Dane osobowe na serwerach w USA: niepewna przyszłość „Tarczy Prywatności”

Transfer danych osobowych z państwa UE do państwa trzeciego, wymaga dla swojej legalności odpowiedniego poziomu ochrony transferowanych danych w państwie docelowym.

W przypadku transferu danych osobowych do USA do października 2015 r. odpowiedni poziom ochrony zapewniony był programem „Safe Harbour”, czyli „Bezpieczna przystań”, co zostało stwierdzone decyzją Komisji Europejskiej z dnia 26 lipca 2000 r. (2000/520/WE). Dany podmiot gospodarczy w USA, który miał być adresatem transferu danych z UE musiał przystąpić do wspomnianego programu i zadeklarować przestrzeganie określonych zasad na zasadzie samocertyfikacji. Spełniało to wymóg „odpowiedniego poziomu ochrony”. Jednak 6 października 2015 Trybunał Sprawiedliwości Unii Europejskiej wydał przełomowy wyrok w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14), w którym stwierdził nieważność wyżej wymienionej decyzji Komisji Europejskiej. Wyrok Trybunału Sprawiedliwości położył kres legalnemu transferowi danych do USA w oparciu o „Bezpieczną przystań”. Główne zarzuty pod adresem „Bezpiecznej przystani” dotyczyły braku skutecznych metod egzekucji oraz mechanizmu rozpatrywania spraw indywidualnych. Ponadto dawała ona spore możliwości amerykańskim służbom na uzyskanie dostępu do danych transferowanych do USA.

12 lipca 2016 r. Komisja Europejska przyjęła nowy program ochrony transferu danych do USA, czyli „Tarczę prywatności UE-USA” („EU-US Privacy Shield”). Program ten ma spełniać wszystkie wymagania, które zostały wyszczególnione w wyroku Trybunały Sprawiedliwości, który zakwestionował „Bezpieczną przystań”. Przedsiębiorcy, zwłaszcza z branży IT, po obu stronach Atlantyku cieszą się z „Tarczy prywatności” ponieważ dzięki jej obowiązywaniu ponownie można uznać za spełnioną przesłankę odpowiedniego poziomu ochrony transferowanych do USA danych. Jako przykład może posłużyć korzystanie z usług amerykańskiej firmy MailChimp oferującej platformę do wysyłania newsletterów. Transferowanymi w tym przypadku danymi były adresy e-mail odbiorców newslettera. Po zakwestionowaniu programu „Bezpieczna przystań”, do którego należała firma MailChimp, korzystanie z jej usług wymagało podpisania dodatkowych umów z serwisem. Tak samo będzie, jeśli MailChimp nie przystąpi do „Tarczy prywatności”. Gdy jednak dojdzie do przystąpienia przez firmę do nowego programu, zaoszczędzi to przedsiębiorcom dodatkowych formalności – nie będą musieli wykonywać żadnych dodatkowych czynności. Zatem z perspektywy przedsiębiorców zaletą „Tarczy prywatności”, jak i każdego tego typu programu była i jest przede wszystkim wygoda oraz pewność prawa. Obrońcy prywatności nie podzielają jednak entuzjazmu przedsiębiorców i podnoszą, że „Tarcza prywatności” opiera się na tych samych złych założeniach, na których opierała się „Bezpieczna przystań”: samoregulacji, samocertyfikacji, braku efektywnych mechanizmów kontroli i środków ochrony, a także duże możliwości inwigilowania danych przez wywiad USA.

Te wątpliwości znajdują potwierdzenie w oświadczeniu Grupy Roboczej Artykułu 29 (Grupa robocza organów ochrony danych osobowych z Państw UE) z dnia 25 lipca 2016 r. w sprawie „Tarczy Prywatności”, w którym Grupa wyraziła zaniepokojenie wobec  braku konkretnych zasad dotyczących zautomatyzowanego przetwarzania danych oraz powszechnego prawa do sprzeciwu, niewystarczających gwarancji niezależności i uprawnień Rzecznika w Departamencie Stanu USA, braku konkretnych gwarancji dla wywiązywania się strony amerykańskiej z zobowiązania do nieprowadzenia masowego gromadzenia danych osobowych.

Grupa zapowiada przeprowadzenie pierwszego rocznego przeglądu „Tarczy”, który pozwoli ocenić solidność i efektywność jej mechanizmu. Zanim dojdzie do pierwszego przeglądu „Tarczy Prywatności” jest bardzo prawdopodobne, że przed Europejskim Trybunałem  Sprawiedliwości zostaną podjęte pierwsze próby zakwestionowania decyzji Komisji Europejskiej wprowadzającej „Tarczę”– tak, jak stało się to w przypadku „Bezpiecznej Przystani”.

W przypadku zakwestionowania „Tarczy Prywatności”, transfer danych osobowych do USA będzie wymagał uzyskania zgody GIODO albo administrator przetwarzanych danych będzie musiał zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą poprzez standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską albo wiążące reguły korporacyjne, które zostały zatwierdzone przez GIODO. Do tego czasu jednak, transfer danych osobowych w oparciu o „Tarczę Prywatności” jest legalny i nie wymaga spełniania dodatkowych formalności.