Transatlantyckie przekazywanie danych – w oczekiwaniu na Privacy Shield 2.0

W piątek 25 marca rząd Stanów Zjednoczonych oraz Komisja Europejska ogłosiły[1] uzgodnienie zasadniczych założeń nowego transatlantyckiego porozumienia w zakresie ochrony danych osobowych, które ma w pełni uregulować przekazywanie danych osobowych pomiędzy Stanami Zjednoczonymi a Unią Europejską.

Obecnie, w związku z orzeczeniami Trybunału Sprawiedliwości UE, obowiązują standardowe zasady przekazywania danych osobowych wskazane w Rozdziale V RODO[2], ale ich prawidłowe stosowanie do wymiany transatlantyckiej budzi poważne trudności w związku z działalnością amerykańskich agencji wywiadowczych. W szczególności uregulowanie pozwalające władzom publicznym Stanów Zjednoczonych na uzyskanie powszechnego dostępu do treści wiadomości elektronicznych, zdaniem Trybunału Sprawiedliwości UE[3], należy uznać za naruszenie zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego wynikającego z art. 7 Karty Praw Podstawowych UE.

W tym roku opublikowane zostało już kilka decyzji (m.in. austriackiego i francuskiego organu nadzorczego) wskazujących, iż  w wielu przypadkach praktycznie nie jest możliwe legalne przekazanie danych osobowych do Stanów Zjednoczonych, właśnie z uwagi na fakt, iż uprawnienia amerykańskich organów nie gwarantują należytej ochrony praw i wolności osób, których dane są przekazywane z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. Takie przekazywanie musiałoby uniemożliwiać dostęp do danych organom amerykańskim, a to z kolei jest niedopuszczalne w świetle przepisów Stanów Zjednoczonych.

Stwarza to istotne problemy np. w korzystaniu z narzędzi analitycznych Google Analitics, ale również w wykorzystywaniu aplikacji, czy usług podmiotów korzystających z infrastruktury zlokalizowanej w Stanach Zjednoczonych. Warto podkreślić, że przez transfer danych rozumiane jest również zapewnienie dostępów, bez fizycznego przekazania na serwery poza EOG[4], a więc np. przez modyfikowanie, analizę czy podgląd danych przez podmioty znajdujące się w Stanach Zjednoczonych. Problem może więc dotyczyć np. usług serwisowych dla danych przechowywanych w EOG, stosowania aplikacji i narządzi utrzymywanych przez dostawcę w Stanach Zjednoczonych, czy nawet korzystanie z komunikatorów i innych pośredników w przekazywaniu informacji między jednym urządzeniem a drugim.

Przyszłe porozumienie między Unią Europejską a Stanami Zjednoczonymi będzie kolejną próbą uregulowania tych kwestii, a dla pełnego zrozumienia kontekstu, warto przeanalizować poszczególne etapy sporu o bezpieczeństwo transferu danych do USA i powody, dla których konieczne jest zawarcie planowanego porozumienia.

Historyczne porozumienie, określane jako Safe Harbour, regulowało wymianę danych osobowych w zawiązku z wprowadzeniem dyrektywy 95/46/WE – pierwszego unijnego aktu ustanawiającego ochronę danych osobowych. Na podstawie zawartych w tym porozumieniu postanowień, amerykańskie podmioty gospodarcze mogły poddać się certyfikacji, a z kolei Komisja (UE) wydała decyzję stwierdzającą, że podmioty które zadeklarują zgodność z postanowieniami oraz uzyskają wpis na listę podmiotów certyfikowanych będą mogły bez dalszych ograniczeń przesyłać dane między UE a USA. Wyjaśnijmy, że bez takiej decyzji transfer musiałby podlegać dalszym środkom zabezpieczającym i ograniczeniom wynikającym z dyrektywy, co w istotny sposób wpływałoby na swobodę przekazywania danych – np. przez standardowych klauzul umownych określonych przez Komisję, które zawarte między stronami transferu (np. w ramach regulaminu usługi) wiążą podmiot spoza EOG oraz zapewniają ochronę praw i wolności osób, których dane dotyczą. Tak przyjęte wzorce umowne mają zapewniać właściwą ochronę danych oraz realizację praw osób, których dotyczą – np. w zakresie ograniczenia nieuprawnionego wykorzystywania, czy dalszego udostępniania. Jeśli zaś nie da się podjąć odpowiednich środków bezpieczeństwa i transfer nie może zostać oparty na wyjątkach dotyczących pojedynczych transferów, eksporter danych, zgodnie z RODO (a wcześniej zgodnie z Dyrektywą 95/46/WE), musi pozyskać zgodę właściwego organu nadzorczego na przekazywanie danych poza EOG.

Oparte na Safe Harbour transatlantyckie przekazywanie danych funkcjonowało bez większych problemów do 2013 r. kiedy to rozpoczęła się burzliwa historia przekazywania danych związana z amerykańskimi gigantami technologicznymi – Facebook Ireland Ltd. i Google LLC – oraz austriackim prawnikiem-aktywistą Maksem Schremsem.

 

PRISM

W 2013 r. w dziennikach Washington Post oraz The Guardian opublikowane zostały fragmenty plików z prezentacją informacji przekazanych przez współpracownika amerykańskiej Narodowej Agencji Bezpieczeństwa (National Security Agency – NSA) – Edwarda Snowdena dotyczących programu PRISM. W ramach tego programu NSA poprzez bezpośredni dostęp do serwerów amerykańskich korporacji bez nadzoru przejmowała i gromadziła komunikację internetową przetwarzaną za pośrednictwem tych serwerów, posiadając tym samym dostęp praktycznie do wszystkich informacji przesyłanych przez klientów tych korporacji. Ujawnione dokumenty wskazywały, iż w PRISM uczestniczyły największe amerykańskie firmy technologiczne w tym np. Microsoft, Yahoo!, Google, Facebook, YouTube, Skype i Apple.

Na żądanie NSA korporacje udostępniały (i udostępniają) informacje zawarte w wiadomościach e-mail i innej korespondencji, wszelkie dane przechowywane na serwerach (w tym także zdjęcia i materiały wideo), dane przekazywane w przesyłanych na serwery w niezaszyfrowanych plikach (archiwach, arkuszach, bazach), zapisy wideokonferencji, czatów (także głosowych i wideo), dane gromadzone przez serwisy społecznościowe (np. w komunikatorach, zapis komentarzy, reakcje i relacje z innymi użytkownikami portali etc.), a także loginy użytkowników. Dotyczyło to zarówno danych osób korzystających z usług amerykańskich gigantów prywatnie, jak i klientów europejskich firm korzystających z rozwiązań dostarczanych przez amerykańskie korporacje.

Warto podkreślić, iż działania NSA opierały się na obowiązującej do dziś amerykańskiej ustawie Foreign Intelligence Surveillance Act (z ang. ustawa o nadzorze nad obcym wywiadem), która w zasadzie w niezmienionej formie funkcjonuje od 2008 r. do chwili obecnej. Zgodnie z paragrafem 702 FISA, agencje wywiadu mogą zostać upoważnione do zbierania i analizy, w zasadzie bez ograniczeń, informacji o osobach spoza USA, a w pewnych okolicznościach także obywateli USA.

Safe Harbour i Schrems I

Maks Schrems uznał, m.in. w oparciu o informacje udostępnione opinii publicznej przez E. Snowdena, w związku z programem PRISM, iż nie ma żadnych gwarancji, że amerykańskie korporacje faktycznie chronią dane osobowe, tak jak to deklarują – w szczególności, że dane podlegają odpowiedniej ochronie przed nadużyciami ze strony organów rządowych – i w związku z przekazywaniem jego danych do Stanów Zjednoczonych skierował skargę do organu nadzorczego przeciwko Facebookowi. Kwestionował tym samym ważność decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w Stanach Zjednoczonych.

Spór prowadzony przed irlandzkim organem nadzorczym ze skarmi Maksa Schremsa zakończył się wyrokiem TSUE z dnia 6 października 2015 r. (C‑362/14) – tzw. Schrems I[5] – w którym Trybunał orzekł nieważność decyzji Komisji, w sprawie adekwatności ochrony przewidzianej w ramach porozumienia z rządem USA – tzw. Bezpiecznej Przystani (Safe Harbour).

Trybunał stwierdził, że system Bezpiecznej Przystani oparty na porozumieniu z 2000 r. nie chroni przed nadmierną ingerencją amerykańskich organów władz publicznych w prawa podstawowe i prywatność obywateli Unii Europejskiej, a przez to nie ma odpowiednich podstaw do stwierdzenia przez Komisję, że amerykańskie podmioty zapewniają odpowiedni poziom ochrony informacji o obywatelach UE.

Privacy Shield

W związku z uchyleniem wspomnianej decyzji Komisji, rząd Stanów Zjednoczonych oraz Komisja Europejska przystąpiły do negocjacji nowych warunków przekazywania danych mających uwzględnić zastrzeżenia TSUE. Skutkiem negocjacji było nowe porozumienie określone jako Privacy Shield przyjęte w 2016 r. stanowiące podstawę do przyjęcia przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony, podobnie jak to miało miejsce na gruncie porozumienia Safe Harbour.

Privacy Shield jeszcze na etapie negocjacji warunków budziło wątpliwości organów ochrony danych osobowych, zwłaszcza w kontekście uprawnień amerykańskich agencji wywiadowczych. W Opinii 01/2016 dotyczącej projektu decyzji Komisji, Grupa Robocza Art. 29 (kolegialny organ złożony z organów nadzorczych poszczególnych państw UE) wskazywała, iż Privacy Shield w znaczącym stopniu poprawia ochronę praw i wolności obywateli UE, to jednak nie zapewnia właściwego poziomu ochrony wymaganego przepisami unijnymi i może zostać zakwestionowana przez Trybunał Sprawiedliwości, podobnie jak miało to miejsce w kwestii Safe Harbour.

Schrems II

Zgodnie z przewidywaniami Grupy Roboczej Art. 29, Trybunał Sprawiedliwości w 2020 r. w odpowiedzi na pytania prejudycjalne irlandzkiego Wysokiego Trybunału prowadzonej z wniosku irlandzkiego organu ochrony danych przeciwko Facebook Ireland Ltd. przy udziale Maksymiliana Schremsa, orzekł iż Privacy Shield także nie zapewnia obywatelom UE należytej ochronnym przed śledzeniem ze strony amerykańskich organów i wobec tego Trybunał orzekł, iż nieważna jest decyzja Komisji Europejskiej oparta o to porozumienie (tzw. Schrems II[6]).

Drugim równie ważnym elementem orzeczenia było stwierdzenie, iż zapewnienie właściwych środków zabezpieczających transfer nie może się sprowadzać do zastosowania standardowych klauzul umownych, ale w każdym przypadku należy dokonać analizy ich skuteczności i rozważyć zastosowanie dodatkowych środków, ponieważ w niektórych przypadkach standardowe klauzule umowne mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego – np. gdy pomimo formalnych zobowiązań umownych prawo państwa trzeciego umożliwia nadmierny i niekontrolowany dostęp do danych przez organy publiczne.

Od wyroku Schrems II transatlantycka wymiana danych była regulowana głównie umowami wg wzorców określonych przez Komisję. Amerykańskie firmy w swoich regulacjach zapewniały również, iż podejmują dodatkowe środki ochrony zabezpieczające transfer. Jak się później okazało zapewnienia te zostały zweryfikowane negatywnie, przynajmniej w przypadku Google LLC.

Zakaz transferu do USA

W sierpniu 2020 r. Maks Schrems ogłosił, iż zarządzana przez niego organizacja non-profit NOYB (None of Your Business) złożyła 101 skarg we wszystkich 30 krajach członkowskich UE i EOG na 101 firm europejskich[7], które nadal przesyłają dane do Google i Facebooka o każdym odwiedzającym ich strony.

W styczniu 2022 r. na skutek jednej ze skarg austriacki organ ochrony danych zakazał portalowi NetDoktor korzystania z narzędzi Google Analitics[8] dostarczanych przez amerykańską firmę Google LLC w związku z ustaleniem, iż w ramach tych narzędzi dochodzi do transferu danych poza EOG i w przypadku transferu do Stanów Zjednoczonych, gdzie zlokalizowane są serwery Google, standardowe klauzule umowne nie są wystarczającym zabezpieczeniem. Dane przekazywane i przechowywane są w postaci plików tekstowych przez co w przypadku dostępu do samego pliku nie są w żaden sposób zabezpieczone.

Potwierdzenie tego stanowiska zawarł w swojej decyzji z lutego 2022 r. francuski organ nadzorczy CNIL, który podobnie jak austriacki odpowiednik uznał, iż transfer do jakiego dochodzi w ramach korzystania z narzędzi Google nie jest oparty na wystarczających środkach zabezpieczających i zakazał francuskiemu portalowi korzystania z tych narzędzi[9]. CNIL również wskazał, iż doszło do naruszenia art. 44 RODO, pomimo zastosowania przez Google dodatkowych środków zabezpieczających (poza standardowymi klauzulami umownymi), ponieważ nadal nie sposób wykluczyć niezgodnego ze standardami unijnymi dostępu do danych przez amerykańskie organy w ramach działalności kontrwywiadowczej.

CNIL jednocześnie udzielił istotnej wskazówki, iż nie jest konieczna rezygnacja z tego narzędzia pod warunkiem zapewnienia właściwej anonimizacji danych w ramach dostępnych rozwiązań konfiguracyjnych.

Privacy Shield 2.0

Nowe założenia zakładają, iż Stany Zjednoczone znowelizują własne ustawodawstwo w celu wzmocnienia prywatności osób fizycznych oraz zapewnienia lepszej ochrony praw i wolności tych osób w działaniach amerykańskich agencji wywiadowczych.

Stany Zjednoczone mają się zobowiązać do wprowadzenia nowych środków ochrony zapewniających, iż śledzenie przez instytucje rządowe zostanie ograniczone do tego, co konieczne oraz proporcjonalne w realizacji konkretnych i wskazanych celów z zakresu bezpieczeństwa narodowego. Wprowadzą także dodatkowe mechanizmy zmierzające do zapewniania odpowiednich środków kontroli oraz szczegółowego i wielopoziomowego nadzoru nad działalnością wywiadowczą, zapewniając zgodność ich działalności z przyjętymi ograniczeniami. Jednym z jego elementów będzie sąd zajmujący się kontrolą ochrony danych, do którego będą się mogli zwrócić obywatele UE, których dane są transferowane. Sędziowie mają być wskazywani spośród osób spoza USA, co ma gwarantować ich niezależność.

Dodatkowo, amerykańskie agencje wywiadowcze wdrożą odpowiednie procedury zapewaniające skuteczny nadzór nad nowymi rozwiązaniami chroniącymi praw i wolności obywateli UE.

Kolejny etap

Przyszłe porozumienie będzie skutkiem przeszło rocznych negocjacji pomiędzy Stanami Zjednoczonymi a Unią Europejską. Jego zawarcie ma ukształtować trwałe podstawy dla transatlantyckiej wymiany danych osobowych, określić reguły kluczowe dla ochrony praw i wolności obywatelskich, a przez to umożliwiając nieskrępowaną wymianę informacji w ramach działalności gospodarczej we wszystkich sektorach gospodarki.

Trzeba jednak podkreślić, iż na ten moment powstały jedynie ogólne założenia przyszłego porozumienia i mamy do czynienia jedynie z polityczną deklaracją nie popartą żadnym wiążącym dokumentem. Zespół złożony z przedstawicieli Komisji Europejskiej oraz rządu Stanów Zjednoczonych będzie nadal pracował nad konkretnymi uzgodnieniami, które zostaną przyjęte jako rozporządzenie wykonawcze, a w konsekwencji zmian w prawie amerykańskim Komisja będzie mogła wydać decyzję stwierdzającą odpowiednie środki ochrony – tak jak to miało miejsce w przypadku Safe Harbour i Privacy Shield. Perspektywa przyszłych zmian to na pewno nie mniej niż kilka miesięcy, oczywiście pod warunkiem że uzgodnienia faktycznie doprowadzą do zapewnianie odpowiedniej ochrony danych obywateli UE.

Mimo, że przedstawione założenia w żaden sposób nie wpływają na transfer danych do Stanów Zjednoczonych w tym momencie, w tym zwłaszcza na jego legalność (dopuszczalność), to jednak dają strategiczną perspektywę zmian jakie nas czekają w przyszłości. W świetle ostatnich orzeczeń organów nadzorczych wiele firm ma dylemat, czy korzystanie z narzędzi, w ramach których dochodzi do transferu do Stanów Zjednoczonych jest dopuszczalne w świetle przepisów RODO oraz czy takie rozwiązania będą dostępne w przyszłości.

Jeśli zawarte porozumienie zagwarantuje należytą ochronę praw obywateli UE w przypadku transferu ich danych do Stanów Zjednoczonych, będzie miało fundamentalne znaczenie dla przyszłości transatlantyckiej współpracy gospodarczej. Organizacje takie jak NYOB już jednak podnoszą[10], iż zaproponowane założenia przyszłego porozumienia są niewystarczające i nie rozwiąże to problemu śledzenia obywateli UE przez amerykańskie agencje. Można również założyć  , iż nowa decyzja również będzie oceniana przez TSUE i prawdopodobnie czeka nas kolejne kilka lat niepewności i dalszych sporów o bezpieczeństwo transferu danych.

 

[1] https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-trans-atlantic-data-privacy-framework/

[2] https://rodoradar.pl/artykul-44-ogolna-zasada-przekazywania/

[3] https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=1086872

[4] Tak Wytyczne EROD 5/2021 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_pl

[5] https://curia.europa.eu/juris/liste.jsf?num=C-362/14

[6] https://curia.europa.eu/juris/liste.jsf?num=C-311/18

[7] https://noyb.eu/pl/101-skargi-dotyczace-zlozonych-transferow-ue-usa

[8] https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf

[9] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

[10] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems