Trybunał Sprawiedliwości a rewelacje Edwarda Snowdena

24 marca 2015 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) rozpoczął postępowanie w sprawie Maximilliana Schremsa przeciwko lokalnemu irlandzkiemu inspektorowi danych osobowych (ang. Data Protection Commissioner; sygn. akt C-362/14). Data Protection Commisioner odmówił bowiem zbadania skargi Pana Schremsa na działania oddziału irlandzkiego Facebook’a.

Sprawa jest wyjątkowo medialna, bowiem dotyka przekazywania przez serwis społecznościowy Facebook danych osobowych mieszkańców Unii Europejskiej do Stanów Zjednoczonych. Jest to niezwykle gorący temat z uwagi na kulisy afery ujawnionej w 2013 roku przez Edwarda Snowden’a. Snowden upublicznił liczną dokumentację pochodzącą z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA). Ów dokumentacja dotyczyła rządowego programu PRISM, którego zadaniem jest inwigilacja użytkowników internetu, ze szczególnym uwzględnieniem osób korzystających z serwisów społecznościowych i poczty elektronicznej. W związku z powyższym, irlandzki Sąd Najwyższy (High Court of Ireland) wystosował pytanie prejudycjalne do TSUE o następującej treści:

1. Czy jeżeli w trakcie rozpatrywania skargi skierowanej do niezależnego urzędnika (przyp. red.: Data Protecion Commisioner), któremu z mocy ustawy powierzono funkcje administracyjne i wykonawcze w odniesieniu do ustawodawstwa dotyczącego ochrony danych, dane osobowe przekazywane są do innego państwa trzeciego (w tym przypadku do Stanów Zjednoczonych Ameryki), którego obowiązujące przepisy i praktyka prawna nie gwarantują – w ocenie skarżącego – adekwatnej ochrony osoby, której owe dane dotyczą, urzędnik ten jest bezwzględnie związany odmiennymi ustaleniami Wspólnoty zawartymi w decyzji Komisji z dnia 26 lipca 2000 r. (2000/520/WE), uwzględniając art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej (2000/C 364/01), niezależnie od przepisu art. 25 ust. 6 dyrektywy 95/46/WE?

2. Ewentualnie, czy urzędnik ten może lub musi zbadać tę sprawę indywidualnie w świetle nowych okoliczności faktycznych zaistniałych w międzyczasie, po dacie publikacji decyzji Komisji?

Parafrazując powyższe na prosty język, TSUE stanie przed niezwykle trudnym zadaniem. Jego decyzja pozwoli udzielić odpowiedzi na pytanie, czy program „Safe Harbour” (“Bezpieczna Przystań”) pozbawia obywateli Unii Europejskiej ich praw wynikających z Karty Praw Podstawowych. Lub innymi słowy: czy irlandzki Inspektor Danych osobowych może pominąć ustalenia Komisji UE i Stanów Zjednoczonych dotyczące programu “Safe Harbour”, kierując się dobrem obywateli Unii Europejskiej?

Czym jest zatem program „Safe Harbour”?

Podczas rozmów pomiędzy Departamentem Handlu Stanów Zjednoczonych a Komisją Europejską uznano, że obecny stan prawny w zakresie danych osobowych może hamować wymianę gospodarczą. Aby pogodzić interesy obu stron (mając w szczególności na względzie niski poziom zabezpieczeń danych osobowych w Stanach Zjednoczonych) postanowiono, że amerykańskie podmioty, które spełnią wymagania Dyrektywy 95/46/WE mogą otrzymać certyfikat programu „Safe Harbour”. Ma on gwarantować odpowiedni poziom ochrony danych osobowych.

Stosownie do postanowienia art. 25 ust. 1 Dyrektywy 95/46/WE państwa członkowskie UE zapewniają, że przekazywania do kraju trzeciego (takiego jak USA) danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu może nastąpić tylko wówczas, gdy – niezależnie od zgodności z z krajowymi przepisami przyjętymi na podstawie tej dyrektywy – dany kraj trzeci zapewni odpowiedni stopień ochrony. Dyrektywa stanowi ponadto, że Komisja Europejska uprawniona jest do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji z Komisją Europejską, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

Karta Praw Podstawowych stanowi z kolei:

Artykuł 7 – Poszanowanie życia prywatnego i rodzinnego

Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się.

Artykuł 8 – Ochrona danych osobowych

1. Każdy ma prawo do ochrony danych osobowych, które go dotyczą.

2. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.

3. Przestrzeganie tych zasad podlega kontroli niezależnego organu.

(…)

Artykuł 47 – Prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu

Każdy, kogo prawa i wolności zagwarantowane przez prawo Unii zostały naruszone, ma prawo do skutecznego środka prawnego przed sądem, zgodnie z warunkami przewidzianymi w niniejszym artykule. Każdy ma prawo do sprawiedliwego i jawnego rozpatrzenia jego sprawy w rozsądnym terminie przez niezawisły i bezstronny sąd ustanowiony uprzednio na mocy ustawy. Każdy ma możliwość uzyskania porady prawnej, skorzystania z pomocy obrońcy i przedstawiciela. Pomoc prawna jest udzielana osobom, które nie posiadają wystarczających środków, w zakresie w jakim jest ona konieczna dla zapewnienia skutecznego dostępu do wymiaru sprawiedliwości.

Decyzja Trybunału z pewnością będzie istotna, także z uwagi na polityczny charakter sprawy. Trybunał może bowiem orzec, że interpretacja zasad “Safe Harbour” w świetle Karty Praw Podstawowych jest niemożliwa, bowiem krajowe organy ochrony danych osobowych są związane decyzjami Komisji.  Z drugiej strony orzeczenie może przybrać inny wymiar i przychylić pozytywnie do możliwości analizy “Safe Harbour” względem Karty Praw Podstawowych. Niesie to jednak ryzyko różnych interpretacji każdego z 28 państw wspólnoty oraz podważa sens ustaleń pomiędzy Komisją Europejską a państwami spoza EOG.