W każdej ze 101 spraw skarżących reprezentuje NOYB – European Center for Digital Rights. To organizacja non profit walcząca o cyfrowe prawa. Założył ją w 2017 r. Austriak Max Schrems, który zasłynął z tego, że w 2015 r. doprowadził do unieważnienia programu "Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA. W lipcu 2020 r. wygrał kolejną sprawę przed Trybunałem Sprawiedliwości Unii Europejskiej, który stwierdził nieważność następcy "Safe Harbour”, czyli porozumienia "Privacy Shield” (tarcza prywatności). Teraz, po miesiącu od tego ostatniego orzeczenia, NOYB dowodzi, że transfer danych do USA jest bezprawny.
Skupia się na dwóch firmach, Facebook i Google, tyle że w rzeczywistości chodzi o tysiące europejskich przedsiębiorców korzystających z tych serwisów.
– mówi Max Schrems.
To właśnie nieskrępowany dostęp amerykańskich służb do danych stał się powodem stwierdzenia nieważności "Privacy Shield” przez TSUE. Chodzi o aferę ujawnioną przez Edwarda Snowdena. Pokazał on, że wspomniana agencja w każdej chwili może mieć dostęp do danych Europejczyków zgromadzonych na serwerach w USA. To zaś nie odpowiada wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost – nie ma żadnej gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to rzeczywiście konieczne i uzasadnione choćby względami bezpieczeństwa. Dlatego też tarcza prywatności przestała istnieć.
Dokąd idą dane
W sprawach skierowanych przeciwko TVN, TVP, Interia i Onet-RAS chodzi o przekazywanie danych firmie Google, a w ostatniej o przepływ danych do Facebooka. W przypadku Google’a powodem jest wykorzystanie przez spółki kodu Google Analytics. Znaleziono go m.in. na należącej do TVN stronie player.pl czy zarządzanego przez Onet-RAS serwisu jakdojade.pl. Kod Google Analytics pozwala na mierzenie ruchu na wspomnianych stronach. Problem w tym, że zebrane w ten sposób dane wędrują do USA. A zdaniem NOYB nie ma ku temu podstaw prawnych. Organizacja podkreśla w swych skargach, że usługa Google Analytics nie jest niezbędna do działania stron.
W przypadku strony pkobp.pl chodzi o usługę Facebook Connect, która pozwala na logowanie się za pośrednictwem konta na Facebooku.
– komentuje Karolina Iwańska z Fundacji Panoptykon.
W praktyce wyrok TSUE, choć bardzo znaczący, nie wpłynął na firmy. Dane do USA jak płynęły, tak płyną.
– – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Paneuropejski wymiar
Trudno dzisiaj przesądzać, jakie szanse na wygranie spraw ma NOYB. We wszystkich skargach domaga się tego samego – zakazania dalszego transferu danych.
– komentuje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.
–– dodaje prawnik.
Wspomniane przez niego standardowe klauzule umowne rzeczywiście formalnie działają i wciąż można na nich opierać transfer transatlantycki. Tyle że te same argumenty, które legły u podstaw stwierdzenia nieważności tarczy prywatności, można zastosować również do nich. Nie ma więc gwarancji legalności. Wynika to wprost z motywu 135 wyroku. „W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego” – napisano w uzasadnieniu orzeczenia.
Skargi dotyczą firm z 30 różnych krajów, więc trafiły do różnych organów.
– zwraca uwagę dr Paweł Litwiński.
Skargi te mają na celu zmobilizowanie organów takich jak polski UODO do definitywnego zatrzymania transferów danych do USA
Obydwie decyzje Komisji Europejskiej do kosza
