Eksperci nie sądzą, że UODO zatrzyma przepływ danych polskich internautów za ocean.
Discovery TVN, Interia (własność Cyfrowego Polsatu), Onet (należy do Ringier Axel Springer), PKO BP i Telewizja Polska zostały oskarżone o przekazywanie danych Europejczyków do Stanów Zjednoczonych. Wniesione przez organizację NOYB Maxa Schremsa do prezesa Urzędu Ochrony Danych Osobowych skargi na cztery spółki medialne dotyczą przekazywania danych do Google’a za pośrednictwem Google Analytics, narzędzia tej firmy do badania ruchu w internecie. Zdaniem NOYB odbywający się przy tej okazji transfer danych z Polski do USA nie ma podstaw prawnych. Organizacja domaga się więc jego zakazania. Tego samego oczekuje w przypadku banku PKO BP, który na swojej stronie internetowej osadził kod HTML usług Facebooka.
– O skardze dowiedzieliśmy się z doniesień medialnych. Od czasu wydania wyroku w sprawie Schrems II analizujemy jej wpływ na nasze narzędzia i sposoby przetwarzania danych. Nie mamy jednak przekonania, że zarzuty NOYB są uzasadnione – mówi Mariusz Grzesiuk, dyrektor działu prawnego Ringier Axel Springer Polska. Sprawa Schrems II przed Trybunałem Sprawiedliwości UE zakończyła się w lipcu unieważnieniem ramowej umowy Privacy Shield, na mocy której unijne dane wędrowały za ocean. – Byłbym ostrożny przy przesądzaniu już teraz, że przepisy RODO zostały naruszone – ocenia skargi NOYB Arwid Mednis z kancelarii Kobylańska Lewoszewski Mednis.
– Nie mieliśmy do czynienia z wyciekiem danych spowodowanym przez hakerów. Trzeba sprawdzić szereg kwestii mających bardzo ocenny charakter. Jestem raczej sceptyczny, jeśli chodzi o przesądzanie, że w ogóle urząd nałoży kary – mówi dr Mednis. – Według moich informacji organizacja Schremsa nie zwróciła się do zainteresowanych firm, tylko od razu wniosła skargi do UODO. Ten zapewne zwróci się teraz do firm o wyjaśnienia, a w szczególności o podanie podstawy prawnej przekazywania danych do państwa trzeciego, zapyta o gwarancje odpowiedniego poziomu ochrony danych osobowych użytkowników itd. – wylicza prawnik.
Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności, podkreśla, że niezależnie co orzeknie UODO, zakaz transferu danych po wyroku TSUE już jest faktem. – Choć pozostają możliwości szczególne, takie jak wiążące reguły korporacyjne i standardowe klauzule umowne – przyznaje. – Mówi się nawet o negocjacjach nad trzecią już z kolei umową – dodaje dr Olejnik. Radca prawna Ewa Kurowska-Tober, partner DLA Piper, zaznacza jednak, że TSUE nie zablokował transferu, tylko wskazał, że w każdym przypadku potrzebna jest analiza jego bezpieczeństwa.
– To dość skomplikowana sprawa, każdy podmiot musi ocenić dokonywane transfery, biorąc pod uwagę cele przetwarzania danych, ich zakres, a przede wszystkim prawo kraju docelowego i mechanizmy gwarantujące bezpieczeństwo – wskazuje Kurowska-Tober. – Jeśli jednak UODO stwierdzi, że naruszenie miało miejsce i dane nie były bezpiecznie transferowane, to będzie to miało duże konsekwencje dla gigantów internetu, jak Facebook czy Google, dostępności ich danych, a co za tym idzie ich usług w Polsce, ale także dla polskich firm, które na co dzień korzystają w swoim biznesie z transferów poza Europejskim Obszarem Gospodarczym – podkreśla.
Piotr Liwszic, ekspert ds. ochrony danych w ODO 24 i autor bloga JawnePrzezPoufne.pl, uważa, że takie rozstrzygnięcie może przynieść więcej szkody niż pożytku. – Doprowadziłoby to do sytuacji, że z niektórych usług proponowanych przez Google’a nie moglibyśmy korzystać. A w Europie nie ma tak dobrych i bezpiecznych usług: wystarczy wspomnieć o Gmailu, który jest jedną z najbezpieczniejszych poczt – mówi Liwszic. Dodaje, że prezes UODO nie musi nakładać kar finansowych. – Może też nakazać firmom dostosowanie operacji przetwarzania do przepisów RODO, nakazać zawieszenie przepływu danych do odbiorców w państwach trzecich albo zobowiązać administratora, by podjął konkretne działania naprawcze – wylicza.
W dłuższej perspektywie zmiany obejmą cały rynek. – Firmy muszą dostosować swe środki prawne, techniczne i organizacyjne – podkreśla Łukasz Olejnik. – W przypadku środków techniczno-organizacyjnych to może być zaprojektowanie systemów informatycznych w specyficzny sposób. Ostatecznym rozwiązaniem mogłoby być np. silne szyfrowanie danych. Choć to dziś dość skomplikowane i kosztowne rozwiązanie, w związku z czym preferowane będą rozwiązania pośrednie. Jedną z możliwości jest też tzw. lokalizacja danych, czyli przechowywanie ich w centrach danych w UE – stwierdza.
Czy to może być szansa dla rodzimych firm technologicznych? Według Olejnika wygrają przede wszystkim globalni gracze usług chmurowych obecni już na rynku unijnym, czyli firmy amerykańskie. – Byłby to paradoks, bo szeroko opisywano wyrok TSUE jako cios w USA – zauważa. – Nie wykluczam też, że polskie firmy mogą na tym skorzystać. Chodzi o usługi projektowania systemów pod odpowiednim kątem cyberbezpieczeństwa i izolacji, ale także ewentualne przetwarzanie danych w centrach danych w Polsce – dodaje.