Artykuł Schrems II, czyli TSUE wywraca stolik pochodzi z serwisu CRN.
]]>CRN „No to TSUE dał (prawniczego) czadu. Dużo do przemyślenia. Privacy Shield is dead” – tak skomentował Pan wyrok w sprawie Schrems II. Pojawiły się też głosy o delegalizacji chmury czy też zakazie używania Google Analytics… Sprawa wydaje się więc poważna, ale nie wiemy, jak bardzo. A zatem?
Marcin Maruta Bardzo. Zacznijmy od tego, że jakikolwiek transfer danych osobowych poza Europejski Obszar Gospodarczy wymaga podstawy prawnej. W relacjach między Unią a USA jedną z pierwszych i najważniejszych podstaw był program Safe Harbour. Jednak wyrok TSUE z 2015 roku w sprawie Schrems I zakwestionował jego sens. I trudno się dziwić, bo liberalne prawo amerykańskie dotyczące ochrony danych nijak się ma do europejskiego, które jest bardziej restrykcyjne i ideologicznie inaczej skonstruowane. Założenia programu nie miały więc odzwierciedlenia w rzeczywistości, poza tym, że firmy działające po obu stronach Atlantyku zabezpieczały się klauzulą, w której powoływały się na Safe Harbour. W ten sposób miały poczucie, że działają zgodnie z prawem. Safe Harbour został zastąpiony Privacy Shield, co z kolei zostało unieważnione najnowszym wyrokiem, a więc Schrems II. Szczerze mówiąc, to nie było wielkie zaskoczenie dla prawników, którzy zajmują się ochroną danych osobowych. Można się było tego spodziewać z tych samych powodów, co w przypadku Safe Harbour.
Dotychczasowe umowy, w których powoływano się na Privacy Shield, są więc już nieważne?
Kilka słów, aby uporządkować obraz sytuacji. Jak wspomniałem, do transferu danych potrzebujemy podstawy prawnej. Jest ich kilka, od porozumień międzynarodowych w rodzaju Privacy Shield, po zgody osób fizycznych. Wyrok TSUE dotyczył dwóch podstaw, najczęściej stosowanych – Privacy Shield i tzw. standardowych klauzul umownych. Privacy Shield została unieważniona, więc ta podstawa znika. Jeżeli na niej opieraliśmy transfer, to musimy albo go zaprzestać, albo znaleźć inną podstawę. Standardowe klauzule umowne to wzorcowe umowy zawierane między przedsiębiorcami z Unii i spoza Unii, a właściwie Europejskiego Obszaru Gospodarczego. One, jako mechanizm, przetrwały, ale na podmioty, które dokonują transferu danych nałożono obowiązek badania, czy kraj, do którego dane są przekazywane, zapewnia odpowiednią ochronę. I tu wpadamy w pułapkę, ponieważ Trybunał stwierdził, że w USA takiej ochrony nie ma, więc stosowanie klauzul na potrzeby transferu do tego kraju jest co najmniej wątpliwe.
Niemniej wyrok dotyczy wszystkich krajów?
Wyrok w zakresie standardowych klauzul dotyczy całego świata, niemniej faktycznie kluczowy w tym kontekście jest transfer danych osobowych w obrocie ze Stanami Zjednoczonymi, bo to dostawcy amerykańscy zdominowali rynek IT, w tym sektor chmurowy. Wiele amerykańskich firm szukało przy tym podstawy prawnej do transferu danych swoich klientów z terenu UE na teren USA, i w tym celu korzystało z zapisów Privacy Shield. Chodzi przede wszystkim o usługodawców, którzy nie mieli rozbudowanych przedstawicielstw czy centrów danych w Europie. A teraz ich tutejsi klienci mają problem. Taki problem mają też podmioty transferujące dane w oparciu o klauzule, choć tutaj mogą wystąpić przypadki, kiedy transfer da się obronić. W przypadku Tarczy – nie ma już takiej możliwości.
Z tego wynika, że potrzebna jest nowa umowa pomiędzy UE a USA. Czy jest na to szansa i kiedy może to nastąpić?
Już dwie umowy nie wytrzymały próby czasu, a szanse na stworzenie trzeciej uważam za nikłe, bo podejście do tematu danych osobowych w Europie, USA i Chinach bardzo się od siebie różni. Na tyle, że kompromis wydaje się niemożliwy. Zresztą Amerykanie mniej lub bardziej wyraźnie dają znać, że do GDPR w stopniu wymaganym przez Unię się nie dostosują.
Co na to wszystko europejskie urzędy ds. ochrony danych osobowych? Jakie są ich wytyczne dla firm?
Niemal wszystkie milczą, wyraźnie czekając na rozwój wydarzeń – zapewne pracują nad rozwiązaniami. Pojawiają się wypowiedzi dość stanowcze, jak berlińskiego urzędu ds. ochrony danych osobowych, który uznał, że w ogóle nie można teraz transferować danych do USA i nie powinny one przekraczać unijnych granic. To najostrzejsze, jak do tej pory, oficjalne stanowisko. Co ciekawe, na poziomie federalnym Niemiec, stanowisko było łagodniejsze, dane nadal mogą trafiać za Atlantyk, ale przy spełnieniu dodatkowych warunków… których jeszcze nikt nie zna. Nasz polski prezes UODO postąpił podobnie, czyli zakomunikował, że można to robić, ale zgodnie z nowym prawem, przy czym ocena zgodności należy do każdej firmy z osobna. Nie ma zero-jedynkowych wytycznych i zapewne nie będzie.
Od czego, w takim razie, powinno się zacząć?
Każda firma, która korzysta z usług chmurowych musi się teraz zastanowić, gdzie konkretnie przetwarzane w ten sposób dane lądują. Jeśli okaże się, dajmy na to, że gdzieś na amerykańskim serwerze w ramach usługi Azure, wówczas należałoby sprawdzić, czy można zmienić lokalizację przetwarzania danych na data center w Europie. W wielu przypadkach jest to możliwe, zwłaszcza u kluczowych graczy na rynku chmurowym. W tym kontekście bardzo dobrze brzmią zapowiedzi Google’a i Microsoftu dotyczące wielkich inwestycji w „polskie” centra danych. To w przyszłości może bardzo ułatwić sprawę. Warto przy tym zwrócić uwagę, że na ocenę sytuacji może wpłynąć fakt, jakie dane przekazujemy do chmury – bo jest różnica między danymi identyfikującymi wprost osobę, a tylko pozwalającymi pośrednio ją identyfikować (jak adres IP) – oraz jak je zabezpieczamy, czyli w grę wchodzi kryptografia i kontrola nad kluczami.
Czy przeniesienie danych do Europy niweluje zagrożenia prawne?
Nie zawsze. Żeby spać spokojnie należy uważnie przeczytać wszystkie umowy z zagranicznymi dostawcami usług. Nawet, jeśli trzymają nasze dane tylko w Unii Europejskiej. Może się bowiem okazać, że w umowie jest na przykład zapis, zgodnie z którym w razie awarii tutejszego centrum danych usługodawca może dane, wyjątkowo, przerzucić do USA. Jestem jednak przekonany, że najwięksi dostawcy dostosują się do unijnych wymagań prawnych.
A co z kwestią danych, które są przetwarzane w ramach Google Analytics? Czy jest to teraz nielegalne, bo na amerykańskich serwerach analizowane są informacje dotyczące Europejczyków?
To są dane, które nie identyfikują wprost konkretnych osób, więc czeka nas dyskusja pomiędzy prawnikami, jak w tym przypadku interpretować wyrok TSUE. Ale bez sprawdzenia, jakie konkretne dane i w jakim wolumenie są transferowane, trudno to orzec. W moim odczuciu powinniśmy zastanowić się nad istotą orzeczenia, a więc poufnością danych i analizować, czy potencjalny dostęp do takich danych przez służby kraju trzeciego może naruszyć czyjeś prawa.
Jak wygląda sytuacja prawna waszych klientów w świetle decyzji trybunału?
Analizujemy teraz uważnie poszczególne przypadki i już widzimy, że praktyczny wpływ wyroku będzie poważny. Część klientów będzie musiała zrezygnować z niektórych narzędzi, czekamy też na reakcję dostawców, którzy już zmieniają swoje polityki.
Czy należy spodziewać się wysypu kar nakładanych przez UODO?
To zależy od UODO, ale wątpię. Sam organ musi umieć ocenić, gdzie leży granica pomiędzy szarą a czarną strefą. Na pewno zaniechanie analizy swojej sytuacji i pozostawienie transferu na podstawie Tarczy będzie dość oczywistym naruszeniem prawa. Natomiast z klauzulami sprawa nie jest aż tak oczywista. W każdym razie jestem pewny, że wyrok TSUE będzie bardzo serio traktowany przez europejskich regulatorów, bo dotyczy ważnego, ideologicznego sporu pomiędzy UE a resztą świata.
Czy czeka nas zatem rewolucja na rynku dostawców usług chmurowych na rzecz europejskich firm?
Z dużymi dostawcami ze świata europejscy klienci nie powinni mieć problemów, bo – ufam – ci się do unijnych wymogów dostosują. Problem może wystąpić w przypadku średnich i małych usługodawców spoza Europy, którzy mogą uznać, że im się to nie opłaci, ze względu na małą skalę działania czy zbyt wysokie koszty. Ich klienci będą więc wybierali bezpieczną alternatywę. W tym kontekście ciekawa wydaje się ogólna polityka Unii, wzmacniającej własne kompetencje cyfrowe, w tym chmurowe. Przykładem jest inicjatywa Gaia-X, która ma na celu stworzenie europejskiej infrastruktury chmurowej i zmniejszenie zależności europejskich podmiotów od amerykańskich dostawców usług cloudowych. Stoją za tym głównie Niemcy i Francja, za to polskich firm w tym projekcie nie ma, choć powinny się tym zainteresować. Zwłaszcza że obecnie nie brakuje funduszy unijnych dotyczących cyfryzacji.
Przypomnijmy na koniec, jak ta sprawa znalazła się w TSUE i kim jest Schrems…
Maximilian Schrems to najbardziej znany obecnie na świecie aktywista od danych osobowych, który najpierw doprowadził do zniesienia Safe Harbour, a teraz Privacy Shield. Wykazał, że obie te konstrukcje prawne były wadliwe, gdyż systemy prawne USA i UE są ze sobą niekompatybilne. W świecie aktywistów od prywatności jest postacią wręcz kultową. Nie wątpię, że w razie ewentualnej kolejnej umowy pomiędzy UE a USA znowu o nim usłyszymy.
Rozmawiał Tomasz Gołębiowski
Artykuł Schrems II, czyli TSUE wywraca stolik pochodzi z serwisu CRN.
]]>Artykuł Microsoft zgodny z 'Tarczą prywatności’ pochodzi z serwisu CRN.
]]>Nowy układ przewiduje możliwość składania skarg przez europejskich klientów, których zdaniem poufność danych została bezzasadnie naruszona, do rzecznika takich spraw w USA. Departament handlu ma kontrolować przestrzeganie wymogów 'Tarczy prywatności’ przez amerykańskie firmy. Krytycy układu twierdzą, że to podretuszowany stare porozumienie i w USA niewiele się zmieni pod względem przestrzegania zasad ochrony danych zgodnie z europejskimi normami.
Z listą firm działających zgodnie z 'Tarczą prywatności’ można zapoznać się tutaj.
Artykuł Microsoft zgodny z 'Tarczą prywatności’ pochodzi z serwisu CRN.
]]>Artykuł Wchodzi w życie Safe Harbour 2.0 pochodzi z serwisu CRN.
]]>“Ciężko pracowaliśmy z naszymi partnerami w Europie i USA, aby umowa miała właściwy kształt i weszła w życie jak najszybciej. Przepływ danych pomiędzy naszymi dwoma kontynentami ma kluczowe znaczenie dla rozwoju społecznego i gospodarczego. Obecnie mamy solidną podstawę do tego, by funkcjonował on w sposób niezakłócony i bezpieczny” – powiedział Andrus Ansip, wiceprzewodniczący KE oraz komisarz ds. jednolitego rynku cyfrowego.
Wejście w życie umowy EU-US-Privacy Shield, znanej też jako Safe Harbour 2.0, poprzedziły miesiące sporów o jej kształt. Od 8 lipca będzie ona ułatwiać organizacjom po obu stronach Atlantyku transfer danych obywateli Unii Europejskiej bez łamania stosowanych na terenie UE surowych przepisów o ich ochronie.
Artykuł Wchodzi w życie Safe Harbour 2.0 pochodzi z serwisu CRN.
]]>Artykuł Kary za transfer danych do USA pochodzi z serwisu CRN.
]]>Dwa krajowe urzędy zajmujące się ochroną danych osobowych w Niemczech prześwietliły działania firm dokonujących transferu danych za ocean. Według nich stwierdzono liczne niedociągnięcia. Kary nałożone na przedsiębiorstwa z tego tytułu sięgają 300 tys. euro. Postępowania wciąż trwają.
Artykuł Kary za transfer danych do USA pochodzi z serwisu CRN.
]]>Artykuł Już niedługo Dropbox umożliwi klientom przechowywanie danych w Europie pochodzi z serwisu CRN.
]]>
W październiku 2015 r. Trybunał Sprawiedliwości UE zakwestionował wydaną wcześniej decyzję Komisji Europejskiej stwierdzającą (w ramach programu Safe Harbour), że Stany Zjednoczone gwarantują odpowiedni stopień ochrony danym osobowym. Ruszyły właśnie prace nad nowym programem, nazwanym EU-US Privacy Shield. Jednak, zanim wyniknie z nich coś wiążącego, europejskie podmioty korzystające z amerykańskiej chmury mogą mieć problemy w sporach z krajowymi urzędami ochrony danych. Dlatego chcą, by wrażliwe dane wygenerowane w kraju członkowskim nie opuszczały granic wspólnoty.
Artykuł Już niedługo Dropbox umożliwi klientom przechowywanie danych w Europie pochodzi z serwisu CRN.
]]>Artykuł „Tarcza prywatności” zamiast „Bezpiecznego portu” pochodzi z serwisu CRN.
]]>W końcu ustalono, że amerykańskie ministerstwo handlu będzie nadzorować firmy, które przetwarzają w USA dane z Europy. Kto nie będzie przestrzegał standardów ochrony, jest zagrożony sankcjami.
Ponadto strona amerykańska zagwarantowała, że europejskie dane nie będą poddane 'masowemu, pozbawionemu wyjątków nadzorowi’ służb USA. Mają być kontrolowane tylko w razie konieczności.
Jeśli europejski użytkownik uzna, że jego prawo do ochrony informacji zostało naruszone z uwagi na bezpieczeństwo narodowe USA, może zwrócić się za oceanem do swojego rzecznika (Ombudsman) niezależnego od służb. Ma go wyznaczyć sekretarz stanu (minister spraw zagranicznych) USA. Partnerzy mają co roku sprawdzać realizację porozumienia.
Nowy układ już jest krytykowany. Jeden z europarlamentarzystów nazwał go 'żartem’, a Komisji Europejskiej zarzucił sprzedaż europejskich wartości. Inny zauważył, że zapewnienia amerykańskiego rządu w ostatnim roku urzędowania nie są wystarczającą gwarancją ochrony danych. Nie brak obaw, że 'Privacy Shield’ może zostać utrącony przez europejski Trybunał Sprawiedliwości tak jak 'Safe Harbour’.
Artykuł „Tarcza prywatności” zamiast „Bezpiecznego portu” pochodzi z serwisu CRN.
]]>Artykuł Koncerny IT biją na alarm: oddala się 'bezpieczny port’ pochodzi z serwisu CRN.
]]>Poprzednią umowę trybunał w Strasburgu uznał za nieobowiązującą, ponieważ w jego opinii prywatność informacji europejskich podmiotów za oceanem nie jest dostatecznie chroniona. Wpływ na decyzję miały ujawnione w ub.r. doniesienia o inwigilacji amerykańskich służb, obejmującej zasoby cyfrowe.
Tymczasem od możliwości swobodnego transferu danych między Europą i USA zależy biznes ponad 4 tys. firm, w tym gigantów jak Google, IBM czy Microsoft. Dyrektorzy największych firm wszczęli alarm. Amerykańska organizacja, zrzeszająca koncerny IT – Information Technology Council – wysłała cześć ich dyrektorów do Europy, aby lobbowali na rzecz porozumienia. Przedstawiciele gigantów IT będą rozmawiać na temat problemu z politykami i reprezentantami organów odpowiedzialnych za ochronę danych osobowych w Londynie, Berlinie, Amsterdamie i Dublinie.
Koncerny wywierają także presję na Biały Dom i Brukselę. Rzecznik organizacji w liście do prezydenta Obamy oraz szefa Komisji Europejskiej, Jeana – Claude’a Junckera, ostrzegł przed 'nadzwyczajnymi’ konsekwencjami, jeżeli pakt wkrótce nie zostanie podpisany.
Organy odpowiedzialne za ochronę danych osobowych z całej UE mają spotkać się 2 lutego i ustalić, czy podejmują działania przeciwko koncernom, jeśli wszystkie mechanizmy dotyczące transferu naruszają unijne przepisy, a nie ma innych regulacji. Najbliższe dni mogą zdecydować o dalszym losie europejskich biznesów gigantów IT.
Artykuł Koncerny IT biją na alarm: oddala się 'bezpieczny port’ pochodzi z serwisu CRN.
]]>Artykuł Nowe porozumienie Unii z USA dotyczące danych pochodzi z serwisu CRN.
]]>Następca Safe Harbour ma zawierać klauzulę, która pozwala na
zablokowanie przeniesienia danych z Europy do USA, w razie przypuszczenia, że informacje
europejskich użytkowników nie są dostatecznie chronione. Unia chce
także uzyskać gwarancje dotyczące bezpieczeństwa danych ze strony USA, aby trybunał
nie uchylił nowego porozumienia. Otrzymanie takiego zapewnienia jest jednak
mało prawdopodobne.
Artykuł Nowe porozumienie Unii z USA dotyczące danych pochodzi z serwisu CRN.
]]>