Tarcza w miejsce „Bezpiecznej przystani”

Unia Europejska i Stany Zjednoczone ogłosiły, że uzgodniły nowe rozwiązania w zakresie transferów danych osobowych Europejczyków za Atlantyk. „UE–US Privacy Shield” zastąpić ma „Safe Harbour” – unieważnioną przez Trybunał Sprawiedliwości Unii Europejskiej decyzję Komisji Europejskiej, na podstawie której dotychczas dokonywano transferów. Problem w tym, że porozumienie nie ma wiążącego charakteru, a ponadto realna ocena tego, czy zapewni odpowiedni poziom ochrony, będzie możliwa dopiero, gdy ujawniona zostanie jego spisana treść. A ta jeszcze nie powstała – ma zostać przygotowana w najbliższych miesiącach.

Do października zeszłego roku dane osobowe Europejczyków trafiały do USA na podstawie decyzji Komisji Europejskiej, zgodnie z którą amerykańskie firmy uczestniczące w programie „Safe Harbour” były uznawane za zapewniające odpowiedni stopień ochrony przekazywanych danych. Trybunał Sprawiedliwości uznał jednak, że decyzja Komisji jest nieważna, bo Stany Zjednoczone nie zapewniają odpowiedniego poziomu ochrony. Z doniesień Edwarda Snowdena wynikało bowiem, że amerykańskie służby mogły masowo sięgać po dane Europejczyków. Wyrok Trybunału otworzył europejskim organom ochrony danych osobowych (m.in. polskiemu GIODO) furtkę do oceny (np. w odpowiedzi na skargi obywateli), czy działania amerykańskiej firmy są zgodne z europejskimi przepisami o ochronie danych osobowych. Organy te zdecydowały jednak wstrzymać się z kontrolami i dać Komisji Europejskiej oraz Stanom Zjednoczonym czas do końca stycznia na przygotowanie nowego porozumienia regulującego transfery danych.

Z doniesień medialnych wynikało, że negocjacje były trudne, jednak stronom udało się zawrzeć porozumienie. Przyjęto nowe rozwiązanie: „Tarczę prywatności”. Zgodnie z komunikatem prasowym Komisji Europejskiej zakłada ona, że obywatele UE będą mogli poskarżyć się na działania amerykańskich firm, a same firmy będą musiały spełnić konkretne wymagania i przestrzegać decyzji europejskich organów ochrony danych. Do tego USA zobowiązują się, że dostęp władz do danych Europejczyków będzie ograniczony i kontrolowany, także przez przedstawicieli europejskich organów ochrony danych. W celu ochrony praw obywateli UE zostanie powołany również specjalny rzecznik zajmujący się kwestią dostępu służb do danych.

Obecne ustalenia mają charakter porozumienia politycznego, a nie wiążącego prawnie rozwiązania. Niestety diabeł tkwi w szczegółach, a te będą znane dopiero, kiedy założenia zostaną przemienione w konkretne postanowienia decyzji KE o adekwatności amerykańskiego systemu ochrony. Wtedy też możliwa będzie ocena, czy spełniają one wymogi wskazane w wyroku TSUE unieważniającym decyzję „Safe Harbour”.

Wiele organizacji zajmujących się ochroną prywatności już teraz twierdzi, że to tylko proteza, która nie wytrzyma weryfikacji przez europejskie organy ochrony danych i Trybunał w Luksemburgu. Same organy ochrony danych, zrzeszone w ramach Grupy Roboczej art. 29, dają zaś Komisji Europejskiej czas do końca lutego na przedstawienie szczegółów porozumienia. Po upływie tego czasu zaczną oceniać legalność dokonywania transferów do USA w oparciu o obowiązujące obecnie podstawy.

Wcześniej Stany Zjednoczone, a konkretniej wybrane amerykańskie firmy, które deklarowały, że zapewniają odpowiedni standard ochrony, miały być dla danych Europejczyków bezpieczną przystanią. Teraz dane osobowe podlegać mają ochronie tarczy. Czy po raz kolejny pod piękną nazwą kryć się będzie niedostateczny poziom ochrony? W pełni przekonamy się dopiero, gdy ujawniony zostanie tekst porozumienia. Jednak wątpliwości mamy już dziś.

Anna Walkowiak