Wizytówka Google    Facebook    YouTube    Twitter    Certyfikat    Zamów kontakt    RODO    Cookies    OK! Dzwonię!    X

Tarcza prywatności - unieważniona!

Dnia 16. lipca br., długo oczekiwanym orzeczeniem w sprawie „Schrems” (C-311/18), Trybunał Sprawiedliwości Unii Europejskiej zadał, jak się wydaje poważny cios praktyce przekazywania danych osobowych do krajów spoza Unii Europejskiej. Trybunał Sprawiedliwości Unii Europejskiej w uzasadnieniu do orzeczenia podkreślił, że standardowe klauzule umowne Komisji Europejskiej (2010/87/UE) - dotyczące innego mechanizmu, który można byłoby wykorzystywać do przekazywania danych podmiotom mającym siedzibę w krajach trzecich - nie zawsze spełniają wymóg formalny, innymi słowy; mogą nie zapewniać wystarczającej ochrony, a więc mogą okazać się konieczne dodatkowe zabezpieczenia.
Sprawa przekazywania danych obywateli Unii Europejskiej do krajów trzecich sięga czerwca 2013 r., kiedy to pan Maximilian Schrems, obywatel Austrii, złożył skargę do irlandzkiego komisarza ds. Ochrony Danych, żądając zakazu przekazywania jego danych osobowych do Stanów Zjednoczonych przez Facebook Ireland Ltd. Maximilian Schrems w swej skardze wskazał na niezgodne z praktyką amerykańskie działania masowego nadzoru, które zostały ujawnione w tym samym czasie przez Edwarda Snowdena. W szczególności ów wskazywał, że przepisy obowiązujące w Stanach Zjednoczonych nie regulują w wystarczający sposób procedur i nie gwarantują osobom, których dane dotyczą, praw równoważnych z prawami uznanymi w Unii Europejskiej.
W pierwszym wyroku z dnia 6. października 2015 r. (C362/14) - Trybunał Sprawiedliwości Unii Europejskiej orzekł na korzyść pana Schremsa, unieważniając mechanizm ochronny wdrożony w zakresie przekazywania danych do Stanów Zjednoczonych, który Komisja Europejska uznała za odpowiedni (decyzja 2000/520).
W następstwie tego orzeczenia, irlandzkie władze, które początkowo odrzuciły skargę pana Schremsa ze względu na istnienie ww. „mechanizmu ochrony”, ostatecznie wszczęły dochodzenie, w trakcie którego Facebook Ireland Ltd. udowodnił wprowadzenie standardowych klauzul umownych, zgodnie z przyjętą decyzją Komisji Europejskiej 2010/87/UE, która powinna, co do zasady zapewniać odpowiednie zabezpieczenia osobom, których dotyczy przekazywanie danych osobowych do krajów, które nie zapewniają odpowiedniego poziomu ochrony.
 
Na wskutek tego działania, Trybunał Sprawiedliwości Unii Europejskiej został ponownie poproszony o orzeczenie w sprawie ważności i zgodności wprowadzonych przez FB standardów i klauzul umownych oraz nowego mechanizmu ochronnego stworzonego w międzyczasie przez Stany Zjednoczone i Komisję Europejską, ten nowy mechanizm, to „Tarcza Prywatności”.
Jednak jak już wyżej wspomniano, wyrokiem z dnia 16. lipca br. Trybunał Sprawiedliwości Unii Europejskiej unieważnił ze skutkiem natychmiastowym Tarczę Prywatności, a dokładniej; TSUE uchylił decyzję (2016/1250), na mocy której Komisja Europejska uznała, że ​​Tarcza Prywatności stanowi wystarczający mechanizm ochronny regulujący i zabezpieczajacy proces przenoszenia danych osobowych obywateli Unii Europejskiej do Stanów Zjednoczonych.
W swojej decyzji Trybunał Sprawiedliwości Unii Europejskiej uznał, że amerykańskie klauzule nadzoru nie ograniczają się do tego, co jest absolutnie konieczne, ponieważ władze mogą w szczególności prowadzić operacje nadzoru na dużą skalę, które nie są zgodne z zasadami konieczności i proporcjonalności obowiązującymi w Unii Europejskiej. Ponadto Trybunał Sprawiedliwości Unii Europejskiej wskazał, że Stany Zjednoczone, a w szczególności mechanizm rzecznika praw obywatelskich, do którego odnosi się decyzja w sprawie Tarczy Prywatności, nie zapewniają osobom, których dane dotyczą, rzeczywistej możliwości wniesienia powództwa do niezależnego i bezstronnego sądu, zgodnie z wymogami Karty Praw Podstawowych Unii Europejskiej.
W odniesieniu do standardowych klauzul umownych, Trybunał Sprawiedliwości Unii Europejskiej potwierdził, że pozostają one ważnym mechanizmem zabezpieczającym przekazywanie danych osobowych z Unii Europejskiej do krajów trzecich, które nie zapewniają odpowiedniego stopnia ochrony wg standardów unijnych. Przypomniał jednak, że klauzule te same w sobie nie zawsze stanowią wystarczającą ochronę, w szczególności w przypadku przekazywania danych do krajów, które podobnie jak Stany Zjednoczone nie regulują w wystarczającym stopniu uprawnień ingerencji ich władz. W tym to względzie Trybunał Sprawiedliwości Unii Europejskiej zasadniczo zwrócił uwagę, że standardowe klauzule umowne stanowią umowę zawartą między eksporterem - administratorem danych a odbierającym te dane, i że umowa ta nie podlega wykonaniu wobec władz kraju otrzymującego dane; ponieważ wspomniane organy nie są stronami umowy. Dlatego standardowe klauzule umowne, choć ważne, nie stanowią wystarczającej gwarancji regulującej przekazywanie danych osobowych z Unii Europejskiej do krajów takich jak Stany Zjednoczone, a więc w takim przypadku oprócz tych klauzul należy wprowadzić dodatkowe środki.
Skutkiem tych postanowień jest bezwzględna potrzeba zmiany zasad i procedur, czyli wszyscy przedsiębiorcy, którzy wcześniej przekazywali dane osobowe z Unii Europejskiej do Stanów Zjednoczonych na podstawie Tarczy Prywatności, są zobowiązani, jeśli chcą kontynuować takie przekazywanie, do zastąpienia jej ważnymi alternatywnymi gwarancjami. Jednak takie alternatywne mechanizmy, które można by zastosować i które obejmowałyby standardowe klauzule, to w większości mechanizmy umowne, które Trybunał Sprawiedliwości Unii Europejskiej uznał za niewystarczające ze względu na ich niewykonalność wobec władz Stanów Zjednoczonych Ameryki Północnej. Zatem wdrażaniu tych alternatywnych mechanizmów gwarantujących bezpieczeństwo przekazywanych danych musi towarzyszyć przyjęcie dodatkowych środków w celu zapewnienia wymaganej ochrony. Wobec powyższego nasuwa się pytanie; jakie rodzaje dodatkowych środków mogą, poza standardowymi klauzulami umownymi, stanowić odpowiednią ochronę przed ingerencją władz USA? Trybunał Sprawiedliwości Unii Europejskiej nie zajął stanowiska w tej sprawie, a organy ochrony danych nie opublikowały jeszcze żadnej informacji na ten temat, co oczywiście może utrudnić przestrzeganie przepisów.
 
Reasumując; trudno jest technicznie uniemożliwić dostęp władzom USA do danych przesyłanych z Unii Europejskiej do Stanów Zjednoczonych ponieważ, jak zauważył Trybunał Sprawiedliwości Unii Europejskiej, władze USA przechwytują transmisję w kablach sieciowych (łączach), a w szczególności robią to w tzw. „upstreamie”, czyli podczas bezprzewodowego przesyłania danych od klienta na serwer. W tym względzie nawet wdrożenie kompleksowych rozwiązań szyfrujących należy uznać za niewystarczające, w szczególności ze względu na rozwiązania deszyfrujące, które są lub mogą być dostępne dla władz USA – przede wszystkim chodzi tu o technologię kwantową. Ponadto niektóre przepisy mogą wymagać od operatorów przekazania ich kluczy szyfrowania, a nawet wręcz władze mogą domagać się w przyszłości takiego przekazania.
Alternatywą mogłoby być zastosowanie rozwiązań stosowanych w Unii Europejskiej. Nie jest jednak pewne, czy byłoby to wystarczające rozwiązanie we wszystkich okolicznościach. Rzeczywiście, niektóre operacje zdalnego przetwarzania z technicznego punktu widzenia wiążą się z tymczasowym transferem, a zatem de facto ujawniają te dane w przestrzeni informatycznej, co jest uważane za transfer danych w rozumieniu przepisów europejskich. Niektóre podmioty gospodarcze zastanawiają się również, czy możliwe jest dostosowanie dodatkowych środków w zależności od ryzyka naruszenia praw i wolności w celu zapewnienia korzystania z danych o niskim ryzyku dla prywatności osób; czy takie działanie nie byłoby nadmiernie uciążliwe i nazbyt utrudnione. Tutaj również nic nie jest pewne, chociaż może na to sugerować podejście oparte na ryzyku, które dominuje w standardowych klauzulach umownych.
Pytania te pojawiają się za każdym razem, gdy odbywa się transfer, oparty na standardowych klauzulach umownych, do krajów trzecich, które nie były przedmiotem decyzji o odpowiedniej ochronie i dla których nie jest możliwe ustalenie z całą pewnością, że zapewniają one równoważne gwarancje takie, jak te uznane w Unii Europejskiej, a dotyczące ingerencji władz. Wątpliwość, co do rodzaju środków uzupełniających, które należy wprowadzić, stwarza niepewność nie tylko dla osób, których dane dotyczą, a które mogą nie korzystać z odpowiedniej ochrony podczas ich przekazywania, ale także dla podmiotów gospodarczych, z których wielu nadal oczekuje potwierdzenia zgodności, zwłaszcza gdy są zależni od zewnętrznych dostawców usług lub rozwiązań działających poza Unią Europejską. W związku z tym dominacja lub prawie monopol w sektorach, takich jak: badania online, social media i reklama sprawia, że ​​obejście się bez tych usług jest niezwykle trudne, jeśli w ogóle po prostu niemożliwe. Ponieważ korzystanie z takich takie usług, zwykle wiąże się z koniecznością przekazywania danych do Stanów Zjednoczonych, to ze względu na wspomniane powyżej wątpliwości, zapewnienie i wprowadzenie odpowiednich dodatkowych zabezpieczeń, wydaje się nieodzowne. Dlatego też, niezwykle istotną kwestią jest aspekt, aby organy ochrony danych, nadal wspierały podmioty gospodarcze, tak by można było jasno określić i wdrożyć dodatkowe środki wymagane w przypadku przekazywania danych do Stanów Zjednoczonych i innych krajów.
 
Szukaj