„Czy grozi bałkanizacja Internetu?” – tak dziennik Financial Times zatytułował artykuł opisujący możliwe skutki orzeczenia Trybunału Sprawiedliwości Unii Europejskiej w sprawie M. Schrems v Data Protection Commissioner.
Czy określenie to, odnoszące sie do rozpadu Imperium Osmańskiego w XIX w. oraz Jugosławii w latach dwudziestych XX wieku, może okazać się trafne w kontekście przekazywania danych osobowych między Europą a Stanami Zjednoczonymi, w tym w odniesieniu do cloud computing?
W ostatnich tygodniach Trybunału Sprawiedliwości UE orzekł o nieważności programu Safe Harbor zainicjowanego w roku 2000, umożliwiającego dotychczas w określonych przypadkach przekazywanie danych z Unii Europejskiej do firm mieszczących się w USA, a będących uczestnikami owej prawnej bezpiecznej przystani. Skrótowo ujmując, uczestnicy Bezpiecznej Przystani, mimo lokalizacji w Stanach Zjednoczonych uznawani byli za gwarantujących danym osobowym taką ochronę, jaka obowiązuje w Unii Europejskiej. Zatem udział w programie Safe Harbor stanowił jeden z prawnych filarów umożliwiających działalność takich gigantów jak Facebook, Twitter czy Google. Ale nie tylko – beneficjentami Bezpiecznej Przystani był także cały szereg innych firm, dla których przekazywanie danych osobowych za Atlantyk stanowi element bieżącej działalności. Łącznie z udogodnień wynikających z programu Safe Harbor korzystało około 5000 firm[1].
Orzeczenie unieważniające program Safe Harbor pociąga zatem za sobą istotne konsekwencje, choć przywołany tytuł zastosowany przez Financial Times zdaje się być na wyrost.
Przybliżmy istotę zagadnienia i tego co spowodowało, że luksemburski Trybunał Sprawiedliwości zanegował istnienie Bezpiecznej Przystani w jej obecnym kształcie.
Program Safe Harbor w szczególności zakładał, że dane osobowe pochodzące z Unii Europejskiej mogły być przetwarzane w USA dzięki autocertyfikacji dokonywanej przez amerykańskie przedsiębiorstwa działające pod stosunkowo luźnym nadzorem Federalnej Komisji Handlu (Federal Trade Commission, FTC). W konsekwencji pojawił się problem braku realnej kontroli nad przetwarzaniem danych ze strony osób, których dane dotyczą. Co więcej, w praktyce, Safe Harbor nie zapewniał należytej kontroli nad dalszym przekazywaniem danych, co rodziło ryzyko wycieku danych z Bezpiecznej Przystani. Tym sposobem ochrona danych stawała się, zwłaszcza z perspektywy osób, których dane dotyczą, iluzoryczna.
Taki stan rzeczy jest w Unii Europejskiej nieakceptowalny: unijne prawodawstwo zakłada znaczną ochronę podmiotów (to jest osób, których dane dotyczą), w tym zapewnia pomoc ze strony organów ochrony danych (takich, jak polski Generalny Inspektor Ochrony Danych Osobowych). Tymczasem w Stanach Zjednoczonych nie tylko brak uniwersalnej regulacji dotyczącej ochrony danych w rodzaju polskiej ustawy o ochronie danych osobowych z 1997 roku czy Dyrektywy 95/46/WE o ochronie danych i ich swobodnym przepływie, ale również brak wyspecjalizowanego organu ochrony. Co prawda, w USA ochroną prywatności informacyjnej zajmuje się jeden ze stosunkowo nowopowołanych wydziałów Federalnej Komisji Handlowej, to jednak możliwość jego oddziaływania na praktykę obrotu jest ograniczona, między innymi ze względu na brak generalnego zakazu przekazywania danych kolejnym odbiorcom.
Co więcej, zgodnie z zasadami Safe Harbor, ograniczenia i gwarancje Bezpiecznej Przystani nie wiązały podmiotu przetwarzającego dane, jeśli wymagały tego m.in. względy bezpieczeństwa narodowego czy interesu publicznego.
Właśnie na te wyjątki zwrócił uwagę Trybunał Sprawiedliwości UE w swoim orzeczeniu wskazując, że umożliwiały one amerykańskiej administracji praktycznie nieograniczony dostęp do danych przetwarzanych na amerykańskich serwerach w ramach Bezpiecznej Przystani podkreślając, że Safe Harbor nie zapewnia instrumentów umożliwiających jednostkom skuteczną ochronę przed ingerencją w ich dane osobowe.
Sprawa trafiła do Trybunału Sprawiedliwości UE w związku ze skargą obywatela austriackiego Max Schremsa, który po ujawnieniu przez Edwarda Snowdena rewelacji dotyczących poziomu inwigilacji ze strony administracji USA, sprzeciwił się gromadzeniu swoich danych przez Facebook argumentując między innymi, iż porozumienie Safe Harbor nie stanowiło gwarancji prawidłowego przetwarzania danych osobowych przez podmioty amerykańskie.
Trybunał Sprawiedliwości UE musiał zatem zważyć, czy prawa podstawowe, w tym prawo do prywatności, doznają uszczerbku wobec rozwiązań przyjętych w programie Safe Harbor. W wyroku Trybunał stwierdził, że Dyrektywa 95/46/WE, stanowiąca podstawę ochrony danych osobowych w Unii Europejskiej, ma zapewnić nie tylko efektywną i kompletną ochronę podstawowych praw i wolności osób fizycznych, ale w szczególności gwarantujące fundamentalne prawo do poszanowania życia prywatnego w odniesieniu do przetwarzania danych osobowych. Zatem systemowe rozwiązania grożące tym wartością nie zasługują, w ocenie Trybunału, na uznanie.
Po ogłoszeniu orzeczenia Trybunału pojawiły się głosy krytykujące przyjęte stanowisko z uwagi na daleko idące skutki praktyczne. W szczególności częste są argumenty, iż usztywnianie regulacji w celu wzmocnienia ochrony danych osobowych w konsekwencji przyniesie w transatlantyckich relacjach – z perspektywy wymiany handlowej, naukowej czy kulturalnej – więcej szkody niż ewentualnych korzyści.
Nie rozstrzygając teraz wspomnianej kwestii, trzeba stwierdzić, iż Trybunał Sprawiedliwości UE jednoznacznie opowiedział się za zapewnieniem ochrony praw podstawowych obywateli. Taki wyrok stanowi zresztą przejaw konsekwentnie rozwijanej przez Trybunał linii orzeczniczej dotyczącej gwarancji praw i wolności jednostki, jako wartości nadrzędnej.
Niemniej praktyczne skutki wyroku dla przedsiębiorców dotychczas uczestniczących w programie Safe Harbor mogą być poważne. Wedle stanowiska Grupy Roboczej Artykułu 29 (roboczego zespołu ds. ochrony danych osobowych składającego się m.in. z przedstawicieli organów ochrony danych poszczególnych państw członkowskich UE), organy odpowiedzialne za ochronę danych osobowych, w tym polski Generalny Inspektor Ochrony Danych Osobowych, do końca stycznia 2016 r. będą uznawały przekazywanie danych osobowych w ramach programu Bezpieczna Przystań tak, jakby gwarancje ochrony nadal w pełni obowiązywały (tymczasowe przyjęcie fikcji, iż Safe Harbor nadal obowiązuje i należycie wypełnia swoje zadania).
Po upływie terminu wskazanego okresu przejściowego, czyli na początku lutego 2016 roku, państwowe organy ochrony danych osobowych państw członkowskich UE podejmą stosowne „skoordynowane działania wykonawcze”. Jednocześnie Grupa Robocza Art. 29 podkreśliła, że przesyłanie danych osobowych z EU do USA na podstawie programu Safe Harbor jest już teraz obarczone wysokim ryzykiem naruszenia bezpieczeństwa danych i zasugerowała możliwe daleko idące ograniczenie z jego korzystania.
W związku z unieważnieniem programu Safe Harbor przedsiębiorcy przesyłający dane do USA podstawie będą musieli korzystać z innych podstaw. Od początku 2016 roku polska ustawa o ochronie danych osobowych pozwala na stosowanie standardowych klauzuli umownych (Standard Contractual Clauses) opracowanych przez Komisję Europejską, bez uzyskiwania dodatkowej akceptacji Generalnego Inspektora Ochrony Danych Osobowych. Możliwe jest również przyjęcie przez międzynarodowe korporacje odpowiednich regulacji wewnętrznych (Binding Corporate Rules), określających zasady transferu danych osobowych pomiędzy członkami korporacji; tego rodzaju regulacje wymagają jednak zatwierdzania przez organy ochrony danych w państwach członkowskich UE, z których dane mają być eksportowane za ocean. Innym możliwym rozwiązaniem jest uzyskiwanie pisemnej zgody od każdej osoby, której dane miałyby być transferowane do USA, co w razie znacznych ilości danych okazuje się z oczywistych względów wysoce niepraktyczne czy zgoła niewykonalne.
Wprowadzenie trzy miesięcznego okresu przejściowego ma na celu umożliwienie uczestnikom transatlantyckiej wymiany danych dostosowanie do nowych okoliczności, tj.:
- ocenę ilości, częstotliwości i charakteru danych przekazywanych do USA w ramach dotychczas obowiązującego programu Safe Harbor,
- wypracowanie i wdrożenie alternatywnych rozwiązań prawnych, na przykład takich jak standardowe klauzule umowne czy wiążące reguły korporacyjne.
Są to jednak wszystko rozwiązania ad hoc, które nie zastąpią mechanizmów strukturalnych o uniwersalnym charakterze (tj. takich jakim w swoich założeniach był Safe Harbor).
Czy zatem wyrok oznacza początek końca transferu danych przez Atlantyk, co miałoby skutkować początkiem końca Internetu, w kształcie, jaki znamy? A zwłaszcza, czy wyrok może stanowić początek końca Cloud Computing?
Program Safe Harbor można przyrównać do Strefy Schengen: owszem, brak porozumienia Bezpiecznej Przystani może skutkować tym, czym skutkowałoby zamknięcie granic i przywrócenie szczegółowych kontroli paszportowych. Przepływ danych nadal będzie się odbywał, ale może stracić na płynności, gdyż stosowane będą rozwiązania o partykularnym (choć niekoniecznie: jednorazowym) charakterze, które przykładowo wskazaliśmy powyżej.
Jak się wydaje, na nowe rozwiązanie systemowe trzeba będzie poczekać; doświadczenie uczy, iż negocjacje pomiędzy UE a USA w dziedzinie ochrony danych osobowych nie są ani łatwe, ani szybkie, zatem konieczne będzie posiłkowanie się w obrocie doraźnymi rozwiązaniami. Czy poziom ochrony prywatności jako jednego z praw podstawowych faktycznie wzrośnie, przekonamy się zapewne już niedługo, obserwując praktykę i stopień przestrzegania wymogów tymczasem zastępujących Safe Harbor. Obrót, w tym usługi chmurowe, mogą stracić na płynności, gdyż będą wymagały stosownie niedopasowanych do swej specyfiki i natury rozwiązań formalnych.
[1] https://safeharbor.export.gov/list.aspx
Powyższy wpis jest częścią Raportu DZP o usługach przetwarzania w chmurze, dostępnym do pobrania tu.