Poland

TSUE unieważnił transfery danych do USA . Czego się bać?

FIRMA Prawo i podatki

Trybuna Sprawiedliwoci Unii Europejskiej uzna za niewan decyzj Komisji Europejskiej zatwierdzajca tzw. Tarcz Prywatnoci, czyli szeroko pojt umow midzy USA a UE, ktra dopuszczaa transfer danych osobowych z Unii do USA.

TSUE uniewani 16 lipca 2020 r. (sprawa C-311/18) Tarcz Prywatnoci podnoszc w zasadzie te same argumenty co w tzw. wyroku Schrems I z 6 padziernika 2015 r. (sprawa C-362/14), ktrym TSUE uniewani tzw. Bezpieczn Przysta poprzedniczk Tarczy Prywatnoci. TSUE ponownie wskaza na brak proceduralnych gwarancji dla osb spoza USA poddawanych masowej inwigilacji elektronicznej na podstawie amerykaskiego prawodawstwa. Trzy gwne amerykaskie akty prawne poddane krytyce to ustawa o kontroli wywiadu zagranicznego (FISA), rozporzdzenie wykonawcze 12333 i dyrektywa polityczna Prezydenta nr 28. Sd, eufemistycznie to okrelajc, wyrazi dezaprobat dla efektw negocjacji Komisji Europejskiej z USA co do zastpienia uniewanionej wczeniej Bezpiecznej Przystani Tarcz Prywatnoci.

W ocenie TSUE uprawnienia amerykaskich agend rzdowych wynikajce z prawodawstwa amerykaskiego wzgldem danych zagranicznych s tak due i tak niekontrolowane, e nie sposb uzna, e Tarcza Prywatnoci rzeczywicie dawaa rezydentom Unii Europejskiej ochron odpowiedni do ochrony danych w EU. Sd wskaza, e prawo amerykaskie inaczej (duo bardziej) chroni obywateli amerykaskich, nie dajc porwnywalnych, a w zasadzie adnych gwarancji ochrony prawnej przed inwigilacj osobom spoza USA.

Klauzule tak, transfer danych nie

Rwnoczenie sd wskaza, e wprawdzie tzw. standardowe klauzule umowne (SCC) pozostaj w mocy same w sobie (a konkretnie decyzja Komisji Europejskiej przyjmujca SCC). Natomiast niekoniecznie legalny jest transfer danych na podstawie SCC. Standardowe klauzule umowne to wzorce konkretnych zobowiza umownych pomidzy podmiotem transferujcym dane poza UE a odbiorc tych danych poza UE. Sd wskaza, e legalno transferu danych w oparciu o SCC naley bada na tle prawodawstwa pastwa docelowego. Jeeli prawodawstwo to nie zapewnia odpowiednich proceduralnych gwarancji dla podmiotw danych (rezydentw UE) i dopuszcza dowolny dostp do tych danych agendom rzdowym pastwa docelowego, to nie mona uzna, e ochrona danych zapewniana przez SCC, bdzie miaa stopie odpowiedni do europejskiego. A w konsekwencji taki transfer pozostanie nielegalny lub moe za taki zosta uznany przez organ nadzorczy i zakazany.

W powizaniu z ustaleniami dotyczcymi uprawnie do inwigilacji cudzoziemcw, ktre USA sobie przyznao, i braku narzdzi proceduralnych dla inwigilowanych cudzoziemcw, oznacza to, e SCC same w sobie przestaj by dobr podstaw do przesyania danych osobowych z UE do USA, a co najmniej, e kady przypadek przesyania danych osobowych do USA staje si podejrzany i naley zweryfikowa realn adekwatno ochrony danych przy takim transferze.

Transfery do chmury nielegalne?

Pojawiaj si wic gosy, w tym wany gos fundacji NOYB European Center for Digital Rights zaoonej przez aktywist Maxa Schremsa, ktry doprowadzi zarwno do wydania poprzedniego wyroku uniewaniajcego Bezpieczn Przysta, jak i obecnego wyroku TSUE, e wszystkie due transfery danych do USA, w oparciu o ktre oferowane s globalne usugi chmurowe, powinny zosta uznane za nielegalne.

Z pewnoci trudno bdzie teraz obroni transfer danych pomidzy Facebook Ireland and Facebook Inc, na tle ktrego wydano ten przeomowy wyrok. To co Data Protection Commissioner Helen Dixon, czyli szefowa irlandzkiego organu ochrony danych, moe jeszcze dla Facebooka zrobi, to odwlec wydanie decyzji w tej sprawie.

Co z du chmur?

Jednak z pozostaymi duymi usugami chmurowymi jeszcze chyba nie jest tak le. Urzd Ochrony Danych Osobowych pisze w komunikacie z 20 lipca 2020 r. (https://uodo.gov.pl/pl/138/1603), e wyrok Schrems II: Oznacza konieczno dokonania przez administratorw indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, ktra musi uwzgldnia nie tylko same postanowienia umowne uzgodnione midzy eksporterami i importerami danych, lecz rwnie przepisy prawa w pastwie trzecim, w szczeglnoci odnoszce si do ewentualnego dostpu organw wadzy publicznej tego pastwa do przekazywanych danych. Gdy w wietle dokonanej oceny poziom ochrony danych osobowych nie bdzie merytorycznie rwnowany z poziomem gwarantowanym w UE, przekazywanie danych moe by uzalenione od zapewnienia rwnowanego poziomu ich ochrony za pomoc innych rodkw.

W tym wietle wydaje si, e nie ma przeszkd, aby kontynuowa korzystanie z duej czci usug chmurowych wiadczonych przez firmy amerykaskie, jeli wystpuj te inne ni SCC rodki ochrony danych. Jeeli tak zwany kontent, czyli treci wprowadzane przez uytkownikw (user generated content) s przechowywane przez dan usug na terenie Europejskiego Obszaru Ekonomicznego, transfer tzw. danych telemetrycznych lub nawet danych podstawowych o uytkownikach (login, imi, nazwisko, przynaleno do organizacji, adres email, telefon) raczej nie stanowi zagroenia dla prywatnoci tych uytkownikw Oczywicie naley w tym zakresie przeprowadzi w tym zakresie stosown analiz ryzyka i j udokumentowa.

Usugi, w ktrych zapewnione jest tak zwane szyfrowanie end-to-end rwnie nie wydaj si zagroone. Wydaje si, e mona byoby te uzna za zgodne usugi tzw. bezstanowe, to znaczy takie, w ktrych nie dochodzi do przechowywania danych. Naleaoby jednak zapozna si bliej z architektur danej usugi. Dodatkowo, zwaywszy na dostp National Security Agency do danych przesyanych do USA kablami transatlantyckimi, oczywicie dane w przesyle powinny by chronione odpowiednim szyfrowaniem (TSL w wersji 1.2). Szyfrowanie danych w tranzycie jest jednak oczekiwane ju od dawna.

W kadym przypadku bdzie naleao zweryfikowa faktyczn moliwo inwigilacji uytkownikw w danej usudze przez amerykaskie wadze i oceni na tym tle adekwatno ochrony.

Co w praktyce maj robi przedsibiorcy?

Skala problemu zaley od skali naszej firmy i tego, czym si zajmujemy. Kto bdzie mia problem? Problem na pewno bd miay firmy midzynarodowe, ktrych biznes polega na przetwarzaniu cudzych danych osobowych i ktre wysyaj do USA dane w celu ich przetwarzania. Sektor finansowy w UE nie powinien wic wysya do USA danych klienckich. W Polsce jednak ten problem raczej nie wystpuje. Firmy midzynarodowe zajmujce si produkcj, ktrych midzynarodowe transfery dotycz gwnie korespondencji subowej pracownikw (np. globalnej sieci serwerw email) chyba wyjd obronn rk, bo korespondencja subowa z zasady moe by monitorowana.

Przedsibiorcy polscy o mniejszej skali dziaania przede wszystkim powinni przepatrzy usugi chmurowe, z ktrych korzystaj. Jeli w ogle nie zastanawialimy si nad legalnoci z korzystania z usug chmurowych, to moe teraz warto to zrobi. Oprcz sprawdzenia elementw formalnych (umowa powierzenia, standardowe klauzule umowne, obowizek informacyjny, rodki bezpieczestwa), naley przeprowadzi analiz ryzyka pod ktem tego, czy i jakie dane osobowe wysyamy do USA i czy ewentualny dostp do nich przez wadze amerykaskie mgby grozi ryzykiem naruszenia praw lub wolnoci osb, ktrych te dane dotycz.

Na pocztek przegld aplikacji w telefonie

Problem niezgodnoci dotknie przede wszystkim usug chmurowych, ktre wysyaj do USA dane wprowadzane przez uytkownikw, czyli treci, inaczej kontent (ang. user generated content). Wskazane jest wic korzystanie z usug, ktre przechowuj dane w UE (na terenie EEA) lub takich usug, ktre zapewniaj szyfrowanie end-to-end (czyli takie, gdzie tylko my mamy klucze deszyfrujce) dla przesyanych lub przechowywanych treci. Mona rozway stosowanie dodatkowych narzdzi szyfrujcych typu end-to-end, cho nie jest tak atwo je wdroy. Korzystajc z usug emailowych, ktre nie zapewniaj przechowywania danych w Europie, naleaoby zapewne podnie standard zabezpiecze do S/MIME czyli w sumie do poczty szyfrowanej, o ile mona zapewni przechowywanie kluczy deszyfrujcych pod wasn kontrol. Musimy jednak popyta kolegw od IT i cyberbezpieczestwa, jakie to rodzi praktyczne wyzwania. Zacz by trzeba byo w ogle od przegldu tego, jakich usug chmurowych uywamy. Bdc mikro lub maym przedsibiorc mona wrcz zacz od przegldu apek w swoim telefonie.

Co z usugami wideokonferencyjnymi?

Na zlecenie Krajowej Rady Radcw Prawnych nasza kancelaria przeprowadzia niedawno analiz zgodnoci kilku usug wideokonferencyjnych. Analiza ta staa si czci Ksigi Bezpieczestwa Komunikacji Elektronicznej w Pracy Radcy Prawnego i jest dostpna pod takim linkiem kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Mona skorzysta z naszej opinii i jej struktury dla zweryfikowania innych usug, z ktrych korzysta dany przedsibiorca czy inny administrator danych osobowych. W najbliszych tygodniach postaramy si przekaza Krajowej Radzie analiz kilku konkretnych usug poczty email, w ktrej ju bdziemy uwzgldnia konsekwencje wyroku Schrems II. Choby dlatego warto obecnie zacz ledzi informacje z Krajowej Rady Radcw Prawnych, nawet jeli nie jest si radc prawnym.

Autor jest radc prawnym z Kancelarii Gawroski & Partners. Kancelaria jest zrzeszona w sieci Kancelarie RP dziaajcej pod patronatem dziennika Rzeczpospolita.

Football news:

Koeman convinces BarSU to buy Depay. Barcelona manager Ronald Koeman still wants to see Lyon forward Memphis Depay in the team
Hasselbaink on Tiago Silva: He's still a little out of shape. Surprised to see him start
The 43-year-old captain of Montpellier plays 30+ matches every season. He doesn't drink alcohol and doesn't go to night clubs
Luis Suarez: I came to Atletico for trophies
Silva's mistake led to West Brom's goal. Tiago - Chelsea captain in his debut match in the Premier League
Kononov's daughter got sick. He decided to stay with his family in Moscow
Ronald Koeman: It's normal for Messi to be sad about a friend leaving. Leo is a model for everyone in training