Panoptykon 4.0: Koniec „Tarczy prywatności”. I co dalej?

W skrócie

16 lipca Trybunał Sprawiedliwości Unii Europejskiej w głośnej sprawie Schrems II stwierdził, że Stany Zjednoczone nie gwarantują ochrony danych osobowych na takim poziomie, jakiego wymaga UE. A konkretnie nie gwarantuje jej „Tarcza prywatności” – umowa między Unią a Stanami, która od 2016 r. regulowała przekazywanie danych handlowych. Z momentem jej podważenia przez europejski Trybunał wszystkie firmy (nie tylko Facebook, którego dotyczyła skarga Maxa Schremsa) straciły łatwą podstawę przekazywania danych swoich klientów na serwery zlokalizowane w USA.

W wyroku nie znajdziemy bezwzględnego zakazu transferu danych osobowych. Nie znajdziemy też jednak odpowiedzi na pytanie, z którym muszą się teraz zmierzyć europejscy przedsiębiorcy: „Jakie zabezpieczenia powinny zostać wynegocjowane z amerykańskimi partnerami, tak by móc im przekazać dane osobowe i nie narazić się na milionowe kary za naruszenie RODO?”. Czy jakiekolwiek umowy między prywatnymi firmami są w stanie załatać dziury w standardach prawnych, których do tej pory nie potrafił lub nie chciał załatać rząd Stanów Zjednoczonych? Bo przecież głównym powodem zakwestionowania „Tarczy prywatności” przez europejski Trybunał są uprawnienia amerykańskich służb, dopuszczające masową inwigilację. W zderzeniu z ich władzą ustępowały nawet największe korporacje z Doliny Krzemowej.

W rozmowie z Marcinem Marutą, ekspertem w zakresie prawa nowych technologii i praktykiem z 20-letnim stażem, poszukujemy odpowiedzi na trudne pytanie: „Co powinny zrobić firmy, które nadal chcą albo muszą korzystać z usług amerykańskich dostawców?”.

Najnowszy odcinek podcastu znajdziesz na naszej stronie, na YouTubie, Vimeo lub na portalu TOK FM (tam znajdziesz też automatyczną transkrypcję). Podcast możesz również zasubskrybować za pośrednictwem kanału RSS Panoptykon 4.0.

https://panoptykon.org/sites/default/files/podcasty-maruta_min_final.png

Streszczenie rozmowy

Kiedy Trybunał Sprawiedliwości Unii Europejskiej przyznał rację Maxowi Schremsowi i zabronił Facebookowi przekazywać dane na serwery w Stanach Zjednoczonych w oparciu o samą „Tarczę prywatności”, wśród przedsiębiorców zawrzało. Jak działać w takich warunkach i jak poważnie traktować prawo, którego interpretacja zmienia się z dnia na dzień? Według Marcina Maruty decyzja TSUE nie powinna była nikogo zaskoczyć, choćby dlatego, że problem masowej inwigilacji (nagłośniony przez Edwarda Snowdena) jest znany od lat, a już w 2015 r. ten sam Trybunał Sprawiedliwości Unii Europejskiej unieważnił poprzedniczkę „Tarczy prywatności”, tj. umowę „Bezpieczna przystań” (Safe Harbour).

„Między amerykańskim a europejskim system prawnym zachodzi zasadnicza filozoficzna różnica. Podczas kiedy ochrona danych osobowych w Stanach opiera się na idei wolności, wartością kluczową dla europejskiego systemu jest godność” – tłumaczy Marcin Maruta. „Transfer danych za ocean jest koniecznością. Biznes potrzebuje instrumentów prawnych takich jak »Tarcza prywatności« jak kania dżdżu”.

Do tej pory, jeśli firmy europejskie chciały przekazać dane osobowe swoich klientów za ocean, mogły skorzystać z dwóch bezpiecznych pod względem prawnym i zasadniczo gotowych rozwiązań: powołać się na „Tarczę prywatności” (umowę obowiązującą między UE i USA, która na takie transfery pozwalała) albo skorzystać z tzw. standardowych klauzul umownych. Większość wybierała to pierwsze rozwiązanie, ponieważ nie wymagało ono podpisywania dodatkowych dokumentów. Amerykański usługodawca deklarował, że dostosował swój biznes do wymogów Tarczy, a europejska firma informowała osoby, których dane przetwarza, że mogą dochodzić swoich praw w USA właśnie w oparciu o ten instrument.

Standardowe klauzule umowne – drugie rozwiązanie – wymagały od obu stron nieco więcej wysiłku (przede wszystkim podpisania umowy, w której cytowane były odpowiednie klauzule), ale również nie wiązały się z ryzykiem prawnym. Przedsiębiorcy sami nie negocjowali ani nie wymyślali treści klauzul pozwalających na transfer danych, tylko sięgali po zatwierdzone wzory.

W swoim wyroku TSUE zakwestionował oba gotowe rozwiązania: unieważnił „Tarczę prywatności” i nakazał przedsiębiorcom krytycznie weryfikować, czy standardowe klauzule umowne, które wpisują do swoich umów z amerykańskimi kontrahentami, spełniają europejskie standardy. To o wiele trudniejsze zadanie, choć zgodne z ideą RODO. To prawo zobowiązuje też przedsiębiorców do krytycznego myślenia: każdy, kto zabiera się za przetwarzanie danych, powinien przeprowadzić analizę faktycznego ryzyka związanego z operacjami, jakie planuje. Jeśli zatem planuje transfer danych do USA, powinien samodzielnie ocenić ryzyko, jakie się z tym wiąże. Trudno zatem się dziwić, że wielu przedsiębiorców, widząc na horyzoncie duży wysiłek finansowy i organizacyjny, na wyrok TSUE zareagowało frustracją albo paniką.

Marcin Maruta twierdzi jednak, że – na podstawowym poziomie – dostosowanie się do wyroku TSUE nie musi być skomplikowane. Wiele amerykańskich firm, które świadczą usługi na europejskim rynku, już dawno dostrzegło ryzyko prawne związane z lokalizacją danych i zadbało o rozwiązanie tego problemu. Oferowane przez nie oprogramowanie umożliwia takie skonfigurowanie usługi, żeby dane osobowe pozostawały na europejskich serwerach. Zadbanie o to nie wymaga żadnych negocjacji ani zmian w umowie – wystarczy przesunąć odpowiedni suwak w zainstalowanym oprogramowaniu.

Jeśli rozwiązanie jest tak proste jak przesunięcie suwaka, to w czym problem? Problematyczne są te wszystkie wyjątki, które również znajdziemy w umowach z amerykańskimi dostawcami. Okazuje się, że nawet przy dobrze ustawionym suwaku, a więc gdy wybraliśmy przetwarzanie danych osobowych na europejskim serwerze, umowy zastrzegają tzw. szczególne przypadki (np. usterek), w których niektóre rodzaje danych mogą trafić do USA. Najczęściej takie wyjątki dotyczą danych techniczno-diagnostycznych czy awaryjnie wykonanej kopii zapasowej.

Niestety, w świetle decyzji TSUE można dojść do wniosku, że ryzyko związane z taką niecodzienną operacją obciąża przedsiębiorcę, który zamówił usługę u amerykańskiego kontrahenta. To on powinien ocenić, czy dojdzie do przetwarzania danych osobowych i naruszenia RODO. Zadanie bardzo trudne, jeżeli nie niemożliwe, dla przedsiębiorcy bez wiedzy eksperckiej w tym obszarze. Szczególnie jeśli mówimy o usługach tak technicznie skomplikowanych jak chmura. Dlatego według Marcina Maruty to operatorzy usług chmurowych (szczególnie ci wielcy, jak Google, Amazon i Facebook) powinni doprecyzować swoje warunki świadczenia usług i wprost odpowiedzieć na pytania, jakie pojawiły się po wyroku TSUE. Taki ruch z ich strony znacznie ułatwiłby analizę ryzyka europejskim podmiotom.

Analizy ryzyka, z którą (niezależnie od wyroku TSUE) mierzą się europejscy przedsiębiorcy, nie ułatwia jednak elastyczna definicja danych osobowych na gruncie RODO. Postęp technologiczny sprawia, że gromadzonych jest coraz więcej danych, które nie identyfikują nikogo wprost, ale po wykonaniu skomplikowanych operacji technicznych mogą zostać powiązane z konkretnym człowiekiem. Chodzi tu np. o dane techniczno-diagnostyczne. Jednocześnie w Unii Europejskiej nadal funkcjonują różne interpretacje definicji danych osobowych. Interpretacja berlińskiego organu ochrony danych jest bliska poglądom Maxa Schremsa (zgodnie z nią nawet transfer danych techniczno-diagnostycznych do USA powinien być zabroniony, bo narusza RODO), w tym samym czasie w Polsce sąd orzeka, że tablica rejestracyjna nie jest daną osobową (mimo że jasno wskazuje na właściciela samochodu oraz miejsce rejestracji pojazdu).

Zdaniem Marcina Maruty wystarczającym rozwiązaniem, jeśli chcemy zabezpieczyć poufność danych osobowych w przypadku transferu za ocean (szczególnie tych poniekąd drugiej kategorii, np. techniczno-diagnostycznych), jest ich zaszyfrowanie. Jednak co do tego, czy zabezpieczenie samej poufności danych wystarczy, żeby zrealizować zalecenia TSUE, powinna się wypowiedzieć Europejska Rada Ochrony Danych Osobowych. Dobrym sygnałem dla wszystkich, którzy na takie wytyczne czekają, jest to, że Rada powołała specjalną grupę roboczą do rozstrzygnięcia 101 skarg wniesionych przez NOYB (organizację, którą kieruje Max Schrems) – właśnie po to, by tym razem uniknąć rozbieżności interpretacyjnych.

Nadziei na doprecyzowanie reguł gry dla biznesu Marcin Maruta upatruje również w kolejnych krokach reformy, jaką zapoczątkowało (ale której nie wyczerpuje) RODO. W Brukseli nadal jeszcze trwają prace nad „drugą nogą” tej reformy, czyli rozporządzeniem ePrivacy, a Komisja Europejska otworzyła nowy front w postaci ambitnego pakietu Digital Services Act. Te regulacje mają uzupełniać RODO, a więc mogą doprecyzować niejasności i rozstrzygnąć kontrowersje związane szczególnie z usługami internetowymi. Dlatego w interesie europejskich przedsiębiorców jest sprawne przeprowadzenie tej kompleksowej reformy, a nie jej blokowanie.

„Mam kilka zastrzeżeń do tego, jak było wprowadzane RODO. Powinno być wprowadzane stopniowo, najpierw objąć banki i największe biznesy. To pozwoliłoby mniejszym przedsiębiorcom czerpać z już wypracowanych wzorców” – przyznaje Maruta. „Mimo tego uważam, że kierunek, który wyznacza, jest dobry. RODO stawia na myślenie i oferuje bardziej elastyczny, a przez to bardziej przystosowany do wyzwań dzisiejszego świata model – i ucywilizowało cyberkorporacje. Ten sposób podejścia do prywatności udało się nawet wyeksportować poza Europę. Mówi się o Brussels effect – efekcie brukselskim”.

Według naszego rozmówcy w ostatnich latach w sferze ochrony danych osobowych dokonała się głęboka zmiana. Przed RODO w wielu firmach dane były traktowane jako coś bezwartościowego lub były eksploatowane bez litości. Potem wahadło wychyliło się w drugą stronę, prowadząc czasem do surrealistycznych nadinterpretacji. W kolejnych latach regulatorzy będą poszukiwać punktu równowagi.

Podobają Ci się nasze podcasty? Pomóż nam dalej tworzyć wartościowe treści. Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1% podatku (KRS: 0000327613).

Komentarze

Nie mam tylko pewności, czy miejsce ulokowania serwerów ma jakiekolwiek znaczenie w kontekście tego wyroku. Nawet jeśli serwer Googla będzie w Polsce, to konieczne jest zbadanie, czy Google Ireland Limited nie może być zobowiązany przez rząd USA do udostępnienia danych. Wszystko może zależeć od relacji jakie występują pomiędzy amerykańskim Google, a irlandzkim Google lub pomiędzy irlandzkim Google a rządem USA.
Samo przesunięcie suwaka może nie wystarczyć.

Dodaj komentarz