Meta musi zaprzestać nielegalnego transferu danych Europejczyków do USA i usunąć te, które już dotarły za ocean. Problem w tym, że takie wymogi mogą być nie do spełnienia.

Jest 7 czerwca 2013 r. Czytelnicy, którzy do porannej kawy otwierają „The Guardian” i „The Washington Post”, dowiadują się właśnie o jednej z najściślej strzeżonych tajemnic amerykańskiego wywiadu. Dzienniki piszą, że od sześciu lat National Security Agency (NSA) ma dostęp praktycznie do wszystkich informacji, jakie przekazujemy przez platformy internetowe. Może czytać e-maile, wiadomości z komunikatorów, dane umieszczone w chmurze, a także pobrać filmiki i zdjęcia z urządzeń elektronicznych. Skala inwigilacji jest niewyobrażalna – do tajnego programu PRISM przystąpiły największe korporacje technologiczne: Microsoft, Google, Facebook, Skype czy Apple. Dzięki temu rząd USA ma wgląd nie tylko do danych Amerykanów, lecz także użytkowników na całym świecie. Także obywateli Europy. – Mogą namierzyć każdego, w każdej chwili, wszędzie – mówi dziennikarzom sygnalista ukrywający się pod pseudonimem Verax. – Siedząc przy biurku, miałem możliwość podsłuchać sędziego federalnego czy prezydenta. NSA zbudowało infrastrukturę, za pomocą której może przechwycić niemal wszystko.

Według informacji opublikowanych przez gazety Verax przez 10 lat pracował dla agencji wywiadowczych oraz instytucji wykonujących dla nich zlecenia. Wkrótce ujawni się jako Edward Snowden. Najpierw ucieknie do Hongkongu, by potem znaleźć swoje miejsce w putinowskiej Rosji. W ojczyźnie grozi mu 30 lat więzienia za szpiegostwo.

Choć od wybuchu afery PRISM minęła dekada, a Snowdena już mało kto wspomina, jego rewelacje do dziś kładą się cieniem na cyfrowej gospodarce. Wielka kara dla portali Zuckerberga to ich konsekwencje.

1,2 mld euro kary dla Mety za nielegalne przesyłanie danych

Irlandzka Data Protection Commission (DPC) to odpowiednik polskiego Urzędu Ochrony Danych Osobowych. Jej możliwości są jednak dużo szersze, bo kontroluje działania Mety na terenie UE (w Irlandii znajduje się siedziba spółki). Efektem czego była nałożona niedawno kara 1,2 mld euro za nielegalne przesyłanie danych obywateli UE za ocean. DPC uznała, że stanowi to zagrożenie dla podstawowych praw i wolności osób, których te dane dotyczą.

Aby zrozumieć tło tej decyzji, znów musimy się cofnąć w czasie. Po ujawnieniu afery PRISM wzrósł nacisk na zagwarantowanie pełnej ochrony informacji europejskich użytkowników platform. UE i USA zawarły umowy ramowe – najpierw była to Bezpieczna przystań, a potem Tarcza prywatności. Obie upadły w starciu z obrońcą prywatności, austriackim prawnikiem Maxem Schremsem w Trybunale Sprawiedliwości UE.

Konsekwencją wyroków TSUE w sprawach nazwanych kolejno Schrems I i II (odpowiednio z 2015 r. i 2020 r.) było to, że umowy ramowe zostały unieważnione. Trybunał stwierdził, że agencje wywiadowcze i inne służby za oceanem mogą mieć łatwy dostęp do danych internautów. Podkreślił, że inwigilacja prowadzona przez USA jest niezgodna z prawem europejskim, gdyż amerykańskie przepisy nie wymagają – tak jak unijne regulacje – spełnienia „obiektywnego kryterium”, które „umożliwiałoby uzasadnienie” ingerencji rządu w prywatność obywateli.

Porozumienia UE-USA poszły do kosza, ale dane wciąż przesyłano za ocean. I dzieje się tak do dziś. Platformy stosują przy tym tzw. standardowe klauzule umowne. Przy ich podpisywaniu trzeba ocenić ryzyko – tzn. sprawdzić, czy w kraju docelowym jest odpowiedni poziom ochrony danych (nazywa się to TIA – Transfer Impact Assessment). To podejście jest legalne, dopóki urząd ochrony danych – jak w przypadku Meta – nie stwierdzi inaczej.

DPC nakazała spółce Marka Zuckerberga nie tylko zapłacić karę, lecz także zaprzestać dalszych transferów oraz usunąć dane Europejczyków przekazane dotąd za ocean. Na dostosowanie się do decyzji spółka ma pięć miesięcy. Problem w tym, że takie wymagania mogą być nie do spełnienia. – Nie ma takiej technicznej możliwości – ocenia Łukasz Olejnik, niezależny badacz i konsultant, autor książki „Filozofia cyberbezpieczeństwa”. – Chyba nikt dziś nie wie, jak rozwikłać problem, który powstał po wyroku TSUE – przyznaje.

Aktualne postępy w sprawie europejskich serwisów i przesyłania danych

Prawda jest taka, że mimo dwukrotnego obalenia w sądzie umów USA-UE w sprawie transferu danych przez kilka lat politycy po obu stronach Atlantyku udawali Greka. Do tego stopnia, że kara dla największej na świecie platformy społecznościowej spadła na branżę cyfrową jak grom z jasnego nieba. – To rzadki przypadek, gdy rygorystyczne prawo unijne będzie w Europie faktycznie egzekwowane. Wcześniej trick stosowany przez Brukselę polegał na tym, by satysfakcjonować opinię publiczną uchwalaniem surowych regulacji, ale ich nie egzekwować – uważa dr Łukasz Olejnik.

Informacje na amerykańskie serwery wysyłają nie tylko serwisy społecznościowe big techów z Doliny Krzemowej. Robi to też mnóstwo firm z UE – np. przy korzystaniu z usług chmury obliczeniowej od dostawców z USA czy aplikacji biurowych. W walce o respektowanie wyroków trybunału latem 2020 r. Max Schrems i jego organizacja NOYB złożyli w różnych państwach Unii 101 skarg na serwisy internetowe europejskich wydawców, które za pomocą wtyczek Google’a lub Facebooka przesyłały za ocean dane osobowe swoich użytkowników. W ramach akcji Schrems wniósł też skargi do Urzędu Ochrony Danych Osobowych (UODO) na bezprawny transfer danych osobowych do USA przez serwisy internetowe spółek: TVN, TVP, Grupa Interia (obecnie Grupa Polsat Plus), Onet-RASP i PKO BP.

Adam Sanocki, rzecznik prasowy urzędu, informuje nas, że UODO „prowadzi działania” w odniesieniu do pięciu skarg. Dotyczą one stron: player.pl, tvp.pl, interia.pl, jakdojade.pl (w zakresie korzystania z Google Analytics), oraz strony pkobp.pl (w zakresie korzystania z Facebook Contents). „Aktualnie w sprawach tych został zebrany materiał dowodowy i są przygotowywane decyzje administracyjne” – dodaje Sanocki.

W innych krajach sprawy też toczą się powoli. Dotychczas zapadło tylko kilkanaście decyzji, z czego trzy po myśli skarżącego. Dotyczą jednak pojedynczych serwisów, a nie samej praktyki przesyłania danych przez wtyczki big techów.

Decyzje prawne, nie polityczne

Nick Clegg, wiceprezes Mety ds. globalnych, przekonuje, że decyzja irlandzkiego DPC jest „nieuzasadniona i niepotrzebna”. Zapowiada też, że przynajmniej na razie nie będzie zakłóceń w działaniu Facebooka w UE. Łukasz Olejnik nie ma jednak wątpliwości, że w obecnym stanie techniczno-prawnym Facebook i Instagram muszą zostać w Europie wyłączone. – O ile nie będzie nowej umowy o transferach danych USA-UE – zastrzega.

Meta liczy właśnie na takie rozwiązanie – tak stwierdziła spółka w odpowiedzi na pytania Reutersa. Zręby porozumienia, zwanego Data Privacy Framework (DPF), ogłoszono w marcu tego roku. Sęk w tym, że według obrońców prywatności powtarza ono grzechy dwóch poprzednich umów. Co może oznaczać, że Max Schrems ponownie wystąpi ze skargą do TSUE.

Opinię tę podziela większość posłów do Parlamentu Europejskiego, który 11 maja przyjął rezolucję wzywającą Komisję, aby kontynuowała negocjacje ze Stanami Zjednoczonymi. Według nich wypracowany dotąd mechanizm ochrony danych obywateli UE trafiających do USA jest niewystarczający. Europosłowie podkreślili, że „decyzje stwierdzające adekwatność ochrony podejmowane na podstawie RODO są decyzjami prawnymi, a nie politycznymi” i że „praw do prywatności i ochrony danych nie można zrównoważyć z interesami handlowymi lub politycznymi”.

Romain Robert, dyrektor programowy założonej przez Schremsa organizacji NOYB, nie jest zaskoczony stanowiskiem PE. – Jest bardzo spójne z poprzednią rezolucją Parlamentu Europejskiego na ten temat, a także z dwoma orzeczeniami TSUE w sprawach Schrems I i II – tłumaczy. I dodaje, że niedociągnięcia w prawie amerykańskim dwukrotnie stwierdzone przez trybunał UE nadal nie zostały usunięte. – Również Europejska Rada Ochrony Danych (EROD) wezwała do korekty porozumienia – przypomina Romain Robert. – Nie należy lekceważyć tej opinii, bo w skład rady wchodzą te same organy (krajowe urzędy ochrony danych, w tym polski UODO – red.), które będą musiały egzekwować RODO i zakazać przekazywania danych, jeśli zostanie to uznane za niezgodne z prawem. To mocny sygnał – podkreśla dyrektor programowy NOYB. To właśnie m.in. EROD naciskała irlandzki urząd, by nałożył na Metę solidną karę.

Walka o ochronę danych osobowych a rywalizacja gospodarcza

Jan Komosa, adwokat z firmy DAPR, specjalista ds. ochrony danych osobowych, przypuszcza, że motywacją, jaka stała za rezolucją europarlamentu, była – bardziej niż ochrona danych – rywalizacja gospodarcza na polu technologii, w której Unia przegrywa z USA. – Mam wrażenie, że to stanowisko jest podyktowane względami politycznymi, a ochrona danych służy jako pretekst do uderzenia w Stany Zjednoczone. Nasz rynek się nie rozwija tak szybko jak amerykański, więc próbujemy nadgonić regulacjami – uważa prawnik. W grę wchodzi nie tylko DPF. – Na liście największych platform internetowych i wyszukiwarek, opublikowanej na podstawie aktu o usługach cyfrowych, na 19 portali tylko jeden był z Unii – zauważa Jan Komosa. Ten jedyny to Zalando, czyli niemiecka platofrma zakupowa.

Niewykluczone, że jest coś na rzeczy. Ze względu na obawy o prywatność uczniowie we Francji nie mogą dziś korzystać w szkole z pakietu biurowego Microsoft i Google Workspace. Bezpieczeństwo danych wydaje się jedynie pretekstem. „Ta bezpłatna oferta stanowi ostateczną formę dumpingu i nieuczciwej konkurencji” – ogłosiło francuskie ministerstwo edukacji.

– Zastanawiam się, jakie będą skutki takiego negatywnego skupienia się na USA, czy nie zostaniemy przez to jeszcze bardziej w tyle gospodarczo. Europarlament mówi w swojej rezolucji o ochronie unijnych przedsiębiorców – ale przedsiębiorcy chcą współpracować z amerykańskimi firmami. To przecież najwięksi dostawcy chmury obliczeniowej i jedni z większych dostawców narzędzi informatycznych. Uciekanie od USA może nas tylko wepchnąć w ramiona Chin. Swoją drogą to ciekawe, że gdy Stany Zjednoczone są w Unii na cenzurowanym, o ryzykach związanych z transferem danych do Chin czy Rosji niewiele się mówi. A jeśli już, to nie tak stanowczo, nawet po rozpoczęciu działań zbrojnych przeciwko Ukrainie – mówi Jan Komosa.

Doktor Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński, sądzi, że DPF w obecnym kształcie polegnie w TSUE jak dwie poprzednie umowy ramowe. – Sprawy Schrems I i Schrems II dzieliło pięć lat, ale trybunał podtrzymał swoją argumentację. Można oczekiwać, że za trzecim razem byłoby podobnie, bo zasadnicza zmiana pod względem ochrony danych w Stanach Zjednoczonych nie nastąpiła – stwierdza prawnik.

Europarlament zwrócił uwagę, że „w Stanach Zjednoczonych wciąż nie ma federalnych przepisów o ochronie danych”, a gwarancja prywatności opiera się tam na rozporządzeniu prezydenckim, które miało być ukłonem w stronę Unii i krokiem ku poprawie sytuacji. Rzecz w tym, że prezydent USA może w każdej chwili zmienić rozporządzenie lub je uchylić bez pytania o zgodę Kongresu i informowania partnerów z UE. Ponadto amerykański organ odwoławczy zajmujący się kwestiami ochrony danych – Data Protection Review Court – nie jest de facto sądem: jest wprzęgnięty w struktury władzy wykonawczej, a nie wymiaru sprawiedliwości. Prezydent może anulować jego decyzje i odwoływać sędziów DPRC w trakcie kadencji. – Pomimo braku przepisów federalnych chyba wolałbym, żeby moje dane wyciekły w USA, bo tam na drodze cywilnej mogę w sądzie uzyskać nawet milionowe zadośćuczynienie, i to w dolarach – jak w przypadku Amerykanki, która oddała iPhone’a do serwisu i wyciekły jej zdjęcia. Natomiast w Polsce są to zazwyczaj kwoty 1–2 tys. zł, a najwyższe zadośćuczynienie wyniosło 20 tys. zł – twierdzi Jan Komosa. – Mimo że w USA nie ma RODO, to kary są wyższe niż w Unii. Przykładowo, zgodnie z doniesieniami prasowymi, Facebook po ugodzie z Federalną Komisją Handlu miał zapłacić 5 mln dol. kary za aferę Cambridge Analytica. Z kolei 16 firm z Wall Street, w tym Barclays, Bank of America i Citigroup, zostało ukaranych przez Komisję Papierów Wartościowych i Giełd (SEC) łącznie prawie 2 mld dol. za prowadzenie służbowej komunikacji przez pracowników za pomocą prywatnych aplikacji oraz urządzeń – wylicza prawnik. – Niech każdy sobie to zestawi z funkcjonowaniem RODO w Polsce i wyciągnie wnioski.

Znaczenie sojuszu z USA dla branży cyfrowej

Europarlament argumentuje, że szybko wynegocjowana umowa ramowa, którą znowu unieważni TSUE, dla przedsiębiorców będzie oznaczała tylko dodatkowe koszty. Czy z perspektywy firm z UE faktycznie nie lepiej poczekać dłużej na domknięcie luk? – Zarówno PE, jak i Europejska Rada Ochrony Danych uznały, że DPF oznacza poprawę w porównaniu z poprzednimi umowami ramowymi – odpowiada Ondřej Ferdus, dyrektor działu gospodarki i technologii cyfrowych w Konfederacji Przemysłu Republiki Czeskiej (SPCR). – Musimy zdać sobie sprawę, że Stany Zjednoczone zawsze były i będą naszym najważniejszym sojusznikiem z bogatą historią ochrony praw człowieka i praworządności. W obecnym kontekście geopolitycznym brak umowy ramowej miałby poważne konsekwencje dla handlu, inwestycji, biznesu, bezpieczeństwa i odporności – podkreśla. I przekonuje, że panująca w ostatnich latach niepewność co do podstaw prawnych transferu danych między Unią a Stanami Zjednoczonymi nie służy branży cyfrowej na Starym Kontynencie. – Nie będziemy w stanie wprowadzać innowacji w naszych gospodarkach bez możliwości dostępu do najbardziej zaawansowanych technologii – czy to zapewnianych przez Unię, USA, czy inne demokratyczne państwa trzecie i ich przedsiębiorstwa – stwierdza Ferdus.

Zamieszanie wokół transgranicznego przekazywania danych ma jeszcze inny wymiar. Jak zwraca uwagę dr Łukasz Olejnik, w tle trwają przygotowania do rewizji RODO. – Plany reformy dotyczą egzekwowania prawa, ale teoretycznie można tam wstawić dowolne zmiany w RODO, czyli także je osłabić – tłumaczy ekspert. Od osoby zajmującej się tym tematem nieoficjalnie dowiadujemy się, że w grupie Europejskich Konserwatystów i Reformatorów pojawiają się opinie, iż RODO jest szkodliwe i należy usunąć je z unijnego porządku prawnego. Krytyczne głosy było słychać też na lewicy.

W UE trwają również prace nad rozwiązaniami, które mocno uderzają w prywatność użytkowników. Jeśli będą obowiązywać w proponowanym kształcie, to zabronione może stać się używanie szyfrowanych komunikatorów, takich jak Signal. Skanowanie wiadomości oficjalnie miałoby służyć wyłapywaniu treści związanych z krzywdzeniem dzieci. Magazyn „Wired” dodarł do wyników poufnej ankiety przeprowadzonej w tej sprawie przez UE wśród krajów członkowskich. Największym zwolennikiem zakazu szyfrowania jest Hiszpania, ale popierają ją też m.in. Rumunia i Węgry. Polskie władze uważają, że powinny istnieć mechanizmy pozwalające odkodować wiadomość na podstawie decyzji sądu. Jeśli takie pomysły wejdą w życie, będzie to oznaczało, że na naszych danych i tak położy rękę rząd. Tyle że europejski. ©℗

Zręby porozumienia, zwanego Data Privacy Framework (DPF), ogłoszono w marcu tego roku. Sęk w tym, że według obrońców prywatności powtarza ono grzechy dwóch poprzednich umów