„Safe Harbor” zakwestionowany przez TSUE – wyrok w sprawie C-362/14

W dniu 6 października 2015r. przed Trybunałem Sprawiedliwości Unii Europejskiej zapadł wyrok w sprawie C-362/14 w sprawie Maximillian Schrems przeciwko Data Protection Commissioner. W wyroku tym Trybunał orzekł nieważność decyzji Komisji stwierdzającej, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych. Chodzi o decyzję 2000/520/WE Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. 2000, L 215, s. 7).

Komentowany wyrok zapadł w następstwie skargi złożonej przez obywatela Austrii, Maximilliana Schremsa, do irlandzkiego organu nadzorczego związanej z przekazywaniem przez Facebook (oddział w Irlandii) danych osobowych do serwerów znajdujących się na terytorium USA, gdzie są one przetwarzane. W skardze Pan Schrems wskazał, że w świetle informacji podanych do wiadomości w 2013 r. przez Edwarda Snowdena na temat działalności służ specjalnych USA (w szczególności National Security Agency lub „NSA”), prawo i praktyka USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez organy publiczne danych przekazywanych do tego państwa. Organ irlandzki oddalił skargę w szczególności z tego względu, że w decyzji z dnia 26 lipca 2000 r. Komisja Europejska stwierdziła, że w ramach systemu zwanego „bezpieczną przystanią” USA zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych. Z pytaniem prejudycjalnym do Trybunału wystąpił High Court of Ireland (Wysoki Trybunał Sądownictwa Irlandzkiego), rozpatrujący odwołanie.

Trybunał orzekł, że istnienie decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych, nie może zniweczyć, ani nawet ograniczyć uprawnień, jakie przysługują krajowym organom nadzorczym na mocy Karty praw podstawowych Unii Europejskiej i dyrektywy. Trybunał podkreślił w tym zakresie prawo do ochrony danych osobowych gwarantowane w Karcie, a także misję, jaką pełnią krajowe organy nadzorcze na mocy wspomnianej Karty. W konsekwencji, w przypadku gdy organ krajowy lub osoba, która wniosła skargę do organu krajowego twierdzi, że decyzja Komisji jest nieważna, organ ten lub ta osoba muszą mieć możliwość zwrócenia się do sądów krajowych, aby sądy te, jeśli także mają wątpliwości co do ważności decyzji Komisji, mogły zwrócić się do Trybunału Sprawiedliwości z pytaniem prejudycjalnym. Tak więc ostatecznie to Trybunał orzeka, czy decyzja Komisji jest ważna, czy też nieważna.

Trybunał orzekł, że uregulowanie, które nie przewiduje żadnej możliwości skorzystania przez jednostkę ze środków prawnych w celu uzyskania dostępu do dotyczących jej danych osobowych lub spowodowania korekty lub usunięcia tego rodzaju danych, narusza zasadniczą istotę prawa podstawowego do skutecznej ochrony sądowej, przy czym taka możliwość jest ściśle związana z istnieniem państwa prawa. Wreszcie Trybunał orzekł, że decyzja Komisji z dnia 26 lipca 2000 r. pozbawia krajowe organy nadzorcze ich uprawnień w przypadku, gdy jednostka podważa zgodność decyzji z ochroną życia prywatnego oraz wolności i praw podstawowych osób. Trybunał stwierdził, że Komisja nie miała kompetencji do ograniczenia w ten sposób uprawnień krajowych organów nadzorczych. Ze wszystkich tych powodów Trybunał stwierdził, że decyzja Komisji z dnia 26 lipca 2000 r. jest nieważna.

Jeśli jesteście Państwo zainteresowani omówieniem skutków prawnych tego wyroku, proszę o kontakt pod adresem: akrasuski@akrasuski.com.