Brakuje podstawy prawnej, która pozwoliłaby dziś na legalny transfer danych do USA.
DGP
Do lipca 2020 r. dane osobowe Europejczyków płynęły do USA głównie w oparciu o „Privacy Shield” (Tarcza Prywatności), czyli zatwierdzony przez Komisję Europejską program mający gwarantować adekwatną ochronę danych. Program ten już jednak nie działa – austriacki prawnik Max Schrems doprowadził przed Trybunałem Sprawiedliwości Unii Europejskiej do stwierdzenia jego nieważności ze względu na zbyt łatwy dostęp amerykańskich służb do tych danych (sprawa C-311/18). Przestała więc istnieć główna podstawa prawna do przesyłania danych za ocean.
W związku z wyrokiem TSUE irlandzka Komisja Ochrony Danych (DPC) wydała wstępny nakaz zaprzestania przesyłania danych europejskich użytkowników przez Facebooka. Serwis społecznościowy odwołał się, a sąd wstrzymał wykonanie decyzji DPC do czasu rozstrzygnięcia. To właśnie w związku z tą sprawą pojawiła się sugestia blokady usług serwisu dla 410 mln użytkowników z UE. Yvonne Cunnane, dyrektor ds. ochrony danych Facebooka, stwierdziła, że nie jest jasne, w jaki sposób serwis miałby działać, gdyby decyzja DPC weszła w życie. Rzecznik prasowy społecznościowego giganta łagodził później te słowa, tłumacząc, że nie należy ich traktować jako groźby, tylko wskazanie wątpliwości prawnych.

Kontrole niewykluczone

Stwierdzenie Yvonne Cunnane jest pewnie elementem gry biznesowej, ale jednocześnie pokazuje skalę problemu, przed jakim stoją nie tylko amerykańskie korporacje, ale i dziesiątki tysięcy firm z UE, które korzystają z dostarczanych przez nie narzędzi.
– Te firmy znajdują się w sytuacji nie do pozazdroszczenia. Z jednej strony tezy wyroku TSUE wydają się jednoznaczne. Z drugiej biznes, zwłaszcza ten wielki, działa jak działał, specjalnie się tym wyrokiem nie przejmując. Do tego dochodzi szum informacyjny ze strony organów nadzorczych – niektóre (Berlin) wprost nawołują do wycofania danych od dostawców z USA, inne (Polska) ograniczają się do powtórzenia niektórych tez wyroku TSUE – zauważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Biznes, ale i administracja publiczna używająca choćby usług w amerykańskiej chmurze obliczeniowej, są w zasadzie bez wyjścia. Trudno sobie wyobrazić, by dane z UE nagle przestały być przesyłane przez Atlantyk, a z drugiej strony trudno też znaleźć podstawę prawną do ich transferu. Brak takiej podstawy grozi zaś gigantycznymi karami finansowymi, nawet do 4 proc. rocznych obrotów firmy. W tej chwili administratorzy danych tkwią w pewnym zawieszeniu – wszyscy czekają na zajęcie stanowiska przez Europejską Radę Ochrony Danych. Z ewentualnością kontroli trzeba się jednak liczyć także w Polsce.
– O ile stanowisko EROD będzie istotne pod kątem ewentualnego rozstrzygania spraw przez c, to nie ma ono wpływu na decyzje o przeprowadzaniu samych kontroli. W najbliższym czasie z uwagi na pandemię nie planujemy takich kontroli. Nie można jednak ich wykluczyć w przyszłym roku – mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.

Bez podstaw prawnych

Lipcowy wyrok TSUE nie tylko stwierdził nieważność Tarczy Prywatności. Z tym firmy mogłyby sobie poradzić, przechodząc na inną podstawę prawną – standardowe klauzule umowne. To postanowienia, które po wpisaniu do umowy mają gwarantować adekwatność ochrony danych w USA. Problem w tym, że TSUE podważył również ich skuteczność. Skoro bowiem amerykańskie służby mają zbyt łatwy dostęp do danych, to żadne klauzule umowne tego nie zmienią.
Wytyczne EROD są takie, że administratorzy powinni przeprowadzić analizę swych umów i ocenić, na ile gwarantują rzetelną ochronę. Jej wzmocnieniu mogą służyć deklaracje ze strony amerykańskich partnerów o zapewnieniu wystarczających środków. Pytanie jednak, ile one są warte, skoro amerykańskie firmy muszą podporządkować się prawu USA.
– Uważam, że są to puste zapisy, a w praktyce zobowiązania umowne stron nie mogą zatrzymać obowiązywania przepisów np. amerykańskiego rozporządzenia 12333, które umożliwia Narodowej Agencji Bezpieczeństwa uzyskanie dostępu do danych – ocenia Piotr Liwszic, ekspert ds. ochrony danych, autor bloga JawnePrzezPoufne.pl.
– Rozwiązanie problemu tak naprawdę nie leży po stronie UE tylko USA. Jednym z pomysłów Departamentu Handlu USA jest zaproponowanie federalnej ustawy o ochronie danych osobowych, która wprowadziłaby odpowiedni poziom ochrony danych osobowych Europejczyków, i to nawet z możliwością dochodzenia swoich praw przed amerykańskimi sądami – dodaje.

Czekając na stanowisko

Ewentualne decyzje amerykańskiej administracji to pieśń przyszłości, do tego bardzo niepewna. Tymczasem firmy transferujące dane już dzisiaj muszą liczyć się z negatywnymi dla siebie konsekwencjami. Czy mogą się jakoś przed nimi zabezpieczyć?
– Jedynym dostępnym rozwiązaniem wydaje się być szyfrowanie danych. Albo przez tego, kto dane wysyła, albo przez dostawcę usług z USA – podpowiada dr Paweł Litwiński.
– Rozsądny wydaje się także – tam, gdzie dostawca oferuje taką możliwość – wybór centrów danych zlokalizowanych w Europie. Ale tutaj trzeba pamiętać o tym, że obowiązująca w USA ustawa Cloud Act pozwala zobowiązać dostawcę z USA do wydania danych niezależnie od tego, gdzie są one przechowywane – dodaje.
Jak na razie, poza Irlandią, gdzie toczy się spór z Facebookiem, żaden z organów ochrony danych w UE nie wydał decyzji kwestionującej transfer danych do Stanów Zjednoczonych. Prędzej czy później będą musiały zmierzyć się z tym problemem. Choćby dlatego, że Max Schrems nie składa broni. Założona przez niego organizacja NOYB (jej nazwa nawiązuje do skrótu angielskiego powiedzenia „nie twój interes”) w sierpniu złożyła 101 skarg przeciwko firmom z całej UE, zarzucając im bezprawny transfer danych. Za cel wybrała sobie czołowe spółki z różnych dziedzin, w tym m.in. MTV, Ikeę, Leroy Merlin, Sephorę czy Tele2. W tym gronie jest też pięć polskich firm: TVN, TVP, Interia, Onet-RAS i PKO BP.
– Skargi organizacji NOYB płynęły zarówno do prezesa UODO, jak i do organów nadzorczych w innych państwach członkowskich UE. Co prawda są one rozpatrywane indywidualnie, niemniej ich charakter jest podobny. Z tego względu EROD powołała grupę zadaniową, która będzie koordynowała działania w tym zakresie – mówi Adam Sanocki.
– Na obecnym etapie postępowania trudno jest rozstrzygnąć, jak ono się zakończy. Jednak podkreślam, że w opinii prezesa UODO konieczne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD – dodaje.
W tej chwili wszyscy więc czekają na to, co postanowi EROD. Chodzi nie tylko o wspomniane 101 skarg NOYB, ale – co wydaje się dużo istotniejsze – wskazanie administratorom, co mają robić. Grupa robocza ma wskazać odpowiednie środki uzupełniające dla zapewnienia odpowiedniego stopnia ochrony przy przekazywaniu danych do państw trzecich. Mówiąc wprost – chodzi o to, by znaleźć sposób pozwalający na legalny transfer.
– Konsekwencje wyroku TSUE są dalekosiężne, a konteksty przekazywania danych do państw trzecich bardzo różnorodne. Dlatego też nie istnieje jedno szybkie, uniwersalne rozwiązanie – zaznaczyła w komunikacie po posiedzeniu EROD jego przewodnicząca Andrea Jelinek.