1,2 mld euro kary nałożonej pod koniec maja br. przez irlandzki organ nadzorczy na Facebooka (spółkę Meta) za naruszenie przepisów RODO wciąż budzi niepokój wśród administratorów danych osobowych w Polsce i Europie. Czy w najbliższych latach przedsiębiorców czeka fala kar za nielegalne transfery danych do USA?
Odpowiedzialnym za aktualny zbiorowy ból głowy przedsiębiorców po ostatniej decyzji irlandzkiego organu nadzoru jest Max Schrems – założyciel NOYB, Europejskiego Centrum Praw Cyfrowych. To jego wniosek był tym kamieniem, który uruchomił lawinę – dwa kolejne wyroki Trybunału Sprawiedliwości Unii Europejskiej. Chodzi o rozstrzygnięcia tytułowane jego nazwiskiem, które wstrzymały istniejący wówczas mechanizm transferu danych do Stanów Zjednoczonych. Nie można jednak przypisać mu całej sprawczości za kwestionowanie rozwiązania, w którym jedynie formalnie starano się zapewnić Europejczykom dostateczną ochronę przed inwigilacją ze strony służb amerykańskich. Prędzej czy później ktoś musiał powiedzieć „sprawdzam”.
Wyrok w sprawie Schrems II spowodował, że obowiązująca wówczas decyzja Komisji Europejskiej Tarcza Prywatności podzieliła los swojej poprzedniczki, czyli Bezpiecznej Przystani, i przestała być podstawą transferu danych do USA. Spółka Meta po tym wyroku podjęła pewne działania mające zalegalizować takie operacje przetwarzania. Przekazywanie danych do Stanów oparła ona na standardowych klauzulach umownych, zaakceptowanych przez Komisję Europejską w 2021 r., oraz wprowadziła dodatkowe zabezpieczenia w celu spełnienia wymagania wynikającego z wyroku TSUE. Te środki zostały jednak zakwestionowane, gdy NOYB złożyła do irlandzkiego organu nadzoru jedną ze słynnych 101 skarg. Postępowanie podjęte przez organ nadzoru rozpoczęło się w maju 2021 r. i zakończyło dwa lata później, 22 maja 2023 r. decyzją irlandzkiego Data Protection Commission o nałożeniu kary na Meta w wysokości 1,2 mld euro.
Oprócz samej kary organ nadzoru nakazał amerykańskiej spółce w terminie sześciu miesięcy zaprzestanie transferu danych do USA. Trwa więc wyścig z czasem. Pojawiają się opinie, że do tego momentu Facebook albo przestanie działać w obecnej formie w Europie, albo Meta znajdzie sposób na zalegalizowanie transferu. Nie jest to jednak takie proste.
Data Privacy Framework
Obecnie negocjowane Transatlantyckie ramy ochrony danych (Data Privacy Framework) po wyroku Schrems II mają być kolejną (bazującą na uzgodnieniach ze stroną amerykańską) decyzją Komisji Europejskiej, która pozwoli na transfer danych osobowych do USA. Choć obecnie jest ona na etapie stwierdzania adekwatności przez Komisję Europejską, to nie wiadomo, czy finalnie zostanie przyjęta przed sześciomiesięcznym terminem dostosowania operacji przetwarzania wyznaczonym dla Meta. Ponadto, jak zauważa część komentatorów, Data Privacy Framework, choć stanowi istotny krok dla ochrony prywatności obywateli UE i ich danych przed dostępem agencji wywiadowczych USA, to jednak nie zapewnia stuprocentowej zgodności z wymaganiami TSUE. W blokach startowych czeka już Max Schrems i prawdopodobny jest scenariusz, w którym Transatlantyckie ramy ochrony danych zaraz po przyjęciu zostaną zaskarżone do TSUE, ten ponownie stwierdzi, że nie spełniają one wyśrubowanych europejskich standardów. W efekcie cały proces trzeba będzie rozpocząć od początku.
Dla przedsiębiorców jest to de facto oczekiwanie na budowę dziurawego mostu, który prawdopodobnie zawali się tuż po oddaniu go do użytku. A w trakcie tego oczekiwania podejmują ryzyko i decydują się na jedyny dostępny prom, który podczas ostatniego przeglądu nie przeszedł badań technicznych. Środkiem ratunku dla nich (mechanizmem transferu danych do USA), mimo że zakwestionowanym przez TSUE w wyroku Schrems II, są standardowe klauzule umowne przyjęte przez KE.
Standardowe klauzule umowne
Decyzja w sprawie Meta sprawia również, że stosowanie standardowych klauzul umownych (SCC) pozostaje pod znakiem zapytania. Ten mechanizm transferu danych osobowych zatwierdzony w nowej wersji przez KE w 2021 r. jest obecnie standardem przy współpracy z amerykańskimi spółkami, np. przy wykorzystywaniu aplikacji biurowych, i to pomimo wyartykułowanych przez TSUE wątpliwości co do jego skuteczności przy zapewnieniu odpowiedniego standardu bezpieczeństwa w relacjach z USA.
Stosowanie SCC należy bowiem poprzedzić przeprowadzeniem analizy ryzyka transferowego (Transfer Impact Assessment), w której bada się, czy w państwie przyjmującym transfer zapewniono odpowiedni poziom ochrony danych osobowych. Problem z transferem danych do USA polega na tym, że na podstawie sekcji 702 FISA (Foreign Intelligence Surveillance), służby amerykańskie (FBI, CIA, NSA itd.) mogą potencjalnie mieć dostęp do danych wszystkich spółek amerykańskich – wystarczy, że podjęte działanie uargumentują koniecznością zwalczania terroryzmu. Uprawnienia tego nie można regulować czy też ograniczyć przez porozumienie między stronami przekazującymi dane, nie jest ono również przejrzyste i zaskarżalne dla obywateli UE.
Czarne chmury
Obecna sytuacja nie napawa optymizmem co do dalszych losów transferów danych do Stanów Zjednoczonych. Puszka Pandory została otwarta. Niektórzy spodziewają się rozpoczęcia serii decyzji nakładających surowe kary za nielegalne transfery do Stanów na takie firmy jak: Microsoft, Google, Amazon, a następnie na mniejsze podmioty. Również w Polsce czekają na rozpatrzenie skargi NOYB na takich graczy jak m.in. TVN, TVP czy Grupa Polsat Plus. Co istotne, wspomniane ryzyko kar dotyczy też małych i średnich przedsiębiorców, którzy mogą nawet nie mieć świadomości, że transferują dane do USA i robiąc to naruszają RODO.
Obecnie część dostawców stara się precyzyjnie określać zakres transferowanych w ramach usług danych, a nawet publikuje raporty z liczbą wniosków otrzymanych od amerykańskich służb o dostęp do informacji o obywatelach poszczególnych państw (statystycznie Polska wypada w takich zestawieniach mało imponująco, co akurat stanowi dobrą wiadomość dla rodzimych użytkowników).
Zarazem przedsiębiorcy przeprowadzają wewnętrzne analizy, często obszerne i szczegółowe, w których szacują ryzyko potencjalnych kar, ale też korzyści z wykorzystania danego narzędzia. I w części takich wewnętrznych analiz (powstałych w ostatnim czasie) akceptuje się podjęte ryzyko, przedstawiając jako alternatywę rezygnację z dominujących na rynku lub niezwykle skutecznych rozwiązań amerykańskich dostawców. Co istotne, oferują oni często rozwiązania komplementarne i zwiększające efektywność danych procesów opartych na narzędziach europejskich, a ich wyłączenie wiąże się dla firm ze spadkiem przychodów lub zwiększeniem nakładów na alternatywne (mniej efektywne) rozwiązania europejskie. Stanowi to poważny dylemat, szczególnie że SCC często są integralną częścią akceptowanych przez firmy regulaminów korzystania z usług, a dostawcy – by uspokoić klientów – wskazują na zbliżający się termin przyjęcia nowej decyzji, która położyć ma kres niepewności.
W nieco lepszej sytuacji są te podmioty, których działalność nie jest uzależniona od rozwiązań opartych na spornych transferach. Mogą one bez większego uszczerbku zrezygnować z korzystania z takich narzędzi lub czasowo zawiesić ich wykorzystanie – do momentu wyklarowania się sytuacji.
Dobrą wiadomością jest brak nerwowych lub nagłych ruchów po stronie organów nadzorczych. Czekamy również na pierwsze decyzje UODO w podobnych przypadkach. Miesiąc po ogłoszeniu decyzji w sprawie Meta można stwierdzić, iż na ten moment nie pojawił się wysyp decyzji. Nowo wybrana przewodnicząca Europejskiej Rady Ochrony Danych Anu Talus także nie podjęła żadnych publicznych działań sygnalizujących zamiar rychłego wypracowania wspólnej strategii w sprawie decyzji dotyczących legalności transferów danych. Prawdopodobnie kroków UODO w tym zakresie również można się spodziewać dopiero po ustaleniu wspólnego stanowiska w ramach Rady.
Jak działać?
Przedsiębiorcy transferujący pośrednio lub bezpośrednio dane osobowe do USA mają przed sobą dylemat. Decyzja w sprawie Meta zaburza obecnie funkcjonujący system oparty na standardowych klauzulach umownych, a właściwie potwierdza tylko niedostatki tego rozwiązania w relacjach UE–USA. Pojawia się argument, iż jeśli SCC Meta były uznane za niewystarczające, to co mówić w takim razie o rozwiązaniach stosowanych przez mniejsze podmioty? Obecnie niestety nie jest możliwe, by w pełni zabezpieczyć taki transfer (przynajmniej od strony prawnej; od strony technicznej pojawiają się próby zastosowania rozwiązań, które uniemożlwiającą służbom faktyczny dostęp do danych – ale nie będą one tutaj przywoływane i analizowane). Decydujące czynniki pozostają zatem poza kontrolą przedsiębiorców.
W najbliższych miesiącach należy jednak bacznie obserwować działania Meta, która zapewne będzie podejmowała kroki w celu realizacji decyzji irlandzkiego organu nadzoru. Zarazem, czekając na Data Privacy Framework, warto również dokonać przeglądu własnych procesów, w ramach których dane są transferowane do USA, i stosowanych standardowych klauzul umownych oraz śledzić wytyczne i rekomendacje EROD. Innym źródłem informacji mogą być opinie, wytyczne i decyzje UODO.
Przedsiębiorcy transferujący dane do USA powinni także, oceniając ryzyko transferowe, dokonać analizy przekazywanych danych – ich zakresu, ilości, częstotliwości oraz kategorii osób, których dane dotyczą. Inne ryzyko wiąże się z ewidencją odzieży roboczej, a inne z dokumentacją medyczną.
Paradoks obecnej sytuacji polega również – a może przede wszystkim – na tym, że dla części przedsiębiorców nie jest dostępna realna, technicznie równoważna alternatywa dla rozwiązań amerykańskich.
Przezorny (nie)zawsze zabezpieczony
Nadchodząca decyzja KE w sprawie transferu danych do UE, wyrok TSUE i kara nałożona na Facebooka malują mało optymistyczną perspektywę dla przedsiębiorców przekazujących dane osobowe do Stanów samodzielnie lub za pośrednictwem dostawców konkretnych rozwiązań. Dominacja USA w obszarze nowych technologii również nie ułatwia decyzji o rezygnacji z powszechnie stosowanych na rynku narzędzi. Większość podmiotów spokojnie czeka na decyzje prawne i polityczne, które ustabilizują ten obszar, pamiętając, że RODO to przecież również akt „o swobodnym przepływie danych osobowych”, który nie powinien blokować procesów biznesowych, a jedynie zapewniać, by uwzględniały one przy tym ochronę praw i wolności osób fizycznych. ©℗
Rady dla polskich firm
Przedsiębiorcy wysyłający dane do Stanów Zjednoczonych powinni:
• mieć na względzie, że obecnie transfery takie obciążone są znacznym ryzykiem;
• przejrzeć swoje procesy i zidentyfikować odbywające się w ich ramach transfery danych do USA (często informacje takie będą zawarte w regulaminie usługi lub umowie z kontrahentem);
• sprawdzić, czy ich dostawcy nie powierzają danych osobowych podmiotom ze Stanów (czego sam przedsiębiorca może nie być świadomy);
• zweryfikować podstawę prawną transferu (być może zastosowanie ma inny mechanizm wskazany w rozdziale V RODO, np. wiążące reguły korporacyjne, zgoda osoby albo zobowiązanie umowne).
• w przypadku korzystania ze standardowych klauzul umownych zatwierdzonych przez KE (SCC) należy dokonać oceny ryzyka transferowego, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;
• sprawdzić, czy możliwe jest ograniczenie zakresu transferowanych danych;
• ocenić ryzyka związane z takim transferem pod kątem: z jednej strony naruszenia postanowień RODO, z drugiej – ewentualnych biznesowych konsekwencji rezygnacji z danej usługi/narzędzia;
• śledzić prace nad nową decyzją KE mającą uregulować transfery danych osobowych do USA;
• przyglądać się działaniom Europejskiej Rady Ochrony Danych oraz Urzędu Ochrony Danych Osobowych. ©℗
