Nowe standardy w ochronie danych osobowych
Tło: kompromis i impas
Przez niemal 15 lat program „Bezpieczna Przystań” umożliwiał przekazywanie danych pomiędzy europejskimi i amerykańskimi firmami. W istocie był kompromisem, który od początku rodził pewne zastrzeżenia. Dyrektywa UE o ochronie danych osobowych, która obowiązywała już w czasie wdrażania tego programu i do dziś obowiązuje, nie pozwala na transfer danych poza granice Unii, jeśli po drugiej stronie nie jest zapewniony taki sam lub wyższy standard ich ochrony. „Bezpieczna Przystań” takiej ochrony nie zapewniała.
Krytykowany był przede wszystkim brak skutecznych mechanizmów służących do egzekwowania przestrzegania zasad programu, ograniczona możliwość składania skarg przez osoby fizyczne, a mechanizmy rozstrzygania sporów były – z europejskiego punktu widzenia – nietransparentne. „Bezpieczną Przystań” krytykowały europejskie organy ochrony danych osobowych. Komisja Europejska kilkakrotnie sprawdzała działanie programu i subtelnie postulowała jego rewizję. Oliwy do ognia dodały informacje Edwarda Snowdena, ujawniające masową inwigilację prowadzoną przez agencje rządowe USA. Wybrnięcie z impasu wymagało odważnych decyzji politycznych. Komisja przerzucała odpowiedzialność na krajowe organy ochrony danych, te zaś czuły się związane decyzją Komisji.
Przełomowe wyzwanie
Na początku października Trybunał Sprawiedliwości UE przeciął ten węzeł gordyjski. Podjął śmiałą, ale jednocześnie bolesną i na krótką metę niesprzyjającą biznesowi decyzję. Stwierdził, że krajowe organy ochrony danych nie są związane decyzją Komisji Europejskiej. Mają zatem obowiązek sprawdzać, czy zasady, na jakich dane Europejczyków są przesyłane poza obszar UE, spełniają określone standardy. W tym zakresie wyrok wzmacnia pozycję organów ochrony danych (np. polskiego GIODO) i nawet zachęca, by te organy sprawdzały, czy zagraniczne firmy podlegające pod ich jurysdykcję działają zgodnie z prawem.
TSUE poszedł jednak o krok dalej i ocenił, że reguły ochrony danych przewidziane w „Bezpiecznej Przystani” nie są zgodne ze standardami określonymi w Karcie Praw Podstawowych i Dyrektywie 95/46/WE. W istocie Trybunał określił, że w amerykańskim systemie prawnym brakuje gwarancji i uprawnień związanych z ochroną danych (np. prawo do sądu, do udostępnienia i korekty danych) oraz, że prawo to pozwala na masowy nadzór i organy publiczne posiadają prawie nieograniczony i niekontrolowany dostęp do danych Europejczyków.
Skutki praktyczne
Decyzja TSUE może być rozpatrywana z wielu punktów widzenia i ma poważne konsekwencje dla różnych grup interesariuszy.
W świetle tego wyroku znaczenia nabiera Ogólne Rozporządzenie o Ochronie Danych Osobowych, które powinno określić spójne dla całej Europy standardy tej ochrony oraz wymogi dotyczące legalnego ich przetwarzania. Warto zwrócić uwagę, że np. definicję danych osobowych zgodnie z tym aktem prawnym może spełniać identyfikator cookie – wówczas może się okazać, że tą regulacją i wszystkimi wymogami objęta jest każda firma, która przekazuje poza ocean jakiekolwiek informacje o danym identyfikatorze cookie lub o grupie takich identyfikatorów.
Najwięcej przykrych skutków odczuwać będą firmy, których działalność biznesowa wiąże się z przesyłaniem danych osobowych pomiędzy UE a USA, zwłaszcza jeśli weźmiemy pod uwagę, jakie informacje za dane osobowe uznajemy. Póki nie ma odpowiedniej umowy międzynarodowej (jak na przykład aktualnie negocjowana TTIP), firmy muszą określić właściwe podstawy prawne przesyłania danych i zapewnić odpowiednie standardy ich ochrony. Będą musiały zidentyfikować, które przepływy danych były dotychczas realizowane na podstawie programu „Bezpieczna Przystań” oraz wybrać najodpowiedniejszą alternatywę.
Zgodne z polskim prawem przesłanką legalizującą taki transfer może być np. umowa pomiędzy administratorem danych a daną osobą, indywidualna zgoda GIODO dla danej firmy (aby taką zgodę uzyskać, firma będzie musiała wykazać, że zapewniła odpowiednie standardy ochrony prywatności), wprowadzenie wiążących reguł korporacyjnych (zatwierdzonych przez GIODO) lub standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Wziąwszy pod uwagę, że amerykańskie spółki przywykły do programów samoregulacyjnych, w dalszej perspektywie znaczenia mogą nabrać instrumenty ochrony danych, takie jak wiążące reguły korporacyjne czy też właśnie standardowe klauzule umowne.
Terra incognita
Wyrok TSUE otwiera drogę dla kontroli prowadzonych przez europejskie organy ochrony danych osobowych. Być może organy te uznają, że żadne zobowiązania umowne (standardowe klauzule umowne czy wiążące reguły korporacyjne) nie chronią Europejczyków przed masową inwigilacją ze strony organów Stanów Zjednoczonych. Wówczas kontrole mogą zakończyć się decyzjami zakazującymi konkretnym spółkom przekazywania danych do USA. W tym sensie podniesione zostaje ryzyko prawne działalności firm mających główną siedzibę za oceanem. Może ono wprawdzie zaowocować poprawą standardów ochrony danych, gdy firma zapewni odpowiedni i realny nadzór nad ich przetwarzaniem, ale również można się spodziewać, że niektóre europejskie organy ochrony danych – mimo wątpliwości – wydadzą decyzje pozwalające na transfer. Wówczas praktyczne skutki wyroku TSUE będą dotyczyć tylko trybu pozyskiwania podstawy prawnej dla transferu danych. Trudno aktualnie przewidzieć, który ze scenariuszy się zrealizuje.
Decyzja TSUE ma również znaczenie polityczne. Może ona być ogromną przeszkodą w przekazywaniu danych, jeśli Amerykanie nie zdecydują się na wzmocnienie standardów ochrony. Niebagatelny jest również wpływ wyroku na negocjacje umowy TTIP pomiędzy USA a UE. Umowa, która ma ujednolicić standardy regulacyjne, będzie musiała zająć się również ujednoliceniem reguł prywatności na obu kontynentach.
Wypłynęliśmy z „Bezpiecznej Przystani” na nieznane wody. Teraz wszystko staje się możliwe.