Data: 24 sierpnia 2020

Przerdzewiała Tarcza Prywatności

Europejski Trybunał Sprawiedliwości 16 lipca unieważnił decyzję Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez „Tarczę Prywatności UE-USA”. Wydając wyrok w sprawie C-311/18 TSUE pośrednio uznał, że USA nie zapewnia europejskiego poziomu prywatności danych osobowych należących do obywateli Unii Europejskiej. Trybunał stwierdził, że nieważna jest decyzja Komisji Europejskiej w sprawie „Tarczy Prywatności” dlatego, że „przekazywanie danych osobowych użytkowników serwisów internetowych do państwa trzeciego jest dopuszczalne pod warunkiem, że rozwiązania prawne zapewniają rzeczywistą ochronę ich prywatności, także przed inwigilacją ze strony służb wywiadowczych Stanów Zjednoczonych”. [1]

Do tej pory na podstawie decyzji KE z lipca 2016 r., możliwe było przetwarzanie danych należących do obywateli UE przez podmioty w Stanach Zjednoczonych objęte Tarczą Prywatności, na takich samych zasadach jak przez firmy znajdujące się na terenie UE. Wcześniej aspekty prawne przepływu danych określały regulacje „Safe Harbor”, których implementacja została uznana za nie ważną 6 października 2015 r., kiedy to Trybunał Sprawiedliwości Unii Europejskiej po raz pierwszy przyjął stanowisko, że przepływ danych osobowych powinien być wstrzymany, ponieważ nie zbadano czy Stany Zjednoczone zapewniają adekwatny poziom ochrony dóbr osobistych, gwarantowanych w krajach europejskich przez Kartę Praw Podstawowych. Wyrok był argumentowany między innymi komunikatami KE, z których wynikało, że władze Stanów Zjednoczonych posiadając dostęp do danych osobowych obywateli państw Unii Europejskiej, wykorzystywały je w sposób wykraczający poza cele związane z zapewnieniem bezpieczeństwa narodowego.

Mechanizmy „Safe Harbor” zostały unieważnione na wskutek pozwu, jaki do Irlandzkiego sądu wniósł aktywista Max Schrems. Podnosił on, że Facebook nielegalnie transferuje jego dane osobowe do USA. Sprawa trafiła do TSUE, który przyznał mu racje. Zapisy „Safe Harbor” zostały więc unieważnione, co przyczyniło się do krótkotrwałego chaosu prawnego.

Szybko przygotowano nowy akt prawny – obowiązującą od 2017 r. Tarczę Prywatności [2]. Max Schrems mając wypracowane już metody działania, po raz kolejny wniósł sprawę do sądu, tym razem kwestionując nowo wprowadzone regulacje. Warto podkreślić, że eksperci z dziedziny prywatności od początku istnienia Tarczy nazywali jej mechanizmy prowizorycznymi i dziurawymi. Mimo tego Tarcza Prywatności pozwalała międzynarodowym firmom działać na podstawie przyjętych w niej przepisów i umożliwiała transfer danych przez ocean, dając swoistą „pewność prawną”. Firmy funkcjonowały, a eksperci zgodnie powątpiewali czy przyjęte porozumienie w sposób wystarczający chroni prywatność Europejczyków.

„Niestety to porozumienie nie pomaga nikomu, zarówno w prywatności jak i w biznesie. Musimy czekać zanim sąd znów orzeknie, że porozumienie jest nielegalne i wtedy może UE i USA będą mogły negocjować o wiarygodnym porozumieniu, które będzie właściwie przestrzegać prawa, wzbudzać zaufanie i chronić nasze prawa podstawowe” – mówił w lipcu 2016 r. Joe McNamee z organizacji European Digital Rights.

Co prawda wyrok TSUE dotyczył sporu Schremsa z Facebookiem, jednak unieważnienie decyzji w sprawie Tarczy Prywatności dotyka wszystkich transoceanicznych biznesów.

Tarcza wytrzymała cztery lata. Międzykontynentalny przepływ danych znów nie ma bezpiecznych podstaw prawnych, co po raz kolejny znacząco utrudnia prowadzenie biznesu wielu firmom, w szczególności tym operującym na rynku IT. Nie jest to oczywiście równoznaczne ze wstrzymaniem transferu danych z UE do USA. Dane mogą być nadal wysyłane, jeśli osoba, której dane dotyczą:

• zostanie poinformowana o ryzyku, z którym może wiązać się przekazanie danych;
• udzieli wyraźnej zgody na takie przekazanie.

Dane można też nadal transferować, jeśli ich przekazanie jest niezbędne do wykonania umowy bądź ustalenia lub zapewnienia ochrony roszczeń. Transfer po upadku Tarczy Prywatności wiąże się jednak z koniecznością wprowadzenia kolejnych formularzy i klauzuli informacyjnych, których wysyp zapewne pojawi się tak samo jak miało to miejsce tuż po odrzuceniu zapisów „Safe Harbor”.

Upadek Tarczy otwiera drogę do przygotowania innych rozwiązań prawnych, takich które tym razem faktycznie zagwarantują bezpieczne przetwarzanie danych osobowych obywateli UE. Eksperci związani z organizacją Access Now (specjalizującą się w dziedzinie bezpieczeństwa i prywatności) sugerują, że UE powinna jak najszybciej przystąpić do negocjacji nowego rodzaju aktu prawnego [3], który wymuszałby na USA:

• przyjęcie kompleksowych ram ochrony prywatności i danych, które stawiają użytkowników w centrum i zapewniają znaczące możliwości dochodzenia roszczeń i kontroli nad swoimi danymi;
• przyznanie obywatelom UE większego prawa do dochodzenia roszczeń w przypadku naruszenia praw z powodu niezgodnego z prawem przetwarzania danych w Stanach Zjednoczonych;
• reformę praktyki nadzoru i podjęcie działań w celu ochrony praw człowieka wszystkich ludzi, bez względu na to, skąd pochodzą.

 

Tekst pierwotnie ukazał się na łamach „Dziennika Związkowego” oraz „Polish Express”.

[1] https://www.huntonprivacyblog.com/2020/07/16/breaking-unexpected-outcome-of-schrems-ii-case-cjeu-invalidates-eu-u-s-privacy-shield-framework-but-standard-contractual-clauses-remain-valid/

[2] https://www.ftc.gov/tips-advice/business-center/privacy-and-security/privacy-shield

[3] https://www.accessnow.org/in-a-victory-for-privacy-the-eu-court-of-justice-bins-eu-us-privacy-shield/

All texts published by the Warsaw Institute Foundation may be disseminated on the condition that their origin is credited. Images may not be used without permission.

Powiązane wpisy

Fundacja Warsaw Institute

• O nas
• Zespół
• Eksperci
• Media
• Video
• Partnerzy
• Branding

• Aktualności

• Programy
• Opinie
• Raporty Specjalne
• Russia Monitor
• China Monitor
• MENA Monitor
• U.S. Weekly
• Ukraine Monitor
• Baltic Rim Monitor
• Romania Monitor
• Dezinformacja
• Chiny i kraje V4
• BelarusAlert
• Artykuły Analityczne
• Nasze projekty

• Wydarzenia

• Mapy

• Kontakt