Najnowszy wyrok Sądu UE oddala zagrożenie blokady transferu danych osobowych z UE do USA. Zagrożenie o tyle realne, że wcześniej już dwukrotnie Trybunał Sprawiedliwości Unii Europejskiej unieważniał umowy ramowe legalizujące ten transfer. Najpierw tzw. Bezpieczną przystań (sprawa Schrems I z 2015 r.), a następnie Tarczę prywatności (sprawa Schrems II z 2020 r.). Jednym z głównych powodów było to, że inwigilacja prowadzona przez USA nie jest zgodna z prawem unijnym, ponieważ zezwala na niczym nieskrępowany dostęp amerykańskich służb do danych mieszkańców UE.

Po tych rozstrzygnięciach Komisja Europejska w 2023 r. wynegocjowała ze Stanami Zjednoczonymi nowe porozumienie - Ramy ochrony danych UE-USA (Data Privacy Framework, dalej: DPF). Nową umowę ramową zakwestionował jednak Philippe Latombe, deputowany francuskiego Zgromadzenia Narodowego. Gdyby sąd uwzględnił jego wniosek i stwierdził nieważność DPF, transfer danych do USA znów odbywałby się bez jednoznacznej podstawy prawnej, co groziłoby wysokimi karami finansowymi.

Nowa umowa ramowa w sprawie danych osobowych

Podstawą do zawarcia umowy DPF było amerykańskie rozporządzenie wykonawcze, regulujące działania prowadzone przez agencje wywiadowcze z siedzibą w USA. Rozporządzenie to zostało następnie uzupełnione rozporządzeniem prokuratora generalnego, którym zmieniono zasady funkcjonowania Sądu ds. Kontroli Ochrony Danych (Data Protection Review Court; dalej: DPRC). To na tej podstawie Komisja Europejska uznała, że ostatecznie państwo amerykańskie wdrożyło mechanizmy gwarantujące ochronę danych Europejczyków na poziomie porównywalnym do tego, jakie zapewniają unijne przepisy RODO.

Philippe Latombe wniósł o stwierdzenie nieważności zaskarżonej decyzji, argumentując, że amerykański sąd DPRC nie jest ani bezstronny, ani niezawisły, lecz zależny od władzy wykonawczej. Ponadto przekonywał, że praktyka agencji wywiadowczych USA polegająca na hurtowym gromadzeniu, bez uprzedniej zgody sądu lub niezależnego organu administracyjnego, danych osobowych transferowanych z Unii nie jest uregulowana w sposób wystarczająco precyzyjny, a zatem jest niezgodna z prawem.

Dane osobowe w USA pod wystarczającą kontrolą

Sąd UE nie uwzględnił argumentów francuskiego polityka. Uznał, że powoływanie sędziów DPRC i funkcjonowanie samego sądu jest obwarowane gwarancjami, które zapewniają niezawisłość osób orzekających.

Co się tyczy w pierwszej kolejności DPRC, Sąd stwierdził w szczególności, że z akt sprawy wynika, iż powoływanie sędziów DPRC i jego funkcjonowanie jest obwarowane szeregiem gwarancji i warunków mających na celu zapewnienie niezawisłości jego członków.

„Po pierwsze, sędziowie DPRC mogą zostać odwołani wyłącznie przez prokuratora generalnego i tylko na ważnej podstawie, a po drugie, prokurator generalny i agencje wywiadowcze nie mogą utrudniać ani wpływać w niewłaściwy sposób na ich pracę” – czytamy w komunikacie Sądu UE wydanym po ogłoszeniu środowego wyroku. Dodatkowo KE jest zobowiązana do stałego stosowania ram prawnych, dlatego jeśli zaobserwuje niepokojące praktyki w USA, to będzie mogła uchylić, zawiesić lub zmienić swą decyzję.

Data Privacy Framework zgodne z unijnym prawem

Sądu UE nie przekonały również zastrzeżenia do hurtowego gromadzenia danych przez amerykańskie agencje wywiadowcze. Wbrew twierdzeniom francuskiego polityka z wyroku w sprawie Schrems II nie wynika bowiem obowiązek uzyskiwania przez te służby uprzedniego zezwolenia wydawanego przez niezależny organ na gromadzenie danych Europejczyków.

„Przeciwnie, z wyroku tego wynika, że decyzja zezwalająca na takie gromadzenie danych powinna podlegać następczej kontroli sądowej. W niniejszej sprawie z akt sprawy wynika, że prawo USA poddaje działania rozpoznania elektromagnetycznego prowadzone przez agencje wywiadowcze w USA nadzorowi sądowemu” – uznał Sąd UE.

Od wyroku Sądu UE przysługuje odwołanie do Trybunału Sprawiedliwości Unii Europejskiej, ale ograniczone wyłącznie do kwestii prawnych.