczywistości chodzi o tysiące europejskich przedsiębiorców korzystających z tych serwisów.
– Przeprowadziliśmy szybkie badania na stronach internetowych państw UE pod kątem stosowania kodu z Facebooka i Google’a. Te fragmenty kodu przekazują dane każdego odwiedzającego stronę Google’a lub Facebooka. A obie firmy przyznają, że przekazują dane Europejczyków do Stanów Zjednoczonych w celu ich przetworzenia, przy czym mają prawny obowiązek udostępnienia ich amerykańskim agencjom takim jak Agencja Bezpieczeństwa Narodowego – mówi Max Schrems.
To właśnie nieskrępowany dostęp amerykańskich służb do danych stał się powodem stwierdzenia nieważności "Privacy Shield” przez TSUE. Chodzi o aferę ujawnioną przez Edwarda Snowdena. Pokazał on, że wspomniana agencja w każdej chwili może mieć dostęp do danych Europejczyków zgromadzonych na serwerach w USA. To zaś nie odpowiada wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost – nie ma żadnej gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to rzeczywiście konieczne i uzasadnione choćby względami bezpieczeństwa. Dlatego też tarcza prywatności przestała istnieć.
Reklama
Dokąd idą dane
W sprawach skierowanych przeciwko TVN, TVP, Interia i Onet-RAS chodzi o przekazywanie danych firmie Google, a w ostatniej o przepływ danych do Facebooka. W przypadku Google’a powodem jest wykorzystanie przez spółki kodu Google Analytics. Znaleziono go m.in. na należącej do TVN stronie player.pl czy zarządzanego przez Onet-RAS serwisu jakdojade.pl. Kod Google Analytics pozwala na mierzenie ruchu na wspomnianych stronach. Problem w tym, że zebrane w ten sposób dane wędrują do USA. A zdaniem NOYB nie ma ku temu podstaw prawnych. Organizacja podkreśla w swych skargach, że usługa Google Analytics nie jest niezbędna do działania stron.
W przypadku strony pkobp.pl chodzi o usługę Facebook Connect, która pozwala na logowanie się za pośrednictwem konta na Facebooku.
– Skargi te mają w mojej ocenie na celu zmobilizowanie organów takich jak polski UODO do definitywnego zatrzymania transferów danych do USA. To również kolejny sygnał dla europejskich (w tym polskich) firm, że powinny dokonać poważnej weryfikacji tego, z jakimi podmiotami współpracują i być może poszukać europejskich alternatyw w miejsce usług oferowanych przez amerykańskich gigantów takich jak Google czy Facebook – komentuje Karolina Iwańska z Fundacji Panoptykon.
W praktyce wyrok TSUE, choć bardzo znaczący, nie wpłynął na firmy. Dane do USA jak płynęły, tak płyną.
Niewiele się stało w ciągu tego miesiąca, poza czysto techniczną operacją przejścia z transferów opartych o Privacy Shield na transfery oparte o standardowe klauzule umowne. Ale to nadal są te same transfery, realizowane przez te same podmioty, w tym samym otoczeniu prawnym i biznesowym – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Paneuropejski wymiar
Trudno dzisiaj przesądzać, jakie szanse na wygranie spraw ma NOYB. We wszystkich skargach domaga się tego samego – zakazania dalszego transferu danych.
– Myślę, że Max Schrems wyciąga zbyt daleko idące wnioski z wyroku TSUE. Tarcza prywatności została unieważniona, ale co do standardowych klauzul umownych TSUE w zasadzie nakazał europejskim administratorom dokonanie dodatkowej analizy ryzyka „inwigilacji USA” dla praw i wolności osób, których dane przetwarzają, aby ocenić, czy w konkretnym przypadku zapewniają one adekwatny do unijnego poziom ochrony danych – komentuje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.
Podmioty, których dotyczy skarga, muszą więc przeprowadzić dodatkową analizę tego, czy informacje zbierane o gościach ich stron samodzielnie lub w agregacji z innymi danymi pozyskiwanymi przez Google Analytics (lub też przez Facebooka) mogą stanowić nadmierne zagrożenie praw lub wolności gości stron przy zainteresowaniu nimi przez amerykańskie służby – dodaje prawnik.
Wspomniane przez niego standardowe klauzule umowne rzeczywiście formalnie działają i wciąż można na nich opierać transfer transatlantycki. Tyle że te same argumenty, które legły u podstaw stwierdzenia nieważności tarczy prywatności, można zastosować również do nich. Nie ma więc gwarancji legalności. Wynika to wprost z motywu 135 wyroku. „W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego” – napisano w uzasadnieniu orzeczenia.
Skargi dotyczą firm z 30 różnych krajów, więc trafiły do różnych organów.
– Ponieważ mają one jednak charakter paneuropejski, w mojej ocenie każdy z tych organów powinien skorzystać z możliwości, jaką daje art. 64 ust. 2 RODO i zwrócić się o opinię do Europejskiej Rady Ochrony Danych. Taka opinia powinna zapewnić jednolite podejście europejskich organów nadzorczych do złożonych skarg – a problem jest ogromny, bo chodzi o przesądzenie, czy standardowe klauzule umowne mogą stanowić podstawę transferu danych do USA – zwraca uwagę dr Paweł Litwiński.
Skargi te mają na celu zmobilizowanie organów takich jak polski UODO do definitywnego zatrzymania transferów danych do USA
Obydwie decyzje Komisji Europejskiej do kosza