16 marca 2018

Program Tarcza Prywatności a bezpieczeństwo danych osobowych obywateli UE. Czy można zgodnie z prawem przetwarzać dane osobowe w USA?

Udostępnij

Współczesne technologie informatyczne umożliwiają szybkie przesyłanie dużej ilości danych. Prowadzi to do dynamicznego rozwoju usług chmurowych, umożliwiających zapis danych na zewnętrznych serwerach, jak również korzystanie z aplikacji dostępnych online, a nawet wykorzystywanie całej infrastruktury informatycznej, do której dostęp zapewnia użytkownikom odrębny podmiot. Państwem, w którym technologie chmurowe rozwijają się najszybciej, są Stany Zjednoczone. Wielcy gracze dominujący na tym rynku to amerykańskie korporacje, takie jak Microsoft, Google, IBM czy Amazon1.

 

Z uwagi na fakt, że wymienione podmioty, którym są powierzane różnego rodzaju dane, podlegają prawu obowiązującemu w USA, przepisy istniejące w poszczególnych państwach Unii Europejskiej znajdują wobec nich ograniczone zastosowanie. Ma to istotne znaczenie dla kwestii ochrony danych osobowych, które są zamieszczane na serwerach będących własnością amerykańskich przedsiębiorstw. Udostępnienie danych takim korporacjom prowadzi bowiem do ich nadmiernego wykorzystywania, jak również umożliwia dostęp do danych przedstawicielom amerykańskich agencji rządowych. Należy nadmienić, że na fakt masowego, nieumiarkowanego śledzenia komunikacji internetowej przez NSA (National Security Agency), w której udział biorą użytkownicy usług oferowanych przez amerykańskie korporacje, zwracał już uwagę m.in. Parlament Europejski2.

Mając na względzie wskazane zagrożenia dla prywatności danych przekazywanych podmiotom amerykańskim przez użytkowników będących obywatelami Unii Europejskiej, organy UE podejmowały zróżnicowane działania w celu wypracowania odpowiedniego poziomu zabezpieczenia danych, do których dostęp miałyby podmioty amerykańskie.

Program Bezpieczna Przystań

Pierwszym dokumentem, który kompleksowo regulował zasady i wymogi dotyczące przetwarzania danych osobowych przez podmioty mające siedzibę w USA, była decyzja Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach Bezpiecznej Przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (notyfikowana jako dokument nr C(2000) 2441; dalej: program Bezpieczna Przystań)3.

Na mocy tej decyzji przyjęto ustalone pomiędzy Komisją Europejską a Departamentem Handlu USA zasady, których realizacja umożliwiała uznanie, że przedsiębiorstwa amerykańskie biorące udział w programie spełniają standardy ochrony danych osobowych odpowiadające tym, które obowiązują w Unii Europejskiej. Należy wskazać, że amerykańskie przedsiębiorstwa mogły dobrowolnie przystąpić do programu Bezpieczna Przystań i tym samym zadeklarować, że przestrzegają obowiązujących w jego ramach zasad dotyczących ochrony danych. Prowadziło to do możliwości bezpiecznego powierzania danych osobowych przez przedsiębiorstwa i obywateli UE podmiotom z USA, które brały udział w programie.

Sukces programu Bezpieczna Przystań okazał się jednak iluzoryczny. W latach 2002 oraz 2004 Komisja Europejska dokonała przeglądów jego funkcjonowania, które pozwoliły wykazać szereg nieprawidłowości w kwestii właściwego wdrożenia zasad bezpiecznego transferu danych osobowych. W konsekwencji spowodowało to sformułowanie szeregu zaleceń dla władz amerykańskich, służących naprawie tych uchybień. Kolejny przegląd przeprowadzony w 2013 r. wykazał, że nieprawidłowości nie zostały usunięte, a Federalna Komisja Handlu USA nie podjęła działań, które wcześniej sugerowała Komisja Europejska. Główne zarzuty dotyczyły:

  • niepublikowania przez podmioty będące uczestnikami programu obowiązujących polityk prywatności;
  • niezgodnych z prawdą deklaracji uczestnictwa w programie Bezpieczna Przystań – firmy informowały swoich klientów lub potencjalnych klientów o przystąpieniu do programu pomimo tego, że w rzeczywistości nie brały w nim udziału;
  • problemów z egzekwowaniem przestrzegania zasad programu przez Federalną Komisję Handlu4.

Wyrok Trybunału Sprawiedliwości UE ws. C-362/14

Los Bezpiecznej Przystani został przypieczętowany przez wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 r. w sprawie Schrems przeciwko Komisarzowi Ochrony Danych, sygn. C‑362/14. Spór dotyczył tego, czy spółka Facebook Ireland z siedzibą w Irlandii może przekazywać dane osobowe jednego ze swoich użytkowników Maximiliana Schremsa do USA. Skarżący wskazywał, że rejestrując się na portalu Facebook, zawarł umowę z podmiotem irlandzkim, który nie jest uprawniony do przekazywania powierzonych mu danych osobowych dalej, tzn. do Facebook Inc. z siedzibą w Kalifornii, z uwagi na to, iż prawo obowiązujące w USA, w tym również program Bezpieczna Przystań, którego Facebook Inc. jest uczestnikiem, nie zapewniają odpowiedniego poziomu bezpieczeństwa danych osobowych.

Trybunał Sprawiedliwości Unii Europejskiej orzekł, że fakt przyjęcia przez Komisję Europejską decyzji uznającej, że podmioty uczestniczące w programie Bezpieczna Przystań zapewniają odpowiedni poziom ochrony danych osobowych, nie uniemożliwia organom nadzorczym poszczególnych krajów UE późniejszego badania kwestii bezpieczeństwa tych danych. Trybunał Sprawiedliwości wskazał także, że sama decyzja Komisji nie określa w wystarczająco szczegółowy sposób środków, za pomocą których Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych. Ponadto zasady programu Bezpieczna Przystań umożliwiają odstępstwo od wytycznych dotyczących ochrony danych osobowych w przypadku konieczności zapewnienia bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa, co w praktyce umożliwia szeroką ingerencję w prawa osób, których dane dotyczą. Tym samym prowadzi to do naruszenia zasadniczej istoty prawa podstawowego UE do poszanowania życia prywatnego. W konsekwencji Trybunał stwierdził, że decyzja Komisji Europejskiej dotycząca ustanowienia programu Bezpieczna Przystań jest nieważna.

Przyjęcie programu Tarcza Prywatności

W związku z orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej ws. C‑362/14 Komisja Europejska oraz przedstawiciele rządu USA rozpoczęli prace nad nowym, skuteczniejszym programem gwarantującym przestrzeganie przez podmioty w USA zasad dotyczących ochrony danych osobowych, które obowiązują w Unii Europejskiej. Nowe porozumienie pomiędzy Komisją Europejską a rządem Stanów Zjednoczonych w sprawie ram dotyczących transatlantyckich wymian danych osobowych w celach handlowych zostało osiągnięte 2 lutego 2016 r. W konsekwencji 12 lipca 2016 r. Komisja Europejska przyjęła decyzję nr C(2016) 4176 dotyczącą uznania, że nowy program Tarcza Prywatności zapewnia odpowiedni poziom ochrony danych osobowych, zgodnie z unijnymi przepisami dotyczącymi tej materii5. Komisja Europejska zapewniła przy tym, że program ten spełnił wytyczne wskazane we wcześniejszym orzeczeniu Trybunału Sprawiedliwości UE, dotyczące programu Bezpieczna Przystań. Tarcza Prywatności zaczęła obowiązywać od 1 sierpnia 2016 r.

Celem uregulowań składających się na program Tarcza Prywatności było zapewnienie bezpieczeństwa obywatelom UE, którzy przekazują swoje dane osobowe podmiotom mającym siedzibę w USA. Jednocześnie program ma w jak najmniejszym stopniu ingerować w swobodę przepływu danych pomiędzy poszczególnymi państwami. Tarcza Prywatności rozszerzyła zakres obowiązków amerykańskich przedsiębiorstw w dziedzinie ochrony danych osobowych. Wzmocniono przy tym nadzór sprawowany przez Federalną Komisję Handlu USA oraz zacieśniono współpracę pomiędzy Departamentem Handlu USA a europejskimi organami zajmującymi się ochroną danych osobowych6.

Przystąpienie do programu

Podobnie jak poprzedni program ‒ Bezpieczna Przystań, także Tarcza Prywatności opiera się na mechanizmie certyfikacji. Oznacza to, że nie każde amerykańskie przedsiębiorstwo jest objęte programem, a tym samym nie wszystkie podmioty prowadzące działalność gospodarczą w USA automatycznie muszą spełniać europejskie standardy dotyczące ochrony danych osobowych. Jedynie te organizacje, które zadeklarują chęć uczestnictwa w programie, są zobowiązane do spełnienia zasad wskazanych w treści umowy przyjmującej postanowienia programu Tarcza Prywatności, zawartej pomiędzy Unią Europejską a Stanami Zjednoczonymi. Tym samym udział w programie ma charakter dobrowolny, a chęć uczestnictwa podmioty amerykańskie powinny zgłaszać do Departamentu Handlu USA. Zasady Tarczy Prywatności powinny być stosowane przez organizację od momentu zgłoszenia swojego uczestnictwa w programie, co oznacza, że w praktyce konieczne może być dostosowanie działalności organizacji przed jej faktycznym zgłoszeniem. Zgłoszenie powinno być co roku odnawiane.

Wymogi związane z uczestnictwem w programie

Program dotyczy zarówno podmiotów będących administratorami danych, jak i tych, którym dane osobowe zostały tylko powierzone przez podmioty mające siedzibę w Unii Europejskiej i są przetwarzane jedynie w zakresie ustalonym pomiędzy administratorem danych a podmiotem przetwarzającym. Organizacje biorące udział w programie muszą przestrzegać zasad analogicznych do wynikających z unijnych przepisów dotyczących ochrony danych osobowych. Podmioty uczestniczące w programie muszą spełniać obowiązki informacyjne i powiadamiać osoby, które przekazują im dane osobowe, m.in. o celu przetwarzania danych osobowych, nazwie organizacji, która je zbiera, oraz o prawach przysługujących osobie, której dane dotyczą. Podmioty danych mają prawo dostępu do swoich danych – mogą dowiedzieć się, czy i jakie dane są przetwarzane przez określoną organizację.

Zbierane przez podmiot dane powinny być ograniczone stosownie do celu przetwarzania (zasada minimalizacji danych), a przy tym kompletne, aktualne i prawidłowe (zasada prawidłowości). Mogą być przetwarzane wyłącznie zgodnie z celem, w jakim zostały zebrane, i tylko przez okres wymagany do jego realizacji.

Organizacje biorące udział w programie Tarcza Prywatności muszą zapewnić odpowiednie i rozsądne środki zabezpieczenia danych osobowych, biorąc pod uwagę ryzyko związane ze sposobami przetwarzania danych oraz charakter zbieranych danych osobowych. Zapewnienie bezpieczeństwa powinno odbywać się na każdym etapie przetwarzania danych, począwszy od ich zbierania, aż do usunięcia. Organizacje, które biorą udział w programie, muszą weryfikować zgodność swoich polityk prywatności, procedur i postępowania z wymogami stawianymi przez program Tarcza Prywatności. Nie mogą one ponadto dowolnie powierzać dalej przetwarzania danych. Ewentualne powierzenie danych może odbywać się jedynie na podstawie odpowiedniej umowy, gwarantującej przestrzeganie zasad obowiązujących w ramach programu tarcza prywatności.

Podmioty, które przystąpiły do programu Tarcza Prywatności, są zobowiązane do wdrożenia odpowiednich środków umożliwiających osobom, których dane dotyczą, skuteczne realizowanie i egzekwowanie swoich praw. Dotyczy to w szczególności rozpatrywania skarg, wypłacania ewentualnych odszkodowań oraz poddania się skutkom ewentualnych decyzji Federalnej Komisji Handlu USA. Może to odbywać się także np. poprzez dobrowolną współpracę z europejskimi organami zajmującymi się ochroną danych osobowych. Innym rozwiązaniem jest poddanie się rozstrzygnięciom niezależnego podmiotu trzeciego w ramach arbitrażu. Informacja o tym, w jaki sposób można złożyć skargę i kto będzie rozstrzygał spór pomiędzy podmiotem danych a organizacją, powinna zostać zamieszczona w polityce prywatności. Trzeba też wskazać, że Tarcza Prywatności wymaga, aby ewentualne rozstrzygnięcia podmiotu trzeciego miały charakter wiążący dla podmiotu uczestniczącego w programie. Ma to prowadzić do powstania skutecznego mechanizmu pozwalającego zmusić daną organizację do zmiany procedur na zgodne z zasadami programu oraz umożliwiającego zakazanie takiej organizacji dalszego przetwarzania danych w sposób niezgodny z prawem.

Obowiązki Departamentu Handlu USA

Departament Handlu USA został zobowiązany do prowadzenia publicznej listy podmiotów, które przystąpiły do uczestnictwa w programie Tarcza Prywatności. Lista ta dostępna jest w Internecie7. W przypadku gdy dana organizacja nie spełnia standardów programu, powinna zostać usunięta z listy oraz zobowiązana do usunięcia wszelkich danych osobowych, które przetwarzała w związku z uczestnictwem w programie. Dodatkowo organizacja taka nie może powoływać się na fakt uczestnictwa w programie np. na swojej stronie internetowej czy w materiałach promocyjnych. Departament Handlu został zobowiązany do badania z urzędu wszelkich przypadków powoływania się na fakt uczestnictwa w programie Tarcza Prywatności przez podmioty, które w rzeczywistości nie biorą w nim udziału.

Co więcej, administracja rządowa USA zobowiązała się do tego, że ewentualny dostęp organów publicznych do danych osobowych obywateli UE, związany z koniecznością zapewnienia bezpieczeństwa narodowego oraz przestrzegania prawa, będzie odpowiednio ograniczony. Ma on przy tym podlegać mechanizmom nadzoru i zabezpieczeniom, tak aby nie doszło do nadużywania tych środków. Ewentualne dane mogą być przetwarzane jedynie w niezbędnym i proporcjonalnym zakresie. Ponadto ma być zabroniona masowa inwigilacja obywateli UE w Internecie8.

Ocena skuteczności programu Tarcza Prywatności

Po roku obowiązywania programu Tarcza Prywatności Komisja Europejska dokonała ewaluacji funkcjonowania programu i opublikowała sprawozdanie dotyczące przestrzegania zasad mających na celu ochronę danych osobowych przekazywanych z UE do Stanów Zjednoczonych w celach handlowych9. Z jego treści wynika, że Tarcza Prywatności zapewnia odpowiedni poziom ochrony danych osobowych przekazywanych przez podmioty z UE tym organizacjom w USA, które przystąpiły do programu. Pozytywnie oceniono również działania władz USA w przedmiocie umożliwienia dochodzenia roszczeń przez obywateli UE, jak również wprowadzenia niezbędnych struktur i procedur w celu zapewnienia właściwego funkcjonowania programu.

Komisja Europejska wskazała jednak, że Departament Handlu USA powinien w bardziej aktywny sposób weryfikować, czy podmioty, które przystąpiły do programu, rzeczywiście spełniają standardy uczestnictwa w nim i wypełniają ciążące na nich z tego tytułu zobowiązania. Konieczne jest także skuteczne wyszukiwanie tych podmiotów, które zapewniają, że biorą udział w programie, chociaż w rzeczywistości do niego nie przystąpiły. Komisja wskazała również na zasadność szerokiego i przystępnego informowania obywateli Unii Europejskiej o przysługujących im prawach wynikających z funkcjonowania programu Tarcza Prywatności.

Spory sądowe dotyczące programu Tarcza Prywatności

Digital Rights Ireland, spółka prawa irlandzkiego zajmująca się ochroną prywatności w Internecie, zakwestionowała ważność decyzji Komisji Europejskiej dotyczącej Tarczy Prywatności i skierowała skargę do Trybunału Sprawiedliwości Unii Europejskiej, wskazując na to, że program nie zapewnia odpowiedniej ochrony obywatelom Unii Europejskiej.

Trybunał Sprawiedliwości Unii Europejskiej odmówił jednak rozpoznania istoty sprawy, uznając, że Digital Rights Ireland nie miała bezpośredniego interesu w skarżeniu decyzji Komisji Europejskiej, co prowadzi do stwierdzenia, że nie może być skarżącą we wskazanej sprawie. Tym samym skarga została uznana za niedopuszczalną i jako taka nie podlegała rozpoznaniu. Trybunał wskazał bowiem, że spółka jako osoba prawna nie jest podmiotem danych osobowych, które przekazuje do USA, spółka nie jest administratorem danych osobowych, który podlegałby prawu USA, a podczas przekazywania przetwarzanych przez siebie danych osobowych spółka nie narusza prawa tak długo, jak robi to zgodnie z obowiązującymi w Unii Europejskiej przepisami10. Tym samym ważność programu Tarcza Prywatności nie została jak dotąd zakwestionowana przez jakikolwiek organ Unii Europejskiej.

Podsumowanie

Obecnie obowiązujący program Tarcza Prywatności w dogodny sposób umożliwia względnie bezpieczne przekazywanie danych osobowych przez obywateli i organizacje mające siedzibę w Unii Europejskiej wybranym podmiotom mającym siedzibę w USA. Umożliwia to swobodny i sprawny przepływ danych, zabezpieczający interesy przedsiębiorców europejskich, które m.in. pragną skorzystać z usług amerykańskich korporacji informatycznych. Pomimo tego należy zwrócić uwagę na pewne uchybienia w funkcjonowaniu programu, które wymagają dalszych prac, w szczególności ze strony Departamentu Handlu USA, jak również dalszego ulepszania procedur bezpieczeństwa i ochrony danych osobowych przez amerykańskie firmy.

 

Michał Nosowski

radca prawny specjalizujący się w problematyce prawa nowych technologii oraz ochronie danych osobowych

www.michalnosowski.pl

www.wsroddanych.pl

 [1] https://due.com/blog/biggest-cloud-computing-companies-earth/.

[2] Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, organów nadzoru w różnych państwach członkowskich oraz ich wpływu na prawa podstawowe obywateli UE oraz na współpracę transatlantycką w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych (2013/2188(INI).

[3] Dz.Urz. UE L 215 z 25.08.2000 r., s. 0007–0047.

[4] Communication from the Commission to the European Parlament and the Council on the Functioning of the Safe Harbour from the Pespective of EU Citizens and Companies Established in the EU, COM(2013) 847.

[5] Commission Implementing Decision of 12.7.2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield.

[6] http://europa.eu/rapid/press-release_IP-16-216_pl.htm.

[7] https://www.privacyshield.gov.

[8] http://europa.eu/rapid/press-release_IP-16-216_pl.htm.

[9] https://ec.europa.eu/poland/news/171018_shield_pl.

[10] Postanowienie Trybunału Sprawiedliwości Unii Europejskiej z dnia 22 listopada 2017 ws. Digital Rights Ireland przeciwko Komisji, T-670/16.