Wymiar sprawiedliwości USA sam pozbawił się prawa żądania informacji o klientach polskich firm - mówi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Niedawno opisaliśmy w DGP precedensowy wyrok, w którym amerykański sąd uznał, że nie może zobowiązać polskiej firmy do przekazania danych swych klientów. Pisał pan analizę na potrzeby tej sprawy. Co skłoniło amerykański sąd do takiego rozstrzygnięcia? Dlaczego w ogóle wziął pod uwagę jakieś polskie przepisy?
Rzeczywiście mogłoby się wydawać, że polskie regulacje niezbyt zainteresują amerykański wymiar sprawiedliwości. Tym razem jednak udało się przekonać sąd, że dostarczenie dowodów - którymi były dane osobowe - oznaczałoby dla tego, kto ich dostarczył, widmo odpowiedzialności karnej oraz kary finansowej. Przypomnę, że europejskie przepisy o ochronie danych osobowych, czyli RODO, bardzo mocno ograniczają możliwość transferu danych poza Europejski Obszar Gospodarczy, w tym również do USA. Co więcej, akurat transfery danych do USA od wielu lat pozostają „na celowniku” europejskich przepisów, a to ze względu na bardzo szerokie uprawnienia amerykańskich służb specjalnych. Dlatego argumentowaliśmy, że nie można zobowiązać polskiego podmiotu do dostarczenia danych osobowych do USA, a sąd zgodził się z tą argumentacją. Można powiedzieć, że tamtejszy wymiar sprawiedliwości sam pozbawił się pewnych uprawnień z uwagi na RODO i to, że system prawny USA nie jest zgodny z systemem prawnym UE w zakresie ochrony danych osobowych.
Wyrok został utrzymany w Sądzie Najwyższym i jest wiążący w dziewięciu stanach, ale cytują go także inne sądy. Czy oznacza to, że w żadnej sprawie toczącej się przed amerykańskim wymiarem sprawiedliwości sąd już nie nakaże polskiej firmie przekazania danych osobowych?
Ponieważ zakaz przekazywania danych wynika z możliwości odpowiedzialności przekazującego na podstawie RODO, decydujące znaczenie będzie mieć zakres zastosowania RODO i jego art. 48. Poza zakresem zastosowania RODO pozostają postępowania karne i tu nic się nie zmienia - mamy odpowiednie umowy międzynarodowe. Z kolei w ramach zakresu stosowania RODO przekazywanie danych jest nadal możliwe, ale wyłącznie wtedy, gdy opiera się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej obowiązująca między wzywającym państwem trzecim, czyli USA a Unią lub państwem członkowskim, czyli Rzecząpospolitą Polską. Tymczasem takiej umowy nie ma - nie istnieje umowa międzynarodowa pomiędzy Rzecząpospolitą Polską a USA, która regulowałaby kwestię przekazywania danych osobowych na potrzeby postępowań cywilnych czy w ogóle kwestie współpracy w zakresie spraw cywilnych. Nie istnieje również analogiczna umowa zawarta pomiędzy Unią Europejską a USA. Dlatego właśnie w zakresie przekazywania danych osobowych na potrzeby postępowań cywilnych sądy amerykańskie zaczynają uznawać, że nie mają prawa nakazywać polskim podmiotom przekazywania danych osobowych do USA. Zresztą nie tylko polskim, bo moim zdaniem należy to rozciągnąć na podmioty ze wszystkich państw EOG.
W jaki sposób firma amerykańska może doprowadzić do ujawnienia tych danych? Musiałaby to zrobić przed polskim sądem?
Tak, trzeba pozwać w Polsce, bo wtedy nie będzie dochodziło do przekazywania danych osobowych do USA, pozostaną w dyspozycji polskiego wymiaru sprawiedliwości. Oczywiście oznacza to wiele praktycznych niedogodności dla firm z USA, na czele ze znacznie niższymi kwotami, jakich mogą się domagać. Wiele wskazuje jednak na to, że to jedyna droga, jeżeli podmiot amerykański nie dysponuje wystarczającymi dowodami i musi się ich domagać od podmiotu polskiego, a w skład tego materiału dowodowego wchodzą dane osobowe.
Czy to oznacza, że Polacy też nie mogą się domagać udostępnienia danych od amerykańskich firm? Dajmy na to od portali społecznościowych, np. w sprawach o pomówienie?
Nie, nie ma takiego zagrożenia - ograniczenia w przekazywaniu danych do USA wynikają z obowiązujących w UE przepisów o ochronie danych osobowych i zmieniającej się praktyki ich stosowania, a w USA takich przepisów brak. Transfery danych z USA do Polski na potrzeby postępowań cywilnych są więc nadal możliwe i odbywają się na dotychczasowych zasadach, czyli zgodnie z prawem amerykańskim. Musimy jednak pamiętać o tym, że ogromną rolę odgrywa tutaj praktyka po stronie podmiotów typu Facebook czy Twitter - o ile dość sprawnie przekazują dane na potrzeby postępowań karnych, o tyle wydostanie danych na potrzeby postępowań cywilnych bywa bardzo trudne.
Transfer danych do USA już od dawna jest na cenzurowanym. W zasadzie wciąż nie wiadomo, czy w ogóle jest dopuszczalny, a jeśli tak, to na jakich zasadach.
Po wyrokach TSUE w sprawach Schrems I i II wiele wskazuje na to, że nie ma możliwości dalszego przekazywania danych osobowych z Unii Europejskiej do USA na masową skalę bez stosowania dodatkowych zabezpieczeń. Te dodatkowe zabezpieczenia mają chronić nasze dane przed służbami specjalnymi USA. Zgodnie z rekomendacją Europejskiej Rady Ochrony Danych najlepszym - i w zasadzie jedynym - zabezpieczeniem jest szyfrowanie danych jeszcze w Unii Europejskiej i przekazywanie ich w tej postaci do USA. Problem tylko w tym, że szyfrowanie można stosować tylko wtedy, gdy podmiot amerykański po prostu przechowuje nasze dane, ale sam z nich nie korzysta. Można więc z tego sposobu korzystać przy przechowywaniu danych w chmurze, ale już nie, gdy odbiorca w USA musi się z nimi zapoznać, czyli np. wtedy, gdy przekazujemy dane do sądu. Dlatego inaczej wygląda dopuszczalność transferów w sektorze prywatnym, gdzie pewne procesy można tak zaprojektować, żeby były zgodne z prawem, a inaczej, gdy dane są przekazywane na potrzeby podmiotów publicznych.
Rozmawiał Sławomir Wikariak