Tarcza prywatności („Privacy Shield”) weszła w życie w 2016 roku na zgliszczach programu ochrony danych Safe Harbour. Na luki w ochronie danych kierowanych z Europy do USA, zwrócił uwagę prawnik Maximilian Schrems, który stał się rzecznikiem Europejczyków i samego siebie, słusznie zauważając, że ogromne bazy danych, które są kierowane do Stanów Zjednoczonych, wciąż nie są dobrze chronione.
Na swoim Twitterze Schrems otwiera szampana po wyroku TSUE z dnia 16 lipca 2020 r. w sprawie C-311/18 („Schrems II”).
– Jestem bardzo zadowolony z wyroku – komentuje prawnik. – Wygląda na to, że Trybunał śledził nas we wszystkich aspektach. (…) Oczywiste jest, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru, jeśli amerykańskie firmy chcą nadal odgrywać ważną rolę na rynku UE. (…) Trybunał po raz drugi wyjaśnił, że istnieje konflikt między unijnym prawem prywatności a amerykańskim prawem nadzoru. Ponieważ UE nie zmieni swoich podstawowych praw, aby zadowolić NSA, jedynym sposobem na przezwyciężenie tego konfliktu jest wprowadzenie przez Stany Zjednoczone solidnych praw do prywatności dla wszystkich ludzi – w tym cudzoziemców. Tym samym reforma nadzoru staje się kluczowa dla interesów biznesowych Doliny Krzemowej.
Wyrok Trybunału z pewnością będzie obciążeniem dla firm takich jak Google, Amazon czy Facebook, które przekazują do USA dane, także w ramach usług chmurowych. Do czasu wypracowania nowych rozwiązań, zgodnych z RODO, przesył będzie w wielu przypadkach nielegalny.
Jak podkreśla Maciej Gawroński, technolawyer – w dalszym ciągu istnieje możliwość obrony (czyli uznania, że zapewniony jest odpowiedni stopień ochrony) pewnych typów usług chmurowych, gdzie dochodzi do transferu danych do USA. Myślę o tych usługach, w których transfer danych do USA nie dotyczy tzw. kontentu (user generated content) – transferowane są dane telemetryczne a nawet dane podstawowe użytkowników (jednolita książka adresowa). Myślę też o tych usługach, w których zapewnione jest szyfrowanie end-to-end. Wydaje się, że można też uznać za zgodne usługi tzw. bezstanowe, to znaczy takie, w których nie dochodzi do przechowywania danych. W tym ostatnim przypadku należałoby jednak weryfikować, jakie dane jednak się odkładają i jak są czyszczone bufory techniczne. Dodatkowo, zważywszy na dostęp National Security Agency do danych przesyłanych do USA kablami transatlantyckimi, oczywiście dane w przesyle powinny być chronione odpowiednim szyfrowaniem (TSL w odpowiedniej wersji). W każdym przypadku będzie należało zweryfikować faktyczną możliwość inwigilacji użytkownika w danej usłudze i ocenić na tym tle adekwatność ochrony.
Poza wymienionymi możliwościami obejścia wyroku, warto też zauważyć, że chociaż tarcza prywatności została unieważniona, to decyzja określająca tzw. Standardowe Klauzule Umowne pozostaje w mocy, co oznacza, że przy ich wykorzystaniu transfer danych nadal może być kontynuowany, o ile zapewnione jest też bezpieczeństwo danych. W jaki sposób? Bez nowej tarczy, która być może powinna być tworzona wspólnie z USA, jest to zagadnienie dosyć płynne. Koncerny będą rozwiązywać ten problem, instalując w Europie bazy przechowywania danych, a mniejsze firmy transferujące dane do USA muszą sprawdzać legalność transferu danych, między innymi weryfikując cyberzabezpieczenia amerykańskich partnerów.
Wyrok TSUE pociąga za sobą wiele konsekwencji i otwiera sporo pól dyskusji. Między innymi pokazuje, że oportunistyczne przepisy prawa nie przetrwają długo. Tarcze zrobione z lichej jakości materiału łatwo jest zniszczyć.
Od 16.07. Tarcza prywatności ("Privacy Shield”) nie gwarantuje już legalności przekazywania danych z Unii Europejskiej do Stanów Zjednoczonych. Jeśli twoja firma lub partner przetwarza dane, które do niego wysyłasz, skontaktuj się z prawnikiem, który powie ci jak bezpiecznie to robić. Pamiętaj, że nasi specjaliści mogą zapewnić ci narzędzia informatyczne do legalnej ochrony danych. Zapraszamy do kontaktu!
