Problem: 31 stycznia 2016 r. kończy się okres przejściowy po upadku w październiku ub.r. programu Safe Harbor (Bezpieczna Przystań), który umożliwiał firmom przekazywanie danych osobowych z Unii Europejskiej do odbiorców w USA. Przypomnijmy: 6 października 2015 r. Trybunał Sprawiedliwości UE w sprawie Maksymilian Schrems przeciwko Data Protection Commissioner orzekł o nieważności programu, zainicjowanego jeszcze w 2000 r. Trybunał w orzeczeniu wskazał, że zasady programu umożliwiały amerykańskiej administracji praktycznie nieograniczony dostęp do danych przetwarzanych na amerykańskich serwerach, i podkreślił, że nie zapewnia on instrumentów umożliwiających jednostkom skuteczną ochronę przed ingerencją w ich dane osobowe. Dla firm przesyłających dane osobowe do USA to ostatni moment na znalezienie innych sposobów. Jakie zatem działania powinny podjąć firmy? Czego wymagają unijne i polskie instytucje? Czy firmom, które nie podejmą odpowiednich działań, grożą sankcje?
Dziennik Gazeta Prawna
Jak funkcjonował Safe Harbor
Program Safe Harbor umożliwiał w określonych przypadkach przekazywanie danych osobowych z UE do odbiorców w USA. Skrótowo ujmując, uczestnicy Bezpiecznej Przystani uznawani byli za gwarantujących danym osobowym taką ochronę, jaka obowiązuje w UE. Zatem udział w programie stanowił jeden z ważnych prawnych filarów umożliwiających działalność takich gigantów, jak Facebook, Twitter, Google. Ale nie tylko. Beneficjentami było wiele innych firm, dla których przekazywanie danych osobowych za Atlantyk stanowi element bieżącej działalności. Szacowano, że łącznie z udogodnień korzystało ok. 5 tys. firm.
Konieczne nowe sposoby zabezpieczenia
Orzeczenie z 6 października 2015 r. pociągnęło za sobą istotne konsekwencje. Wedle stanowiska Grupy Roboczej Artykułu 29 (roboczego zespołu ds. ochrony danych osobowych, złożonego m.in. z przedstawicieli organów ochrony danych poszczególnych państw członkowskich UE) organy odpowiedzialne za ochronę danych osobowych, w tym polski generalny inspektor ochrony danych osobowych (GIODO), tylko do końca stycznia 2016 r. będą uznawały przekazywanie danych osobowych w ramach programu Bezpieczna Przystań. Po upływie okresu przejściowego, czyli od początku lutego 2016 r., państwowe organy ochrony danych osobowych państw członkowskich UE mają podejmować stosowne „skoordynowane działania wykonawcze”.
Jednocześnie unijna Grupa Robocza Artykułu 29 podkreśliła, że przesyłanie danych osobowych z EU do USA na podstawie programu Safe Harbor jest już teraz obarczone wysokim ryzykiem naruszenia bezpieczeństwa danych, i zasugerowała możliwe daleko idące ograniczenie jego korzystania. Takie samo stanowisko zajął polski GIODO. Wprowadzenie okresu przejściowego miało właśnie na celu umożliwienie uczestnikom transatlantyckiej wymiany danych dostosowanie do nowych okoliczności, m.in. wypracowanie i wdrożenie odpowiednich rozwiązań prawnych.
Dlaczego program zakwestionowano
Program zakładał, że dane osobowe pochodzące z UE mogły być przetwarzane w USA dzięki procesowi autocertyfikacji dokonywanemu przez amerykańskie przedsiębiorstwa, działające pod stosunkowo luźnym nadzorem Federalnej Komisji Handlu (Federal Trade Commission, FTC). W praktyce obrotu pojawił się jednak problem braku realnej kontroli nad przetwarzaniem danych. Co więcej, w praktyce program nie zapewniał należytej kontroli nad dalszym przekazywaniem i przetwarzaniem danych, co rodziło ryzyko ich wycieku. Tym sposobem ochrona danych stawała się – zwłaszcza z perspektywy osób, których dane dotyczą – iluzoryczna.
Co więcej, zgodnie z zasadami Safe Harbor, jego ograniczenia i gwarancje nie wiązały podmiotu przetwarzającego dane, jeśli wymagały tego m.in. względy bezpieczeństwa narodowego czy interesu publicznego. I choć miał to być wyjątek od ogólnej zasady poufności danych – to w praktyce nader często z tej furtki korzystano.
Jakie działania podjąć
Przedsiębiorcy przesyłający dane do USA muszą zatem korzystać z innych podstaw dla ich legalnego przekazywania.
Możliwość pierwsza: W przypadku masowych transferów danych osobowych z Polski do USA zasadniczo rekomendowane jest stosowanie unijnych Standardowych Klauzul Umownych (Standard Contractual Clauses). Są to wzorce umowne opracowane i opublikowane przez Komisję Europejską. Na ich podstawie możliwe jest legalne przekazywanie danych osobowych do USA bez potrzeby uzyskiwania uprzedniej akceptacji GIODO. Konieczne jest jednak, aby zawarta umowa w możliwie pełnym stopniu odpowiadała wzorcowi Komisji. Nadmierna ingerencja we wzorzec skutkować bowiem będzie uznaniem już zawartej umowy za nieodpowiadającą wzorcowi, a w takim przypadku dla transferu danych osobowych na podstawie powyższej umowy konieczne będzie uzyskanie uprzedniej zgody GIODO. Obecnie w obrocie obowiązują trzy rodzaje wzorców standardowych klauzul umownych, tj. dwa zestawy klauzul mających zastosowanie w relacji administrator danych - administrator danych oraz zestaw klauzul odnoszących się do relacji administrator danych - procesor danych. W razie korzystania z usług tzw. chmury lub podobnych wskazane jest ustalenie z dostawcą usługi, czy i na jakiej podstawie przesyła on swoje dane do USA, w szczególności czy stosuje on Standardowe Klauzule Umowne. Klauzule można pobrać ze stron instytucji unijnych, m.in. http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm
Możliwość druga: Dopuszczalnym rozwiązaniem jest uzyskiwanie pisemnej zgody od każdej osoby, której dane miałyby być transferowane do USA, co w razie znacznych ilości danych okazuje się z oczywistych względów wysoce niepraktyczne czy zgoła niewykonalne.
Możliwość trzecia: W przypadku transferu danych na mniejszą skalę lub okazjonalnego należy rozważyć możliwość i praktyczny wymiar uzyskiwania pisemnych zgód od podmiotów, których dane dotyczą. Należy zaznaczyć, że w każdym przypadku transferu danych do USA konieczna jest indywidualna analiza sytuacji i zastosowanie odpowiednich do niej optymalnych rozwiązań, jak oparcie transferu na innej przesłance ustawowej, np. przesłance niezbędności przekazywania danych dla celów wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą.
W oczekiwaniu na SH Bis
Obecnie trwają unijno-amerykańskie prace nad nowym porozumieniem Safe Harbor Bis, aczkolwiek dotychczasowe doświadczenia pokazują, że proces wypracowania kompromisowego stanowiska nie jest w transatlantyckiej dyskusji ani prosty, ani szybki. Dlatego należy przede wszystkim, w razie potrzeby, odwołać się do stosowania unijnych Standardowych Klauzul Umownych jako środka legalizacji transatlantyckich transferów danych. W przeciwnym razie grożą przedsiębiorcom, w tym zwłaszcza zarządom spółek prawa handlowego, sankcje karne za brak należytego zabezpieczenia danych.