Bezpieczna przystań nieaktualna - czyli co zrobić z Facebookiem

    •  Maciej Rakowski
  • Komentarze

Rezultatem przełomowego orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 6 października 2015 roku w sprawie M. Schrems v. Data Protection Comissioner (Irlandia), przesyłanie danych osobowych do USA, w oparciu o szeroko wykorzystywany przez wielu przedsiębiorców, takich jak np. Facebook Inc., program „Bezpiecznej przystani", ang. „Safe Harbor”, stało się nielegalne.

Mianowicie orzeczenie TSUE nie tylko jest bezsprzecznie przełomowe, ale jest niezwykle problematyczne dla organów ochrony danych osobowych w poszczególnych krajach Unii Europejskiej, a tym bardziej dla wielu przedsiębiorców po dwóch stronach Atlantyku. TSUE stwierdził bowiem, że decyzja Komisji Europejskiej z 2000 roku, zatwierdzająca program „Safe Harbor”, jest nieważna.

Program „Bezpiecznej przystani” został stworzony z powodu gruntownych różnic pomiędzy systemem prawnym Unii Europejskiej a systemem prawnym Stanów Zjednoczonych Ameryki, bowiem kraj ten nie może zostać uznany za gwarantujący odpowiedni poziom ochrony danych osobowych według europejskich standardów. W jego ramach, amerykańskie podmioty gospodarcze, które chciały przetwarzać dane osobowe, pozyskane na terenie Europejskiego Obszaru Gospodarczego, musiały uzyskać odpowiedni certyfikat od władz federalnych Stanów Zjednoczonych, który miał zapewniać, że podmioty te gwarantują odpowiedni poziom ochrony danych osobowych, o którym mowa prawodawstwie unijnym. Komisja Europejska w 2000 roku wydała odpowiednią decyzję, aby zatwierdzić niniejszy Program.

Już po 9 dniach od wydania orzeczenia przedstawiciele organów ochrony danych Unii Europejskiej zrzeszonych w Grupę Roboczą art. 29 Dyrektywy 95/46/WE – niezależnego organu doradczego w sprawie ochrony danych i prywatności, przeprowadziły obrady nad następstwami decyzji Trybunału. Celem spotkania, co wynika z oficjalnego oświadczenia z dnia 15 października 2015 roku, było zajęcie wspólnego jednolitego stanowiska w sprawie wdrożenia orzeczenia TSUE i próba wyjaśnienia wielu powstałych kontrowersji.

W oświadczeniu został wytyczony ad hoc pewien model działania organów państwowych, unijnych jak i pośrednio samych zainteresowanych przedsiębiorców. W pierwszej kolejności Grupa Robocza wezwała państwa członkowskie i instytucje unijne do rozpoczęcia negocjacji z władzami Stanów Zjednoczonych Ameryki w celu opracowania politycznych, prawnych i technicznych rozwiązań, na podstawie których można byłoby przekazywać dane osobowe z poszanowaniem praw podstawowych. Tym samym zostały przez nią wysunięte na pierwszy plan trwające rozmowy w sprawie nowego porozumienia dotyczącego programu „Safe Harbor”. Jednak wyraźnie zamanifestowano, że nowy program musi być uwarunkowany zobowiązaniami USA w zakresie nadzoru nad przejrzystym i proporcjonalnym dostępem władz publicznych do danych osobowych oraz wprowadzeniem mechanizmów dochodzenia roszczeń i praw do ochrony danych osobowych.

Opracowanie nowego zgodnego z prawem programu dotyczy niestety odległej przyszłości, a rynek potrzebuje natychmiastowych i pilnych rozwiązań. Zatem na czas niefunkcjonowania żadnego programu, Grupa Robocza wytypowała wykorzystywanie w niniejszej sytuacji standardowych klauzul umownych i Wiążących Reguł Korporacyjnych.

Są to instrumenty stosowane już przez rzesze podmiotów przetwarzających dane osobowe obywateli UE poza jej granicami, gdzie państwo docelowe nie zapewnia odpowiednich standardów ochrony. Mianowicie co do zasady przekazywanie danych w takich sytuacjach może mieć miejsce po uzyskaniu zgody krajowego organu ochrony danych osobowych, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Jednak administrator danych może zwolnić się z tego obowiązku poprzez przyjęcie odpowiednich zobowiązań umownych, takich jak wzorcowe klauzule umowne, zatwierdzone uprzednio w drodze decyzji przez komisję Europejską.  

Alternatywą są również Wiążące Reguły Korporacyjne – mechanizm przeznaczone przede wszystkim dla transferu danych osobowych pomiędzy podmiotami w ramach międzynarodowej grupy kapitałowej. Jednak ze względu na to, że Polska nie jest wśród państw Europejskiego Obszaru Gospodarczego, które wzajemnie uznają Wiążące Reguły Korporacyjne, zaakceptowane uprzednio przez jeden organ ochrony danych osobowy w UE, konieczne jest ponadto wystąpienie do Generalnego Inspektora o zgodę na przetwarzanie danych osobowych. Niemniej jednak ta zgoda wydaje się być formalnością w tego typu sytuacjach, bowiem w Wiążących Regułach Korporacyjnych przewidziane są bardzo wysokie standardy ochrony.

Powyżej wskazane instrumenty są najlepszym rozwiązaniem na nowo powstałą i niezwykle problematyczną sytuację. Podmioty przekazujące dane osobowe do USA oraz organy ochrony danych osobowych za pewne już teraz intensywnie pracują nad powyżej wskazanymi narzędziami.

Grupa podkreśliła, że przekazywanie danych osobowych na podstawie programu „Safe Harbor” jest już niezgodne z prawem i nie można na jej podstawie dalej przekazywać danych z UE do USA. Swoją drogą warto wskazać, że wysyłanie danych za Ocean Atlantycki na podstawie omawianego schematu już w dniu wydania wyroku było nielegalne. Jednakże z oświadczenia Grupy Roboczej można odczytać inny, trochę antagonistyczny komunikat. Ustalono bowiem, że jeżeli do końca stycznia 2016 roku nie zostaną przyjęte odpowiednie rozwiązania systemowe, to „organy UE będą zobowiązane do podjęcia wszelkich koniecznych i właściwych działań, które mogą obejmować skoordynowane działania w zakresie egzekwowania prawa.”. Tym samym można odczytać to oświadczenie jako zalecenie dla organów krajowych, by wykazały pewną pobłażliwość w egzekwowaniu orzeczenia TSUE przez najbliższe miesiące.

 

 Do góry