Dlaczego Tarcza Prywatności straciła zaufanie Europy?

Rola Privacy Shield w ochronie danych osobowych

Tarcza tworzyła ramy prawne dla wymiany danych osobowych (w celach handlowych) pomiędzy Unią Europejską a Stanami Zjednoczonymi.

Wskazane w tekście Tarczy zasady przetwarzania danych obejmowały m.in. określone obowiązki informacyjne względem osób fizycznych, prawo wyboru czy dane zostaną ujawnione stronie trzeciej bądź wykorzystane w innym niż pierwotny celu, zapewnienie, że w razie przekazania danych stronie trzeciej musi ona zapewnić ten sam poziom ochrony danych, jaki wynika z Tarczy, zapewnienie odpowiednich środków bezpieczeństwa przy przetwarzaniu danych, ograniczenie danych do minimum niezbędnego do realizacji celu, zapewnienie osobie fizycznej dostępu do jej danych, a także ogólne pryncypia dotyczące postępowania ze skargami osób, których dane dotyczą.

Niemniej jednak, Europejski Inspektor Ochrony Danych w swojej opinii z maja 2016 r. wskazywał, że potrzebne jest lepsze rozwiązanie. Warto zaznaczyć, że przestrzeganie przez amerykańskie firmy wyartykułowanych w Tarczy zasad mogło być ograniczone, np. w zakresie niezbędnym do spełnienia wymogów „bezpieczeństwa narodowego, interesu publicznego lub egzekwowania prawa”. Krótko mówiąc, porządek prawny USA ostatecznie brał górę w kwestiach spornych. Jednak co najważniejsze, organizacje, przystępując do Tarczy, deklarowały swoje zobowiązanie do przestrzegania wskazanych w niej zasad, dokonując „samocertyfikacji”, co mogło budzić poważne wątpliwości co do faktycznego ich przestrzegania. Na chwilę obecną do Tarczy należy 5384 aktywnych podmiotów.

Rola Privacy Shield w ochronie danych osobowych

Komisja Europejska w lipcu 2016 r. wydała decyzję stwierdzającą istnienie odpowiedniego poziomu ochrony danych osobowych w USA, ograniczoną właśnie do Privacy Shield. Tarcza „żyła” jednak zaledwie cztery lata, gdyż 16 lipca bieżącego roku Trybunał Sprawiedliwości Unii Europejskiej orzekł (w sprawie C-311/18, Shrems II), że wspomniana decyzja KE jest nieważna, tym samym unieważniając przekazywanie danych osobowych do USA na podstawie Privacy Shield. Jednocześnie Trybunał podkreślił, że przekazywanie danych do USA nadal może odbywać się na podstawie zatwierdzonych przez Komisję Europejską tzw. standardowych klauzul umownych (wersja administrator w UE -> podmiot przetwarzający w państwie trzecim).

Co zatem przyświecało TSUE wydającemu przywołany wyrok?

1. RODO ma zastosowanie również do sytuacji, kiedy dane przekazane do państwa trzeciego mają być przetwarzane również przez władze tego państwa.
2. Osobom, których dane dotyczą, których dane osobowe są przekazywane do państwa trzeciego zgodnie ze standardowymi klauzulami ochrony danych, należy zapewnić poziom ochrony zasadniczo równoważny z poziomem ochrony gwarantowanym w UE przez RODO, interpretowanym w świetle Karty Praw Podstawowych.
3. W tych okolicznościach Trybunał wyjaśnił, że ocena tego poziomu ochrony musi uwzględniać zarówno klauzule umowne uzgodnione między przekazującym dane mającym siedzibę w UE a ich odbiorcą mającym siedzibę w danym państwie trzecim, jak również, w odniesieniu do każdego dostępu przez władze publiczne tego państwa trzeciego do przekazanych danych, odpowiednie aspekty systemu prawnego tego państwa trzeciego.
4. O ile nie istnieje ważna decyzja KE stwierdzająca odpowiedni stopień ochrony, właściwe organy nadzorcze państw UE mają obowiązek zawiesić lub zakazać przekazywanie danych osobowych do państwa trzeciego, jeżeli uznają, w świetle wszystkich okoliczności tego przekazania, że standardowe klauzule umowne (o których mowa w art. 46 ust. 2 lit. c RODO) nie są lub nie mogą być przestrzegane w tym kraju, oraz że ochrona przekazywanych danych, która jest wymagana przez prawo UE, nie może być zapewniona innymi środkami.
5. Decyzja KE 2010/87 dot. standardowych klauzul umownych nakłada na podmiot przekazujący dane i odbiorcę przekazanych danych obowiązek sprawdzenia, przed jakimkolwiek przekazaniem, czy poziom ochrony wynikający z klauzul jest przestrzegany w danym państwie trzecim. Decyzja ta nakłada też na odbiorcę przekazanych danych obowiązek poinformowania przekazującego dane o każdym przypadku niemożności spełnienia wymagań standardowych klauzul umownych, przy czym przekazujący dane jest z kolei zobowiązany do wstrzymania przekazywania danych i / lub rozwiązania umowy z ich odbiorcą w takim przypadku.
6. Ograniczenia ochrony danych osobowych wynikające z prawa krajowego Stanów Zjednoczonych w zakresie dostępu i wykorzystywania przez władze Stanów Zjednoczonych takich danych przekazywanych z UE (które KE oceniła w unieważnionej decyzji 2016/1250, dotyczącej „zatwierdzenia” Privacy Shield), nie spełniają unijnych wymogów zgodnie z zasadą proporcjonalności.

Co zatem zrobić, jeśli do tej pory przekazywaliśmy dane do USA w oparciu o Privacy Shield?

Nie pozostaje nic innego, jak zapewnić inne niż decyzja KE stwierdzająca odpowiedni poziom ochrony, wskazane w RODO, zabezpieczenie transferu. Wyrok Shrems II nie eliminuje z obiegu standardowych klauzul umownych. Czy zatem jeśli mamy podpisaną z naszym podwykonawcą z USA odpowiednią umowę zawierającą te klauzule, to nie musimy się już o nic martwić? Niekoniecznie. TSUE stwierdził bowiem, że same klauzule nie wystarczą. Przekazujący dane, jeszcze przed zawarciem z odbiorcą danych z państwa trzeciego umowy zawierającej takie klauzule, powinien sprawdzić czy poziom ochrony wynikający z tych klauzul jest faktycznie w tym państwie zapewniony.

Pewnym światełkiem w tunelu jest stwierdzenie TSUE, że odbiorca danych w państwie trzecim jest zobowiązany nas poinformować, jeżeli z jakiegoś powodu nie mogą być spełnione wymagania wynikające z klauzul. Czy zatem można, jeśli mamy zawarte umowy zawierające standardowe klauzule, spać spokojnie i jedynie czekać na sygnał od naszego kontrahenta, że coś „nie gra”, i dopiero wtedy zastanowić się nad podjęciem właściwych kroków? w świetle orzeczenia taka interpretacja nie jest uprawniona. Podmiotom działającym na terenie UE nie pozostaje zatem nic innego, jak sprawdzić, czy każde państwo, do którego przekazywane są dane na podstawie standardowych klauzul, oferuje właściwy poziom ochrony.

Jak podkreśla jeden z niemieckich organów nadzorczych, tylko w przypadkach, gdy gwarancje zawarte w standardowych klauzulach umownych nie mogą być spełnione, nie mogą one stanowić podstawy do przekazywania danych. Na przykład przepisy dotyczące bezpieczeństwa w USA, takie jak Foreign Intelligence Surveillance Act (FISA) 702, który zezwala amerykańskim agencjom bezpieczeństwa na dostęp do danych osobowych bez decyzji sędziego, mają zastosowanie przede wszystkim do firm telekomunikacyjnych. Standardowe klauzule umowne zasadniczo nie mogą zatem być stosowane do przekazywania danych do takich firm. Gdy korzystamy z usług w chmurze dostarczanych przez podmioty telekomunikacyjne z USA, istnieje możliwość, że amerykańskie organy bezpieczeństwa będą miały w ten sposób dostęp do danych.

Jak sprawdzić, czy wyrok w sprawie Shrems II nas dotyczy?

Wskazany niemiecki organ nadzorczy proponuje następujący plan działania:

1. Sprawdzić, czy przekazujemy dane osobowe do kraju spoza UE lub EOG.
2. Jeśli przekazujemy dane, sprawdzamy czy robimy to na podstawie standardowych klauzul umownych.
3. Jeśli tak, sprawdzamy czy odbiorca danych w państwie trzecim lub jego podwykonawca w ramach moich stosunków handlowych podlegają przepisom tego państwa, które są sprzeczne z RODO lub art. 7 lub 8 Karty praw podstawowych UE, tak że gwarancje zawarte w standardowych klauzulach umownych nie mogłyby być spełnione.
4. Jeśli tak, sprawdzamy czy przekazanie danych może opierać się na innym zabezpieczeniu przekazania w rozumieniu rozdziału V RODO lub na wyjątku z art. 49 RODO.
5. Jeśli tak, wszystko jest w porządku. w razie potrzeby dostosowujemy przekazywane osobom, których dane przekazujemy do państwa trzeciego, informacje, zgodnie z art. 13 RODO. Stosując art. 49 ust. 1 lit. a RODO (zgoda) musimy pamiętać, że zgoda powinna być dobrowolna i świadoma. Jeśli nie mamy możliwości zastosowania wyjątków wskazanych w art. 49 RODO, powinniśmy poszukać kontrahentów w krajach, w których dane są lepiej chronione.

Stanowisko Europejskiej Rady Ochrony Danych

Europejska Rada Ochrony Danych tuż po wydaniu wyroku wydała oświadczenie, w którym zasygnalizowała, że zamierza dokładnie zanalizować orzeczenie i pochylić się nad problemem z brakiem Tarczy.

Dodatkowo, 23 lipca Rada udzieliła odpowiedzi na najbardziej palące pytania, które się pojawiły jako pokłosie werdyktu TSUE. We wskazanym dokumencie EROD stwierdził m.in. że „próg akceptowalności” poziomu ochrony danych ustalony przez Trybunał ma również zastosowanie do wszystkich innych odpowiednich zabezpieczeń na mocy art. 46 RODO, wykorzystywanych do przekazywania danych z EOG, zarówno do USA, jak i do innych państw trzecich. Prawo Stanów Zjednoczonych, na które powołuje się Trybunał (tj. Sekcja 702 FISA i EO 12333), ma zastosowanie do każdego transferu do USA drogą elektroniczną, który jest objęty zakresem tych przepisów, niezależnie od narzędzia służącego do przekazywania danych (sposobu zabezpieczenia przekazywania danych z art. 46).

W opublikowanych odpowiedziach EROD potwierdził, że to, czy możliwe będzie dalsze przekazywanie danych na podstawie standardowych klauzul umownych, będzie zależeć od wyniku oceny przekazującego co do stopnia ochrony danych w danym państwie trzecim, biorąc pod uwagę okoliczności przekazywania i dodatkowe środki, które można zastosować. Analogiczne wymagania mają zastosowanie w przypadku przekazywania na podstawie wiążących reguł korporacyjnych. EROD oceni konsekwencje orzeczenia w sprawie narzędzi transferu innych niż SKU i WRK.

W odpowiedzi na pytanie jakie dodatkowe środki można wprowadzić, jeżeli wykorzystuje się SKU lub WRK do przekazywania danych do państw trzecich EROD wyjaśnił, że środki dodatkowe powinny być dopasowywane indywidualnie dla każdego przypadku, biorąc pod uwagę wszystkie okoliczności przekazania. W przypadku zaś, gdy to nasz procesor przekazuje dane do USA, i nie można zapewnić żadnych dodatkowych środków w celu zapewnienia, że prawo Stanów Zjednoczonych nie narusza poziomu ochrony zapewnianego w EOG, ani nie mają zastosowania odstępstwa na mocy art. 49 RODO, jedynym rozwiązaniem jest wynegocjowanie zmiany lub klauzuli dodatkowej do umowy z procesorem, zakazującej przekazywania danych do USA.

Podobnie, w przypadku procesora z innego niż USA państwa trzeciego EROD stwierdza, że należy również zweryfikować ustawodawstwo tego państwa trzeciego, aby sprawdzić, czy jest ono zgodne z wymogami Trybunału oraz z oczekiwanym poziomem ochrony danych osobowych. Jeśli nie można znaleźć odpowiedniej podstawy do przekazania danych do państwa trzeciego, dane osobowe nie powinny być przekazywane poza terytorium EOG, a wszystkie czynności przetwarzania powinny mieć miejsce w EOG.

Kilka słów na temat skutków wyroku

Duży wpływ na wydanie wyroku miała amerykańska regulacja FISA 702, umożliwiająca podsłuchiwanie ruchu elektronicznego. Co ciekawe, stanowiska naszego zachodniego sąsiada co do skutków wyroku są rozbieżne. Berliński organ nadzorczy stwierdził bowiem, ze przekazywanie danych do USA po wyroku nie jest już możliwe, i powinno być zawieszone, podobnie w przypadku „nieuprawnionego” przekazywania do innych państw trzecich. Natomiast niemiecki federalny organ nadzorczy stwierdził, że transfer do USA jest nadal możliwy, jednak wymaga zapewnienia dodatkowych środków bezpieczeństwa. Z kolei organ nadzorczy Nadrenii Północnej-Westfalii słusznie zauważył, że nadchodzą ciężkie czasy dla międzynarodowych transferów danych.

TSUE wydając wyrok w sprawie Shrems II w dużej mierze zajął się analizą ustawodawstwa USA, a nie samej podstawy prawnej transferu danych. Z tego jak USA podchodzą do ochrony prywatnosci zostały wysnute dalej idące wnioski niż samo udzielenie odpowiedzi na pytanie o „ważność” Privacy Shield. Skutkiem wyroku jest to, że SKU w praktyce w przypadku transferu do USA również nie powinny mieć zastosowania, bo to państwo traktuje prywatność zupełnie inaczej niż Europa. Co ważne – inne podstawy transferu do USA są naznaczone tym samym „grzechem pierwotnym”. Jednym z kierunków „osłabiania” Shrems II może stać się transfer danych do lokalnych (europejskich) centrów danych.

Dostawcy usług SharePoint, Google czy AWS tuż po wyroku zaktualizowali swoje polityki przetwarzania danych, np. usuwając wzmiankę o Privacy Shield. Należy jednak odróżnić samo przechowywanie danych (punktem wspólnym dla usługodawców jest oferowanie usług, gdzie dane mają być przechowywane w UE) od innych czynności przetwarzania. Usługi przechowywania (ang. storage) wiążą się z dodatkowymi usługami tzw. serwisu oraz przetwarzaniem danych diagnostycznych (telemetrycznych). Dla przykładu Microsoft (dostawca SharePointa) już jakiś czas temu przyznał, że dane diagnostyczne trafiają do USA. Obecnie Microsoft powołuje się na SKU, ale musimy pamiętać że występują dwa typu SKU (administrator - administrator oraz administrator - podmiot przetwarzający). Microsoft powołuje się na SKU administrator - podmiot przetwarzający, ale nie bierze pod uwagę, ze w określonych sytuacjach dostawca usług (w zakresie danych diagnostycznych) samodzielnie kontroluje przetwarzanie danych, a więc jest ich administratorem. Co możemy zrobić?

Zastanowić się, czy dane diagnostyczne będą w ogóle umożliwiały identyfikację, bo być może problem sam odpadnie. W przypadku usług wsparcia (SAP, Oracle), gdzie usługodawcy mają zapewniony zdalny dostęp do określonych danych, ich stanowisko co do tego, czy dochodzi do transferu danych poza EOG do tej pory było co do zasady jednolite, tzn. wychodzili z założenia, że do takiego transferu dochodzi, i że może on być zabezpieczony przez SKU. Musimy pamiętać, że do transferu do państwa trzeciego dochodzi w każdym przypadku, gdy dane osobowe fizycznie przekraczają granice EOG, ale również wtedy, gdy dane są dostępne (widoczne) dla osoby znajdującej się poza EOG. W celu rozwiązania problemu z transferem poza EOG np. dostawca systemu SAP oferuje usługę o nazwie EU Access, gdzie dostęp do danych mają tylko osoby znajdujące się w UE. Oracle w ramach usług wsparcia powołuje się na wiążące reguły korporacyjne, do których wyrok Shrems II co prawda nie odnosi się wprost, ale odnosi się do nich argumentacja TSUE przedstawiona w wyroku. A więc w każdym przypadku należy zastanowić się, czy WRK jako zabezpieczenia transferu są dla nas wystarczające. Musimy pamiętać, że wśród możliwych zagrożeń „naszych” danych jest nie tylko utrata poufności, ale również utrata ich dostępności i integralności, mogące mieć jeszcze bardziej odczuwalne skutki.

Na tę chwilę wszyscy dostawcy usług, którzy po wydaniu wyroku nadal twierdzą, ze transfer do krajów trzecich jest możliwy, nie przedstawili żadnych szczegółowych analiz, mogących poprzeć ich stanowisko. Ich klient musi zatem na razie radzić sobie sam. Poczta elektroniczna jak Outlook (Microsoft) czy Gmail (Google) rodzi podobne problemy, przy czym warto zaznaczyć, że Google w tym przypadku w swoich regulacjach nie donosi się do danych diagnostycznych, a jedynie do właściwego „kontentu”, czyli treści wiadomości. W przypadku danych diagnostycznych (zbieranych przez Microsoft, Google czy Zoom) nie powinno się przyjmować domyślnie, ze dane takie nie stanowią danych osobowych.

Również w przypadku telekonferencji dochodzi do transferu danych (Zoom do tej pory powoływał się na Privacy Shield). Podczas telekonferencji inne dane osobowe są transferowane w trakcie publicznego webinaru, a inne w trakcie rozmowy między adwokatem a jego klientem. W związku z tym ocena czy SKU mogą być zastosowane dla zabezpieczenia takiego transferu może być w każdym przypadku inna.