Szyfrowanie danych to podstawowy sposób, który pozwala na legalny ich transfer do USA. Nowe rekomendacje próbują załatać prawną próżnię po wyroku w sprawie Schrems II.
DGP
W lipcu Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność programu „Privacy Shield” (Tarcza Prywatności), który dotychczas był główną podstawą prawną do transferu danych z UE do USA. To konsekwencja sprawy nazywanej Schrems II, od nazwiska austriackiego prawnika, który od lat sprzeciwia się przesyłaniu danych za ocean przez Facebook. Luksemburski trybunał zgodził się z jego argumentami, że amerykańskie służby mają zbyt łatwy dostęp do informacji na temat Europejczyków. Choć przyznał, że inna podstawa prawna, czyli standardowe klauzule umowne, pozostaje ważna, to jednocześnie zaznaczył, że jeśli w kraju docelowym mogą one nie być przestrzegane, to transfer powinien zostać zawieszony (patrz: grafika).
Oczywiście w czasach, gdy wiele firm korzysta z usług amerykańskich gigantów technologicznych, trudno sobie wyobrazić, że dane przestają płynąć. Biznes europejski, w tym także polski, cały czas przekazuje je więc do USA. Tyle że to tykająca bomba, bo w razie kontroli trudno byłoby wskazać legalne podstawy takiej działalności. W rozbrojeniu tej bomby mają pomóc rekomendacje Europejskiej Rady Ochrony Danych, których projekt jest właśnie konsultowany społecznie.
– Najistotniejsze jest wskazanie – w zasadzie po raz pierwszy od czasu wyroku Schrems II – konkretnych przykładów rozwiązań mogących stanowić dodatkowe zabezpieczenia w przypadku transferów. To zupełnie nowa jakość – dotychczas administratorzy danych byli pozostawieni sami sobie z oceną tego, co zamierzają wdrożyć. I tutaj na czele wymieniane jest szyfrowanie danych przez podmiot przekazujący dane – mówi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.

Mapa drogowa

W swego rodzaju mapie drogowej EROD proponuje przeprowadzenie sześciu kroków, które mają zapewnić legalność transferu. Najpierw trzeba zidentyfikować wszystkie transfery danych, potem zweryfikować podstawy prawne do ich przekazywania poza obszar EOG i wreszcie przeprowadzić ocenę systemu prawnego kraju, do którego dane trafiają. Jeśli okaże się, że nie gwarantuje on bezpieczeństwa odpowiadającego wymogom RODO (np. służby mają dostęp do danych bez nadzoru), to należy podjąć dodatkowe środki zabezpieczające (np. szyfrowanie). Kolejny krok to dostosowanie procedury, np. poprzez dodanie własnych postanowień do standardowych klauzul umownych
– W przypadku przekazywania danych na podstawie standardowych klauzul ochrony danych należy dodać do nich dodatkowe środki ochronne, co nie wymaga zatwierdzenia ze strony krajowego organu nadzorczego, o ile dodatkowe środki nie stoją w sprzeczności z samymi standardowymi klauzulami i są wystarczające do zapewnienia poziomu ochrony danych przewidywanego przez RODO. Ważne jest to, aby obydwie strony podpisujące standardowe klauzule nie mogły dowolnie interpretować wprowadzonych dodatkowych środków bezpieczeństwa – wyjaśnia Piotr Liwszic, autor bloga JawnePrzezPoufne.pl.
Ostatni, szósty krok rekomendowany przed EROD wiąże się z koniecznością monitorowania ewentualnych zmian w prawie kraju, do którego płyną dane.

Skuteczne szyfrowanie

W praktyce najistotniejsze dla administratorów transferujących dane do USA są podpowiedzi dotyczące dodatkowych środków, jakie można podjąć, by odbywało się to lege artis. W praktyce chodzi przede wszystkim o szyfrowanie danych.
– Nie wystarczy umowa na papierze. Szyfrowanie musi być silne, a system dobrze zaprojektowany i skonfigurowany, materiał umożliwiający szyfrowanie nie może być w zasięgu podmiotów państwa trzeciego. Regułą jest więc brak możliwości deszyfracji w państwie trzecim. Oczywiście m.in. uniemożliwia to współpracę nad pewnymi danymi między pracownikami jednej firmy w UE i państwie trzecim. Za wyjątkiem gdy np. z sukcesem wdrożono technologię bezpiecznych obliczeń wielostronnych. W wielu przypadkach typowe techniki szyfrowania przesyłanych danych lub przechowywanie danych zaszyfrowanych okażą się po prostu nieadekwatne – zauważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Inny wskazywany przez EROD dodatkowy środek zabezpieczający to pseudonimizacja danych. Powoduje ona, że danych nie da się już przypisać do konkretnego człowieka, ale jednocześnie pozwala administratorowi odwrócić ten proces.
– Słusznie wskazano, że pseudonimizacja jest jednym ze sposobów na zwiększenie bezpieczeństwa przekazywanych danych, jednakże trzeba poświęcić dużo pracy na opracowanie skutecznego i bezpiecznego sposobu takiej pseudonimizacji. Pomocne mogą tu być rekomendacje wydane przez Agencję UE ds. Cyberbezpieczeństwa (ENISA) w styczniu 2019 r., a dotyczące technik pseudonimizacji – podpowiada Piotr Liwszic. Jednocześnie w samych rekomendacjach podkreślono, że nawet pominięcie imienia i nazwiska często nie wystarcza do skutecznej pseudonimizacji, gdy tożsamość człowieka da się ustalić w innych sposób.

Będą kontrole

Zgodnie z rekomendacjami wariant zabezpieczeń musi być dostosowany do sytuacji prawnej w kraju trzecim. Przykładowo, jeśli przepisy danego państwa zakazują szyfrowania, to nie można skorzystać z tej metody i transfer danych musi być wstrzymany. Pomijając jednak tę sytuację, skuteczne szyfrowanie uznaje się za najlepszą z metod gwarantujących bezpieczny transfer danych. I to nawet wtedy, gdy państwo, do którego są one przesyłane, zapewnia należytą ochronę i jego służby nie mają dostępu do informacji o Europejczykach.
W przypadku USA Agencja Bezpieczeństwa Narodowego ma nie tylko zagwarantowany dostęp do tych danych, ale, co więcej, jest on pozbawiony nadzoru. Dlatego też przy współpracy z firmami z tego kraju szyfrowanie powinno stać się standardem.
– Konsekwencją powinno być dostosowanie usług przez dostawców spoza EOG do zasad wskazanych przez EROD, czyli w praktyce zaoferowanie usługi szyfrowania danych przez eksportera przed ich przekazaniem. W przeciwnym razie i przy założeniu egzekwowania rekomendacji przez organy nadzorcze, grozi nam ograniczenie liczby transferów do takich krajów jak USA – uważa dr Paweł Litwiński.
Co ważne, egzekwowaniem wytycznych może zająć się nie tylko organ z Irlandii, w którym swe europejskie oddziały mają amerykańskie korporacje, a który słynie z wyjątkowo liberalnego podejścia. Kontrole mogą być prowadzone również przez organy krajowe firm eksportujących dane. Na przykład – firma niemiecka korzystająca z rozwiązań Microsoftu może zostać skontrolowana przez niemieckiego regulatora. Podejście do transferu danych w Niemczech jest zaś dużo bardziej restrykcyjne niż we wspomnianej Irlandii.