Program „bezpieczna przystań” nieważny – jest wyrok Trybunału Sprawiedliwości UE ws. transferu danych osobowych do USA

Nieważna jest decyzja Komisji Europejskiej z dnia 26.07.2000 r. (520/2000) uznająca tzw. zasady „Safe Harbor” („Bezpiecznej Przystani”) za gwarantujące w USA odpowiedni poziom ochrony danych osobowych klientów z Europy” – uznał w dniu 6 października 2015 r. Trybunał Sprawiedliwości UE (sprawa C-362/14). Wyrok Trybunału, choć zapadł w sprawie indywidualnej, będzie mieć wpływ na działalność polskich przedsiębiorców przesyłających dane osobowe do Stanów, np. korzystających z usług amerykańskich dostawców „chmury”, i spowoduje konieczność zrewidowania wielu umów.

„Bezpieczna Przystań” – czyli co?

„Safe Harbor” to zbiór zasad ustalonych pomiędzy Komisją Europejską a Departamentem Handlu USA dotyczących ochrony danych osobowych Europejczyków przez amerykańskie firmy w Stanach, mający na celu uproszczenie wymiany gospodarczej na linii UE-USA. Ponieważ system prawny USA nie zapewnia porównywalnego do europejskiego poziomy ochrony danych osobowych, poprzez przystąpienie do „Bezpiecznej Przystani” amerykańscy przedsiębiorcy zobowiązywali się do respektowania unijnych standardów ochrony danych, a klienci z Europy mieli „gwarancję”, że certyfikowany kontrahent odpowiednio chroni przekazywane mu dane osobowe.

Decyzja Komisji zatwierdziła ten program uznając, że uczestniczące w nim podmioty zapewniają poziom ochrony danych osobowych zgodny z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z dnia 24 października 1995 r. (Dz.Urz.UE.L Nr 281). Pozwalało to na łatwiejsze powierzanie danych Europejczyków do przetwarzania w Stanach Zjednoczonych.

„Safe Harbor” – jednak nie dość bezpieczna

Jeszcze przed orzeczeniem Trybunału wielokrotnie pojawiały się głosy, że „Safe Harbor” nie gwarantuje Europejczykom odpowiedniej ochrony ich danych osobowych. Kwestionowany był również sam model „auto-certyfikacji”. Wyrok natomiast zapadł na kanwie sprawy Austriaka Maxa Schremsa przeciwko serwisowi Facebook. Europejska spółka Facebooka przekazywała dane europejskich użytkowników serwisu na amerykańskie serwery (należące do powiązanej z nią spółki). Schrems zakwestionował praktykę Facebooka po ujawnieniu przez Edwarda Snowdena, że amerykańska Agencja Bezpieczeństwa Narodowego NSA rzekomo monitoruje dane cyfrowe zagranicznych obywateli gromadzone przez firmy z USA. W jego ocenie „Bezpieczna Przystań” nie zapewnia ochrony takich danych przed ingerencją amerykańskich władz.

Trybunał uznał stanowisko Schremsa. „Safe Harbor” w praktyce i formalnie stawiał amerykańskie wymogi dotyczące bezpieczeństwa narodowego, interesu publicznego i przestrzegania prawa USA ponad unijne prawo do poszanowania życia prywatnego. Dodatkowo, decyzja Komisji ze względu na jej uniwersalny charakter faktycznie ograniczyła kompetencje krajowych organów ochrony danych osobowych (w Polsce – GIODO), które zgodnie z przepisami Dyrektywy mogą przecież zakazywać transferów danych do określonych krajów trzecich. W konsekwencji, nie dość że obywatele UE nie mieli zapewnionych odpowiednich środków ochrony swoich praw, to Komisja Europejska nadużyła swoich uprawnień.

Świat po 6 października 2015 r.

Co wyrok zmieni w praktyce? Przedsiębiorcy współpracujący z amerykańskimi firmami powinni przeanalizować łączące je umowy powierzenia danych osobowych do przetwarzania oraz sprawdzić, czy dana firma podlegała certyfikacji „Safe Harbor”. Możliwe, że w związku z wyrokiem konieczne będzie przebudowanie łączącego te firmy stosunku prawnego, uzyskanie dodatkowych zgód czy zezwoleń. W zależności od sytuacji niektórzy przedsiębiorcy mogą znaleźć się w sytuacji, która formalnie będzie wymagać czasowego zaprzestania przekazywania danych osobowych do swoich amerykańskich kontrahentów.

Na marginesie warto zauważyć, że amerykańscy dostawcy usług w zakresie przetwarzania danych osobowych nie mają ostatnio szczęścia. Nie tak dawno informowaliśmy, że amerykańskie agencje rządowe uzyskały już wyraźne przyzwolenie na żądanie od amerykańskich dostawców dostępu do danych przechowywanych/przesyłanych przez nich na rzecz klientów, niezależnie od lokalizacji danych czy narodowości klientów, na całym świecie (o czym pisaliśmy na blogu tutaj: http://blog.e-prawnik.pl/scigani-w-chmurze-czyli-amerykanski-rzad-przeszukuje-zagraniczne-serwery-microsoftu.html), co istotnie wpływało na pogorszenie wizerunku amerykańskich dostawców, którzy od czasu Edwarda Snowdena podejmują wzmożone wysiłki aby przekonać zagranicznych klientów, że ich dane są bezpieczne. Wyrok Trybunału UE z pewnością im nie pomaga.

Autor: Mateusz Borkiewicz, adwokat w Kancelarii Olesiński i Wspólnicy, biuro w Warszawie


Tagi: , , , , , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>