Firmy wysyłające dane osobowe do USA mają poważny problem. Po wyroku w sprawie Schrems II trudno znaleźć legalną podstawę do takiego transferu.
Trybunał Sprawiedliwości Unii Europejskiej już po raz drugi stwierdził nieważność głównej podstawy prawnej do przesyłania danych osobowych z UE do USA, czyli porozumienia „Privacy Shield” (Tarcza prywatności). Znów doprowadził do tego austriacki prawnik Maximilian Schrems, który domaga się zaprzestania transferu danych przez Facebook. I znów, jak w 2015 r., gdy unieważniono program „Safe Harbour” (Bezpieczna Przystań), tysiące europejskich i amerykańskich firm zastanawia się, jak zalegalizować transfer.
– Tarcza prywatności była prawdopodobnie najbardziej popularną podstawą prawną do transferu danych do USA i stosowało ją wiele firm. W tej chwili gorączkowo sprawdzają, czy poza nią mają inne podstawy prawne. Często jako dodatkowe zabezpieczenie stosowano standardowe klauzule umowne. I tu pojawia się problem, bo w zasadzie z wyroku TSUE wynika wprost, że one również nie gwarantują należytej ochrony. Znaleźliśmy się w kropce, choć przecież oczywiste jest, że dane nadal będą przesyłane do USA, bo przerwanie tego transferu jest zwyczajnie niewykonalne – zauważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Jak pisaliśmy zaraz po ogłoszeniu wyroku w serwisie Gazetaprawna.pl, TSUE nie podważył innej podstawy prawnej do przesyłania danych, czyli tzw. standardowych klauzul umownych. Wnikliwa analiza wyroku prowadzi jednak do wniosku, że w przypadku USA także i na nich nie mogą oprzeć się przedsiębiorcy. Zresztą nie tylko oni, bo dotyczy to również administracji publicznej, która w czasie pandemii dużo częściej korzysta z przetwarzania danych w chmurze. Jeśli serwery znajdują się w USA, to także urzędnicy powinni poważnie zastanowić się, czy wolno im z nich korzystać.
Zbieżność argumentów
Argumentacja Schremsa opierała się na informacjach ujawnionych przed laty przez Edwarda Snowdena. Wynika z nich, że amerykańska Agencja Bezpieczeństwa Narodowego w każdej chwili może mieć dostęp do danych Europejczyków zgromadzonych na serwerach w USA. To jeden z powodów, dla których TSUE uznał Tarczę prywatności za nieważną. Samo to, że służby mają dostęp do danych, nie jest niczym złym. Problem w tym, że zasady, na jakich mogą po nie sięgać, nie są uregulowane w sposób odpowiadający wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost – nie ma żadnej gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to rzeczywiście konieczne i uzasadnione choćby względami bezpieczeństwa. Na dodatek inwigilowane osoby nie mają w zasadzie żadnej możliwości sprzeciwu i odwołania się do niezależnego organu czy sądu. Przewidziany w Tarczy prywatności mechanizm mediacji nie daje takich gwarancji.
Te same argumenty, które legły u podstaw stwierdzenia nieważności Tarczy prywatności, można zastosować również do standardowych klauzul umownych. Choć więc teoretycznie pozostają one ważne, to w przypadku transferu do USA nie gwarantują legalności. Wynika to wprost z motywu 135 wyroku.
„W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego” – napisano w nim.
Na reakcje nie trzeba było zresztą długo czekać. Pierwsze odezwały się niemieckie organy ochrony danych.
– Organ ochrony danych Turyngii zauważa, że skoro mechanizmy ochronne standardowych klauzul umownych i ich przestrzeganie muszą być sprawdzone przez przekazującego i odbierającego dane, to trudno będzie osiągnąć wynik kontroli zgodności ochrony danych z wymogami UE – mówi Tomasz Borys, konsultant ochrony danych osobowych.
– Organ ochrony danych Hamburga ocenia, że nadchodzą ciężkie czasy dla międzynarodowej wymiany danych, a sieć organów nadzorujących musi teraz szybko uzgodnić, jak postępować z firmami, które obecnie nadal nielegalnie korzystają z Tarczy prywatności. To samo dotyczy firm, które stosują standardowe klauzule umowne przy transferach do Stanów Zjednoczonych i innych krajów trzecich – dodaje.
Chyba najlepszym rozwiązaniem byłoby wypracowanie wspólnego podejścia przez Europejską Radę Ochrony Danych. Jej poprzednik, czyli grupa robocza art. 29, po pierwszym wyroku w sprawie Schremsa uzgodniła coś na kształt moratorium gwarantującego, że organy poszczególnych państw przez kilka miesięcy nie będą karać za transfer danych do USA.
Firmy pod ścianą
Na razie jednak firmy z UE i USA znalazły się w trudnej sytuacji.
– Nieco łatwiej jest na styku biznes – konsument. Tu administratorzy mogą oprzeć transfer na zgodach klientów lub wykazywać, że jest on niezbędny do realizacji umowy. Nie będzie więc problemów chociażby z kupnem biletów lotniczych. Dużo gorzej będzie w przypadku styku biznesu z biznesem. Załóżmy, że polska firma trzyma dane w chmurze Amazona. Nie bardzo dostrzegam podstawę prawną, którą można byłoby wytłumaczyć taki transfer – analizuje dr Paweł Litwiński.
Problem jest tym poważniejszy, że pandemia zdecydowanie zwiększyła korzystanie z narzędzi elektronicznych, choćby do telekonferencji. To zaś również może oznaczać transfer danych do USA.
W lepszej sytuacji są firmy, które co prawda korzystają z chmur na amerykańskich serwerach, ale w taki sposób, że amerykańskie służby nie mają dostępu do samych danych.
– Myślę o tych usługach, w których transfer danych do USA nie dotyczy tzw. kontentu (user generated content) – transferowane są tylko dane telemetryczne, a nawet dane podstawowe użytkowników (jednolita książka adresowa) oraz tych, w których zapewnione jest szyfrowanie end-to-end. Wydaje się, że można też uznać za zgodne usługi bezstanowe, czyli takie, w których nie dochodzi do przechowywania danych. W tym ostatnim przypadku należałoby jednak weryfikować, jakie dane jednak się odkładają i jak są czyszczone bufory techniczne – zauważa Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.
– W każdym przypadku trzeba jednak zweryfikować faktyczną możliwość inwigilacji użytkownika w danej usłudze i ocenić na tym tle adekwatność ochrony – zaznacza.