Komisja Europejska przyjęła 12 lipca nowe rozwiązanie w zakresie przekazywania danych osobowych obywateli Unii Europejskiej do Stanów Zjednoczonych. Tarcza Prywatności, bo tak brzmi nazwa nowego programu, ma zastąpić wadliwy Safe Harbour – wcześniejsze porozumienie, które wielokrotnie krytykowane było za niezgodność z europejskimi normami ochrony danych.
Europejskie przepisy ochrony danych osobowych jasno wskazują, że w przypadku przekazywania danych obywateli UE do krajów trzecich (a więc poza Europejski Obszar Gospodarczy), kraje te muszą zapewnić odpowiedni poziom ochrony danych. Dotyczy to również Stanów Zjednoczonych – siedziby gigantów takich jak Facebook, Twitter czy Apple.
Safe Harbour i podstawy prawne przekazywania danych do USA
Do października 2015 r. podstawową regulację w zakresie przekazywania danych do USA stanowił program Safe Harbour. Wpisane do niego firmy gwarantowały, że stosują procedury i zabezpieczenia danych na poziomie przepisów europejskich, co pozwalało na legalne przekazywanie im danych osobowych.
Program Safe Harbour opierał się na decyzji Komisji Europejskiej z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony danych zapewnianej przez USA do przepisów obowiązujących we wspólnocie europejskiej. Trzeba przy tym zaznaczyć, że obowiązujący przez 10 lat Safe Harbour uznawany był przez aktywistów ochrony prywatności za niepełny i wybrakowany. W szczególności oskarżenia dotyczyły niskiego standardu zabezpieczeń, metod egzekucji przepisów czy braku mechanizmu rozpatrywania skarg. Dodatkowy problem stanowiła również inwigilacyjna doktryna służb amerykańskich. W wielu wypadkach posiadają niemal nieograniczony dostęp do danych osobowych znajdujących się na serwerach firm amerykańskich.
Edward Snowden ujawnia inwigilację
Tak długo jednak, jak decyzja Komisji UE nie była podważona wiążącym orzeczeniem prawnym, Safe Harbour umożliwiał swobodny transfer danych do USA. Europejscy przedsiębiorcy mogli więc korzystać z usług takich jak MailChimp. Dane użytkowników Facebooka trafiały bez przeszkód na serwery amerykańskiej siedziby.
Po opublikowaniu przez Edwarda Snowdena poufnych dokumentów na temat inwigilacji prowadzonej przez amerykańskie służby, jasne stało się, że USA nie gwarantuje odpowiedniego poziomu zabezpieczeń. Potwierdzeniem tego okazała się decyzja Trybunału Sprawiedliwości UE w sprawie austriackiego aktywisty Maxa Schremsa, który podważył poziom rzeczywistej ochrony jego danych przekazywanych przez Facebooka do amerykańskiej siedziby. Wyrok Trybunału nie pozostawiał wątpliwości. Wcześniejsze decyzja Komisji Europejskiej jest nieważna. Transfer danych do USA w ramach programu Safe Harbour jest wykluczony.
Takie stanowisko przyjął również polski Generalny Inspektor Ochrony Danych Osobowych. Na stronie GIODO możemy przeczytać:
Generalny Inspektor Ochrony Danych Osobowych przypomina, że w wyniku wydania przez Trybunał Sprawiedliwości UE w październiku 2015 r. wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził on nieważność decyzji Komisji Europejskiej z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” przez Stany Zjednoczone, administratorzy danych nie mogą przekazywać danych do USA na podstawie unieważnionej przez TSUE decyzji KE. (…)
Źródło: http://giodo.gov.pl/560/id_art/9054/j/pl
Tarcza Prywatności: Nowe rozwiązanie – stare problemy?
Po wyroku Trybunału UE administratorzy danych utracili możliwość przekazywania danych do Stanów Zjednoczonych, chyba że spełnili dodatkowe przesłanki opisane w ustawie. Np. pisemna zgoda osoby której dane dotyczą na przekazanie jej danych do państwa trzeciego (Art. 47, ust. 3, p. 1 Ustawy o ochronie danych osobowych). W praktyce jednak mało który administrator uzyskał taką zgodę lub zrezygnował z przekazywania danych. Konieczne stało się więc stworzenie nowego porozumienia, które ponownie pozwoliłoby na transfer danych do USA. Tak właśnie powstała zapowiedziana w lutym tego roku Tarcza Prywatności.
Nowe rozwiązanie ma opierać się na 4 głównych zasadach:
Przestrzeganie zasad postanowień – które sprawdzane ma być przez Departament Handlu Stanów Zjednoczonych przez regularne kontrole podmiotów wpisanych do programu.
Ograniczenie masowej inwigilacji – oznaczające, że służby i organy publiczne Stanów Zjednoczonych nie będą miały nieskrępowanego dostępu do danych osobowych obywateli UE.
Ochrona praw osób fizycznych – przez wprowadzenie mechanizmów rozpatrywania skarg i sporów.
Wspólny mechanizm przeglądu – w postaci corocznej kontroli prowadzonej przez Komisję Europejską i Departament Handlu USA.
Tarcza Prywatności niemal od początku wzbudza kontrowersje. Aktywiści zaznaczają, że tak naprawę porozumienie nie opiera się na merytorycznych przesłankach, ani na podniesieniu poziomu bezpieczeństwa danych w USA. Wypracowano prowizoryczne rozwiązanie, które ponownie umożliwia przekazywanie danych przez Atlantyk. Tarcza krytykowana jest przede wszystkim za niejasność zawartych w niej przepisów i brak realnych rozwiązań w zakresie ochrony danych.
Mimo sceptycznych głosów uznających Tarczę Prywatności za rozwiązanie prowizoryczne, które szybko może zostać uznane za nielegalne, europejscy inspektorzy ochrony danych zapowiedzieli, że nie będą wysuwać zastrzeżeń wobec niej przez kolejne 12 miesięcy, czekając na wyniki raportu rocznego. O ile więc nie znajdzie się kolejny aktywista, który podważy jej postanowienia, dane mogą być znowu legalnie przekazywane do Stanów Zjednoczonych.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.