(Nie)bezpieczna przystań?

Nie milknie echo ostatniego wyroku Trybunału Sprawiedliwości UE z dnia 6 października 2015 roku (sprawa C-362/14) w sprawie programu „Safe Harbour”. O całym kontekście sprawy informowaliśmy już na naszym blogu, w momencie kiedy Trybunał wszczynał postępowanie.

Tytułem powtórnego wyjaśnienia, program „Safe Harbour” został wypracowany pomiędzy Departamentem Handlu Stanów Zjednoczonych oraz Komisją Europejską i umożliwił certyfikowanym amerykańskim przedsiębiorcom swobodne przetwarzanie danych osobowych obywateli Unii Europejskiej, bez spełnienia dodatkowych, nadmiernych formalności u krajowych organów ochrony danych osobowych (w Polsce GIODO).

Dwa tygodnie temu Trybunał Sprawiedliwości UE kompleksowo poddał pod rozwagę wyżej wspomniany program, uznając w ostateczności, że decyzja Komisji Europejskiej na podstawie której program „Safe Harbour” był stosowany jest nieważna. Trybunał wskazał, że istnienie takiej decyzji, która stwierdza, iż dane państwo zapewnia odpowiedni stopień ochrony przekazanych danych osobowych, nie może w żaden sposób ograniczać uprawnień przysługujących krajowym organom nadzorczym. Obowiązkiem bowiem organu odpowiedzialnego za ochronę danych osobowych jest badanie, czy przekazanie danych osobowych do kraju trzeciego jest zgodne z przepisami dyrektywy 95/46/WE. Podniesione zostało ponadto, że program ma zastosowanie tylko do amerykańskich przedsiębiorców, nie zaś do władz publicznych USA, które w granicach swojego prawa mają de facto nieograniczoną możliwość ingerencji w dane osobowe obywateli Europejskiego Obszaru Gospodarczego.

Jakie są zatem praktyczne konsekwencje tego precedensowego wyroku? Przede wszystkim, Trybunał potwierdził prawo do kontrolowania przez krajowe organy stojące na straży ochrony danych (np. GIODO w Polsce) wszystkich tych podmiotów, które przekazują dane osobowe z EOG do amerykańskich przedsiębiorców. W przypadku wykrycia naruszeń, przekazywanie takie może zostać wstrzymane.

Niebagatelnym i chyba najważniejszym aspektem całej tej sprawy jest utrata przesłanki legalizującej dotychczasowe przetwarzanie danych osobowych przez podmioty, które przystąpiły do programu Safe Harbour, w tym takie koncerny jak Facebook, Google czy Coca-Cola (pełna lista uczestników). W konsekwencji wspomniane przedsiębiorstwa będą musiały postarać się o nowe podstawy, które zapewnią zgodne z prawem przetwarzanie ogromnej ilości danych. W przeciwnym wypadku mogłoby to wręcz sparaliżować funkcjonowanie tych przedsiębiorstw na terenie EOG.

W jaki sposób zatem amerykańskie firmy będą mogły aktualnie przetwarzać dane osobowe pochodzące z terenu EOG? Jak europejscy przedsiębiorcy powinni zabezpieczyć się przed zarzutami nieprawidłowego przetwarzania danych w przypadku współpracy z takimi firmami? Czy europejscy przedsiębiorcy powinni zaprzestać przekazywania danych osobowych do USA? Co stanie się z dotychczasowymi umowami outsourcingu danych? Jakie konsekwencje i odpowiedzialność niesie za sobą przetwarzanie i przekazywanie danych w okresie od wydanie wyroku Trybunału do czasu wdrożenia nowych rozwiązań prawnych dotyczących transferu danych? Wyrok rodzi więcej pytań, na które niełatwo znaleźć gotowe odpowiedzi.

Aktualnie rozwiązań na legalne przekazanie danych na terytorium USA jest jest kilka.

Po pierwsze możliwe jest wykorzystanie tzw. standardowych klauzul umownych (SCC) w oparciu o które zostanie zawarta umowa pomiędzy podmiotem mającym siedzibę w USA a firmą mającą siedzibę na terenie EOG. Klauzule te zatwierdzane są przez Komisję Europejską zgodnie z dyrektywą 95/46/WE. Takie rozwiązanie przyjął chociażby Microsoft, który już w 2011 roku w ramach swoich usług z zakresu tzw. cloud computing wykorzystał standardowe klauzule umowne jako przesłankę legalizującą przekazywanie danych osobowych poza EOG. Dlatego też ten światowy potentat na rynku oprogramowania – pomimo tego, że należał do listy firm w ramach programu Safe Harbour, która aktualnie jest nieważna – może w dalszym ciągu przetwarzać i otrzymywać dane osobowe z terytorium Europy dzięki stosowaniu standardowych klauzul umownych.

Drugą z możliwości są wiążące reguły korporacyjne (BCR), które z reguły mają zastosowanie w wymianie danych osobowych w ramach międzynarodowych korporacji. Należy jednak pamiętać, że reguły te muszą być zatwierdzone przez GIODO, z uwagi na fakt, iż Polska (jak kilka innych państw) nie przystąpiła do tzw. porozumień mutual recognition, które to porozumienia wyłączają z obowiązku zatwierdzania przez GIODO wiążących reguł korporacyjnych, w sytuacji gdy uczynił to inny organ ds. ochrony danych osobowych z kraju EOG. Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej, wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych  do należącego do tej samej grupy innego administratora  danych lub podmiotu, któremu powierzono dane.

Trzecim rozwiązaniem jest uzyskanie stosownej zgody GIODO, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Kolejnym rozwiązaniem  jest uzyskanie przez administratora danych dobrowolnej zgody na przekazanie danych od osoby, której dotyczą dane osobowe. Zgoda taka powinna być jednak wyrażona na piśmie – co może rodzić wiele problemów i być niepraktycznym rozwiązaniem w przypadku liczby danych, które podlegają transferowi za ocean. Ustawa o ochronie danych osobowych przewiduje także inne możliwości, np. dopuszcza możliwość przekazania danych poza teren EOG, w przypadku gdy przekazanie to jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie.

Na dwie pierwsze, potencjalne solucje, wskazuje również Grupa Robocza Artykułu 29 ds. Ochrony Danych w specjalnie wydanym oświadczeniu. Grupa wezwała ponadto rządy państw członkowskich oraz unijne instytucje do podjęcia jak najszybszych negocjacji z władzami USA w celu wypracowania spójnych rozwiązań z zakresu przetwarzania danych osobowych obywateli EOG, uwzględniających respektowanie praw podstawowych. Należy jedynie nadmienić, że takie rozmowy prowadzone są już od 2014 roku i stanowią konsekwencję wycieku informacji o podsłuchowych praktykach Agencji Bezpieczeństwa Narodowego USA (NSA). Zaktualizowany program Safe Harbour miał w założeniu ograniczyć możliwość wykorzystywania danych obywateli EOG przez amerykańskie agencje wywiadowcze. Należy mieć tylko nadzieję, że przedmiotowy wyrok zintensyfikuje działania mające na celu wypracowanie wspólnych i bezpiecznych rozwiązań.

Jak widać problem (nie)bezpiecznej przystani jest palący i powoduje znamienne implikacje w zakresie przetwarzania danych osobowych przez światowych gigantów. Naturalną konsekwencją tego wyroku, będzie konieczność uzyskania w niedalekiej przyszłości ponownej zgody na przetwarzanie danych osobowych od użytkowników takich portali jak Facebook oraz zrewidowanie przez te przedsiębiorstwa polityki przetwarzania danych osobowych.

Z kolei po stronie europejskich przedsiębiorców leży obowiązek zweryfikowania dotychczasowych umów zawartych z amerykańskimi firmami, do których zostały przekazane dane osobowe (np. przewidujące przetwarzanie danych na serwerach, które znajdują się na terenie USA). Zapewne większość z nich powinna być aneksowana lub stworzona na nowo.

Na koniec należy pamiętać, że wyrok Trybunału ma zastosowanie jedynie do decyzji w sprawie „Safe Harbour”, nie rozszerzając się tym samym na analogiczne decyzje Komisji Europejskiej dotyczące takich krajów jak Szwajcaria czy Izrael.

Co ciekawe, po analizie wypowiedzi środowisk prawniczych  widać istotne rozbieżności dotyczące zarówno oceny samego wyroku jak i filozoficznego podejścia do ochrony prywatności oraz danych osobowych po obu stronach oceanu. Poglądy amerykańskich prawników, którzy w większości dostrzegają przede wszystkim zagrożenia i utrudnienia dla działalności globalnych amerykańskich korporacji, różnią się znacznie od ich europejskich kolegów z branży – którym bliższe wydaje się podejście dające prymat prywatności. Te różne percepcje zdają się być z jednej strony naturalne, zważywszy na pochodzenie internetowych i technologicznych gigantów oraz amerykańskie rozumienie wolności słowa, z drugiej zaś strony dobitnie też pokazuje jak otoczenie prawne wpływa na rozwój sektora big data.

Mamy nadzieję, że wyrok w sposób praktyczny przyczyni się do zapewnienia prawdziwej, a nie tylko pozornej ochrony naszych danych. Niezależnie od powyższego wyrok nie powinien jednocześnie przyczynić się do wprowadzenia dodatkowych istotnych trudności w działalności biznesowej podmiotów współpracujących ze sobą na rynkach globalnych.