Kara 1,2 mld euro dla Facebooka uświadamia, że także inne firmy transferujące dane do USA są zagrożone sankcjami. Niestety wypracowane przez KE nowe porozumienie niekoniecznie im pomoże.
Największa na świecie platforma mediów społecznościowych narusza unijne przepisy RODO, przesyłając za ocean dane osobowe swoich użytkowników – orzekł irlandzki urząd ochrony danych (DPC). Nałożył na koncern Meta 1,2 mld euro kary i dał mu pięć miesięcy na zaprzestanie transferu.
Na razie to jedna platforma cyfrowa i jedna decyzja. Jeśli pójdą za nią kolejne, wiele firm, przede wszystkim z Unii Europejskiej, będzie miało problem. – Żadna firma nie byłaby w stanie prowadzić i rozwijać swojej działalności bez możliwości swobodnego przesyłania danych ponad granicami – wyjaśnia nam Ondřej Ferdus, dyrektor działu gospodarki i technologii cyfrowych w Konfederacji Przemysłu Republiki Czeskiej (SPCR). Głównym partnerem dla unijnych przedsiębiorców są tutaj Stany Zjednoczone. – Po prostu nie stać nas na brak efektywnej i długoterminowej wymiany danych z USA – podkreśla Ondřej Ferdus.
Przez lata podstawą prawną tej wymiany były umowy ramowe między Unią a Stanami Zjednoczonymi – Bezpieczna przystań, a później Tarcza prywatności. Zostały jednak po kolei unieważnione przez Trybunał Sprawiedliwości UE, który uznał, że na terenie USA do danych w łatwy sposób mogą mieć dostęp agencje wywiadowcze i służby tego kraju (sprawy Schrems I i II, odpowiednio z lat 2015 i 2020). Trybunał wyjaśnił, że inwigilacja prowadzona przez USA nie jest zgodna z prawem UE, ponieważ nie wymaga spełnienia „obiektywnego kryterium” „umożliwiającego uzasadnienie” ingerencji rządu w prywatność obywateli.
Legalne – nielegalne
Pozbawione Tarczy prywatności firmy z UE, gdy współpracują z amerykańskimi partnerami, np. korzystając z usług chmury obliczeniowej, ale i aplikacji biurowych, stosują tzw. standardowe klauzule umowne. Przy ich podpisywaniu trzeba ocenić ryzyko, czyli sprawdzić, czy w kraju docelowym jest odpowiedni poziom ochrony danych (TIA – Transfer Impact Assessment).
Ta metoda jest legalna, dopóki urząd ochrony danych nie stwierdzi inaczej. Na razie sparzył się Facebook. Czy teraz można się spodziewać działań innych unijnych regulatorów w podobnych sprawach? – Trudno powiedzieć. Decyzja w sprawie Facebooka nie zapadła oczywiście w izolacji od organów ochrony danych z innych państw Unii. Ale czy będzie przełomem i „odblokuje” postępowania w innych państwach? Mamy taką nadzieję – mówi Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Max Schrems ostrzega, że podobny los może spotkać innych amerykańskich dostawców usług w chmurze, jak Amazon, Google czy Microsoft.
Ale na celowniku jego organizacji NOYB są też podmioty unijne – w tym polskie. Urząd Ochrony Danych Osobowych od 2020 r. rozpatruje skargi na bezprawny transfer danych osobowych do USA, dokonywany przez serwisy internetowe spółek: TVN, TVP, Grupa Interia (obecnie Grupa Polsat Plus), Onet-RASP i PKO BP. Znalazły się wśród 101 postępowań wszczętych w całej Europie na wniosek NOYB. Wszędzie toczą się powoli, decyzji zapadło dotychczas ledwie kilkanaście, z czego trzy po myśli skarżących.
– Pomagaliśmy NOYB przy składaniu skarg w Polsce. Na tle tego, co się dzieje w Europie, polski urząd niestety nie wyróżnia się pozytywnie. Jak wyjaśnić tę opieszałość? Myślę, że zaważyły względy polityczne. Być może wszyscy czekali, aż EROD wypracuje wspólne podejście do takich spraw – zastanawia się Katarzyna Szymielewicz.
UODO nie odpowiedział nam, na jakim etapie są polskie sprawy. Z danych udostępnionych przez NOYB wynika, że w lipcu ub.r. regulator poinformował stronę skarżącą, iż temat jest bardzo złożony i UODO współpracuje przy nim z innymi organami ochrony danych.
Wyścig z czasem
Ondřej Ferdus podkreśla, że obecny stan niepewności prawnej szkodzi branży cyfrowej. Tykającą bombę miała rozbroić nowa umowa ramowa, czyli negocjowane przez Komisję Europejską od ub.r. porozumienie (Data Privacy Framework – DPF).
Meta liczy, że zostanie zawarte, zanim minie pięciomiesięczny termin, jaki irlandzki regulator dał firmie na zaprzestanie transferu danych za ocean. Czas jest tu kluczowym czynnikiem. Irlandzki urząd nie tylko pozwolił big techowi kontynuować proceder, który uznał za niezgodny z prawem, lecz także nie spieszył się z samą decyzją. NOYB walczył o załatwienie sprawy przez 10 lat – a więc na długo przed wprowadzeniem RODO w 2018 r. – Musieliśmy wszcząć trzy procedury przeciwko DPC – przypomina Max Schrems. Do wydania decyzji irlandzki urząd został w końcu zmuszony przez Europejską Radę Ochrony Danych (EROD).
Z trzecią umową UE–USA może być jednak taki sam problem, jak z dwiema poprzednimi – tak przynajmniej sądzi większość eurodeputowanych. Parlament Europejski 11 maja uchwalił rezolucję, w której wezwał Komisję, aby kontynuowała negocjacje ze Stanami Zjednoczonymi w celu stworzenia lepszego mechanizmu ochrony danych za oceanem, gdyż dotychczas wypracowany uważa za niedostateczny.
– Wysuwane przez europarlament argumenty są w istocie elementami uzasadnienia wydanych przez TSUE wyroków Schrems I i Schrems II. Trybunał ustawił w nich poprzeczkę tak wysoko, że właściwie związał europosłom ręce – stwierdza dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. – Komisja i Rada postępują w sprawie porozumienia z USA trochę inaczej, bo patrzą na sprawę szerzej: biorą pod uwagę relacje transatlantyckie, starają się wyważyć wartości. Natomiast PE widzi przede wszystkim prawo, tak samo jak TSUE – porównuje.
Co ze służbami
Dużo miejsca w rezolucji poświęcono kwestii dostępu amerykańskich agencji wywiadowczych do danych Europejczyków. Jan Komosa, adwokat z firmy DAPR, specjalista ds. ochrony danych osobowych, zauważa jednak, że w Europie służby są wyjęte spod wymogów RODO.
– Dopuszczamy więc sytuację, że np. w Polsce do danych gromadzonych przez ABW w celu zapewnienia bezpieczeństwa narodowego nie stosuje się nie tylko RODO, lecz także ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, natomiast chcemy, aby amerykańskie służby przestrzegały podobnych przepisów u siebie – argumentuje Jan Komosa.
Paweł Litwiński podkreśla z kolei, że kontrola nad służbami nie podlega prawu unijnemu, lecz krajowemu. – Nie ma w tej dziedzinie wspólnego standardu. Pod względem dostępu służb do danych Polska jest bliższa Francji i USA niż np. Niemcom – mówi. Gdy TSUE porównuje sytuację w Unii i Stanach Zjednoczonych, to z braku wspólnego unijnego mianownika bierze pod uwagę poziom ochrony z Karty praw podstawowych. – Dlatego te rozważania TSUE wydają mi się puste. Niemiec np. zaraz po zakończeniu inwigilacji przez służby dowie się, że był inwigilowany. Polak nie. Skoro więc nie mamy wspólnego standardu kontroli nad służbami, to mówienie o poziomie ochrony danych w Unii w tym aspekcie to w dużej mierze fikcja – stwierdza. – Największy problem mam jednak z tym, czemu chłopcem do bicia są Stany Zjednoczone, a nie Rosja lub Chiny – dodaje.
Co zrobią obrońcy prywatności, jeśli Komisja mimo wezwań europarlamentu zdecyduje, że DPF w obecnym kształcie daje odpowiedni stopień ochrony? – Jesteśmy gotowi zakwestionować tę decyzję po raz trzeci przed sądem – odpowiada nam Robert Romain, dyrektor programowy NOYB. ©℗
