„Bezpieczna przystań” odpłynęła
Dodano: 07-10-2015 w kategorii: Powierzenie, Prawa osób, których dane dotyczą, Zasady przetwarzania danych osobowych. Dodane przez: Katarzyna Witkowska.

Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że decyzja Komisji Europejskiej w sprawie „bezpiecznej przystani" jest nieważna. Z Safe Harbor korzystało ponad 5 tysięcy podmiotów, w tym Facebook, Google, Twitter, Yahoo!, Amazon. Dlatego właśnie wyrok Trybunału odbił się tak szerokim echem.

Safe Harbor

Jeżeli państwo docelowe nie zapewnia odpowiedniego poziomu ochrony, transfer danych musi opierać się na innej przesłance. Przekazywanie danych osobowych do USA - zgodnie z wymogami dyrektywy i ustaw krajowych - nie może być więc „wolnoamerykanką".

Ze względu na to, że Stany Zjednoczone nie gwarantują adekwatnego do europejskiego poziomu ochrony danych osobowych, poszukiwano innej przesłanki umożliwiającej przekazywanie danych do USA. Dlatego Departament Handlu USA opracował program Safe Harbor (tzw. bezpiecznej przystani), a w 2000 roku Komisja Europejska wydała decyzję uznającą adekwatność tych zasad ochrony danych.

Aby skorzystać z tego ułatwienia, konkretny podmiot amerykański, któremu dane miały być przekazywane musiał po prostu przystąpić do programu. Dzięki temu był traktowany jako podmiot zapewniający odpowiedni poziom ochrony i dane można było mu przekazać.

Buntownik Schrems

Wszystko zaczęło się od Maxa Schremsa, o którym pisaliśmy już na naszych portalach i Edwarda Snowdena.

Max Schrems złożył skargę do irlandzkiego organu ochrony danych osobowych na działanie Facebooka. Twierdził, że do jego danych udostępnianych na Facebooku i przekazywanych przez Facebook do USA, mogą mieć dostęp służby amerykańskie. Schrems powoływał się na informacje, które w 2013 roku ujawnił Snowden.

Z jego doniesień wynikało że nie istnieje żadna rzeczywista ochrona danych osobowych przekazywanych z UE do USA na podstawie Safe Harbor. aCo więcej, do danych, które przetwarzająpodmioty, które do Safe Harbor przystąpiły, swobodny dostęp ma Agencja Bezpieczeństwa Narodowego w ramach programu PRISM.

Irlandzki organ ochrony danych oddalił skargę Schremsa - powołał się właśnie na Safe Harbor twierdząc, że skoro Facebook do programu przystąpił, zapewnia odpowiedni poziom ochrony - dane mogą być do USA przekazywane, a organ nie może oceniać decyzji Komisji. Sprawa miała dalszy ciąg w irlandzkich sądach. Ostatecznie trafiła do Trybunału Sprawiedliwości.

Ten uznał, że decyzja Komisji w sprawie Safe Harbor jest nieważna. Wyrok wywołał burzę. Od razu pojawiły się głosy o końcu Facebooka i innych gigantów w Europie. To jednak spora przesada.

Co dalej?

Znaczenie wyroku jest duże,.Uznano w nim, że krajowe organy nadzorcze mogą weryfikować czy przekazywanie danych do określonych państw trzecich spełnia wymogi prawa ( nawet jeżeli Komisja stwierdziła że państwo trzecie zapewnia odpowiedni poziom ochrony). Nie mogą więc z góry przyjmować, że decyzja Komisji równa jest zapewnieniu bezpieczeństwa.

Stwierdzenie nieważności decyzji Komisji oznacza też, że z tej podstawy przekazywania danych do państw trzecich już nie skorzystamy. Zamiast powoływać się na Safe Harbor, poszukać należy innej podstawy przekazywania danych przewidzianej w dyrektywie 95/46/WE i implementujących ją ustawach krajowych.

Safe Harbor dla usługodawców amerykańskich było najprostszą ścieżką. Teraz będzie trudniej, zwłaszcza, że Trybunał wyraźnie zaznaczył, że stosowane dotychczas reguły ochrony danych (których odzwierciedleniem był Safe Harbor) są niewystarczające.

Nie sposób przewidzieć, jak wyrok przełoży się na podniesienie standardów ochrony danych przekazywanych do USA. Wszystko w rękach krajowych organów ochrony danych, które będą oceniać możliwość przekazywania danych do Stanów. Ocena będzie możliwa zarówno poprzez badanie podstaw, na których firmy będą opierać teraz transfery danych oraz faktycznego stosowania deklarowanego poziomu ochrony.

Słuszne są głosy, że wyrok ten ma ważny wymiar polityczny. Niejednokrotnie pisaliśmy już o reformie ochrony danych na szczeblu europejskim, w której zasady przekazywania danych do państw trzecich odgrywają istotną rolę. Tak wyraźny głos Trybunału może być zapowiedzią wyższych oczekiwań Unii wobec USA.

W następstwie wyroku Trybunału, irlandzki organ ochrony danych będzie musiał zbadać teraz skargę Maxa Schremsa i wydać decyzję, czy przekazywanie danych do Facebook należy zawiesić ze względu na niezapewnianie odpowiedniego poziomu ochrony, czy też należy ten transfer dopuścić.

Facebook z kolei musi poszukać nowych podstaw przekazywania danych i zadbać o podniesienie standardów ochrony danych swoich użytkowników.

akta osobowe , cloud computing , bezpieczeństwo danych