Pisałem już kilka razy o Tarczy Prywatności, np. tutaj albo tutaj. Lubię poruszać ten temat bo wiem, że (wbrew pozorom) to bardzo istotna kwestia z punktu widzenia działalności wielu polskich firm, które przetwarzają dane osobowe – w szczególności tych małych, takich jak startupy i freelancerzy.
Tarcza Prywatności ułatwia odpowiednie uregulowanie przekazywania przez podmioty europejskie danych do USA – w szczególności w przypadku świadczonych przez nich usług chmurowych, serwerowych, hostingu poczty elektronicznej, usług SaaS czy innych sytuacji, gdy amerykański podmiot posiada dostęp do danych przedsiębiorcy z Unii Europejskiej (np. automatycznego wyszukiwania błędów w aplikacji, w której przetwarzane są dane osobowe).
Na czym polega ta Tarcza Prywatności? To taka umowa pomiędzy Komisją Europejską a rządem USA, na mocy której firmy w USA mogą dobrowolnie przystąpić do specjalnego programu (czyli właśnie do Tarczy {rywatności) i zobowiązać się do przestrzegania określonych reguł dot. ochrony danych osobowych, obowiązujących w Unii Europejskiej. Na mocy umowy mają być również powołane specjalne organy kontrolujące lub rozstrzygające spory, tak aby realnie zweryfikować to, który podmiot amerykański rzeczywiście stosuje się do tych reguł.
Dzięki Tarczy Prywatności europejscy przedsiębiorcy mają ułatwione zadanie – jeśli chcą skorzystać z usług jakiegoś podmiotu w USA, który będzie przetwarzał dane osobowe w ich imieniu, mogą sprawdzić na tej stronie czy dana firma przystąpiła do programu. Jeśli tak – w regulaminie świadczenia usług lub innym dokumencie regulującym współpracę stron, powinny znaleźć się postanowienia dotyczące ochrony danych osobowych, takie jak (zwłaszcza w przypadku usług biznesowych) np. regulacje obejmujące kwestie powierzenia przetwarzania danych osobowych. Ale uwaga! W przypadku wielu podmiotów tylko niektóre usługi umożliwiają powierzenie danych osobowych – z reguły te płatne.
Tarcza prywatności miała być odpowiedzią na liczne korzystanie przez Europejczyków z usług online, świadczonych przez firmy z USA. To dobre rozwiązanie - bo skala przepływów danych jest ogromna, a Tarcza ułatwia spełnienie np. wymogów RODO nałożonych na firmy w UE. Muszę też wspomnieć, że rok temu Komisja Europejska pozytywnie wypowiedziała się na temat działania programu. Ale niestety, nad tarczą prywatności po raz kolejny zbierają się czarne chmury, a jej stosowanie może zostać zawieszone. Co oznaczałoby, że przekazywanie danych do firm w USA będzie znacznie trudniejsze.
Co jest nie tak?
W czerwcu Komisja Parlamentu Europejskiego dot. Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych wskazała, że jeżeli do 1 września 2018 r. Stany Zjednoczone nie wdrożą postanowień umowy zawartej pomiędzy USA a UE, stosowanie programu Tarcza Prywatności powinno zostać zawieszone. W konsekwencji, w lipcu odpowiednia uchwała została podjęta przez Parlament Europejski.
Parlament wskazał, że pomimo obowiązywania programu, pewne kwestie związane z przetwarzaniem danych osobowych na terenie USA nie są na tyle jasne i klarowne, aby uznać, że dane te są zabezpieczone w odpowiedni sposób – nawet przez podmioty, które przystąpiły do programu Tarcza Prywatności. Jako przykład podana została afera związana z nieprawidłowym przetwarzaniem danych przez firmę Cambridge Analytica, która pozyskała je od Facebooka. Facebook przystąpił do programu tarcza prywatności, a pomimo to jego działania wskazywały na to, że dane nie są przetwarzane zgodnie z przepisami obowiązującymi na terenie UE.
Ponadto, w umowie pomiędzy Komisją Europejską a rządem USA, ustanawiającej program Tarcza Prywatności, USA zobowiązało się do wdrożenia odpowiednich mechanizmów mających na celu zagwarantowanie, że podmioty przystępujące do programu rzeczywiście przestrzegają unijnych przepisów dot. ochrony danych osobowych oraz do powołania instytucji, które miały to kontrolować, a w razie potrzeby – usuwać z programu firmy, które nie stosują się do przepisów.
Pomimo tego, iż program działa od ponad dwóch lat, rząd USA nadal nie zrealizował w całości swoich zobowiązań. Problemem było także niepowołanie przez USA niezależnych organów, które mogłyby rozstrzygać spory pomiędzy obywatelami UE a amerykańskimi podmiotami gospodarczymi, związanych z nieprawidłowym przetwarzaniem danych osobowych. Kropkę nad i dołożyły informacje o tym, że masowy dostęp do danych obywateli UE, przechowywanych w USA mają amerykańskie służby wywiadowcze.
W konsekwencji, Parlament Europejski nakazał Komisji Europejskiej zawiesić stosowanie Tarczy Prywatności, jeżeli do 1 września 2018 r. rząd USA nie poprawi tego, na co wskazał Parlament. Może być to problemem, bo na razie nie słychać aby rząd USA podjął jakieś bardziej radykalne kroki w tym kierunku.
Co to oznacza dla przedsiębiorców w Polsce? Niestety nic dobrego – będzie to kolejna sytuacja gdy przekazywanie danych do USA zostanie obarczone pewnym ryzykiem. Brak pewności prawa skutkował będzie koniecznością szczegółowej analizy tego, czy dany podmiot w USA zapewnia odpowiedni poziom ochrony danych (np. pod kątem zapisów umownych lub stosowanych zabezpieczeń). Nawet jeśli uznamy, że podmiot gwarantuje przestrzeganie przepisów RODO, to zawsze istniało będzie ryzyko, ze nasz pogląd zostanie zakwestionowany – np. z uwagi na możliwy dostęp służb USA do przetwarzanych danych. Stąd też znowu (tak jak przed 2016 r., gdy obowiązywał poprzedni program dot. przekazywania danych do USA) będziemy poruszać się na niepewnym gruncie braku jednoznacznej regulacji dot. możliwości przekazywania danych do USA.
Na ten moment musimy poczekać na to, co stanie się po 1 września.
