TSUE unieważnił transfery danych do USA – czy firmy mają się czego bać?

Trybunał Sprawiedliwości Unii Europejskiej uznał za nieważną decyzję Komisji Europejskiej zatwierdzająca tzw. Tarczę Prywatności, czyli szeroko pojętą umowę między USA a UE, która dopuszczała transfer danych osobowych z Unii do USA.

TSUE unieważnił 16 lipca 2020 r. (sprawa C‑311/18) Tarczę Prywatności podnosząc w zasadzie te same argumenty co w tzw. wyroku Schrems I z 6 października 2015 r. (sprawa C-362/14), którym TSUE unieważnił tzw. Bezpieczną Przystań – poprzedniczkę Tarczy Prywatności. TSUE ponownie wskazał na brak proceduralnych gwarancji dla osób spoza USA poddawanych masowej inwigilacji elektronicznej na podstawie amerykańskiego prawodawstwa. Trzy główne amerykańskie akty prawne poddane krytyce to ustawa o kontroli wywiadu zagranicznego (FISA), rozporządzenie wykonawcze 12333 i dyrektywa polityczna Prezydenta nr 28. Sąd, eufemistycznie to określając, wyraził dezaprobatę dla efektów negocjacji Komisji Europejskiej z USA co do zastąpienia unieważnionej wcześniej Bezpiecznej Przystani Tarczą Prywatności.

W ocenie TSUE uprawnienia amerykańskich agend rządowych wynikające z prawodawstwa amerykańskiego względem „danych zagranicznych” są tak duże i tak niekontrolowane, że nie sposób uznać, że Tarcza Prywatności rzeczywiście dawała rezydentom Unii Europejskiej ochronę odpowiednią do ochrony danych w EU. Sąd wskazał, że prawo amerykańskie inaczej (dużo bardziej) chroni obywateli amerykańskich, nie dając porównywalnych, a w zasadzie żadnych gwarancji ochrony prawnej przed inwigilacją osobom spoza USA.

Klauzule tak, transfer danych nie

Równocześnie sąd wskazał, że wprawdzie tzw. standardowe klauzule umowne (SCC) pozostają w mocy same w sobie (a konkretnie decyzja Komisji Europejskiej przyjmująca SCC). Natomiast niekoniecznie legalny jest transfer danych na podstawie SCC. Standardowe klauzule umowne to wzorce konkretnych zobowiązań umownych pomiędzy podmiotem transferującym dane poza UE a odbiorcą tych danych poza UE. Sąd wskazał, że legalność transferu danych w oparciu o SCC należy badać na tle prawodawstwa państwa docelowego. Jeżeli prawodawstwo to nie zapewnia odpowiednich proceduralnych gwarancji dla podmiotów danych (rezydentów UE) i dopuszcza dowolny dostęp do tych danych agendom rządowym państwa docelowego, to nie można uznać, że ochrona danych zapewniana przez SCC, będzie miała stopień odpowiedni do europejskiego. A w konsekwencji taki transfer pozostanie nielegalny lub może za taki zostać uznany przez organ nadzorczy i zakazany.

W powiązaniu z ustaleniami dotyczącymi uprawnień do inwigilacji cudzoziemców, które USA sobie przyznało, i braku narzędzi proceduralnych dla inwigilowanych cudzoziemców, oznacza to, że SCC same w sobie przestają być dobrą podstawą do przesyłania danych osobowych z UE do USA, a co najmniej, że każdy przypadek przesyłania danych osobowych do USA staje się „podejrzany” i należy zweryfikować realną adekwatność ochrony danych przy takim transferze.

Transfery do chmury nielegalne?

Pojawiają się więc głosy, w tym ważny głos fundacji NOYB – European Center for Digital Rights założonej przez aktywistę Maxa Schremsa, który doprowadził zarówno do wydania poprzedniego wyroku unieważniającego Bezpieczną Przystań, jak i obecnego wyroku TSUE, że wszystkie „duże” transfery danych do USA, w oparciu o które oferowane są globalne usługi chmurowe, powinny zostać uznane za nielegalne.

Z pewnością trudno będzie teraz obronić transfer danych pomiędzy Facebook Ireland and Facebook Inc, na tle którego wydano ten przełomowy wyrok. To co Data Protection Commissioner Helen Dixon, czyli szefowa irlandzkiego organu ochrony danych, może jeszcze dla Facebooka zrobić, to odwlec wydanie decyzji w tej sprawie.

Co z dużą chmurą?

Jednak z pozostałymi „dużymi” usługami chmurowymi jeszcze chyba nie jest tak źle. Urząd Ochrony Danych Osobowych pisze w komunikacie z 20 lipca 2020 r. (https://uodo.gov.pl/pl/138/1603), że wyrok Schrems II: „Oznacza konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych. Gdy w świetle dokonanej oceny poziom ochrony danych osobowych nie będzie merytorycznie równoważny z poziomem gwarantowanym w UE, przekazywanie danych może być uzależnione od zapewnienia równoważnego poziomu ich ochrony za pomocą innych środków.”

W tym świetle wydaje się, że nie ma przeszkód, aby kontynuować korzystanie z dużej części usług chmurowych świadczonych przez firmy amerykańskie, jeśli występują te „inne niż SCC środki ochrony danych”. Jeżeli tak zwany kontent, czyli treści wprowadzane przez użytkowników (user generated content) są przechowywane przez daną usługę na terenie Europejskiego Obszaru Ekonomicznego, transfer tzw. danych telemetrycznych lub nawet danych podstawowych o użytkownikach (login, imię, nazwisko, przynależność do organizacji, adres email, telefon) raczej nie stanowi zagrożenia dla prywatności tych użytkowników Oczywiście należy w tym zakresie przeprowadzić w tym zakresie stosowną analizę ryzyka i ją udokumentować.

Usługi, w których zapewnione jest tak zwane szyfrowanie end-to-end również nie wydają się zagrożone. Wydaje się, że można byłoby też uznać za zgodne usługi tzw. bezstanowe, to znaczy takie, w których nie dochodzi do przechowywania danych. Należałoby jednak zapoznać się bliżej z architekturą danej usługi. Dodatkowo, zważywszy na dostęp National Security Agency do danych przesyłanych do USA kablami transatlantyckimi, oczywiście dane w przesyle powinny być chronione odpowiednim szyfrowaniem (TSL w wersji 1.2). Szyfrowanie danych w tranzycie jest jednak oczekiwane już od dawna.

W każdym przypadku będzie należało zweryfikować faktyczną możliwość inwigilacji użytkowników w danej usłudze przez amerykańskie władze i ocenić na tym tle adekwatność ochrony.

Co w praktyce mają robić przedsiębiorcy?            

Skala problemu zależy od skali naszej firmy i tego, czym się zajmujemy. Kto będzie miał problem? Problem na pewno będą miały firmy międzynarodowe, których biznes polega na przetwarzaniu cudzych danych osobowych i które wysyłają do USA dane w celu ich przetwarzania. Sektor finansowy w UE nie powinien więc wysyłać do USA danych klienckich. W Polsce jednak ten problem raczej nie występuje. Firmy międzynarodowe zajmujące się produkcją, których międzynarodowe „transfery” dotyczą głównie korespondencji służbowej pracowników (np. globalnej sieci serwerów email) chyba wyjdą obronną ręką, bo korespondencja służbowa z zasady może być monitorowana.

Przedsiębiorcy polscy o mniejszej skali działania przede wszystkim powinni przepatrzyć usługi chmurowe, z których korzystają. Jeśli w ogóle nie zastanawialiśmy się nad legalnością z korzystania z usług chmurowych, to może teraz warto to zrobić. Oprócz sprawdzenia elementów formalnych (umowa powierzenia, standardowe klauzule umowne, obowiązek informacyjny, środki bezpieczeństwa), należy przeprowadzić analizę ryzyka pod kątem tego, czy i jakie dane osobowe wysyłamy do USA i czy ewentualny dostęp do nich przez władze amerykańskie mógłby grozić ryzykiem naruszenia praw lub wolności osób, których te dane dotyczą.

Na początek przegląd aplikacji w telefonie

Problem niezgodności dotknie przede wszystkim usług chmurowych, które wysyłają do USA dane wprowadzane przez użytkowników, czyli treści, inaczej „kontent” (ang. user generated content). Wskazane jest więc korzystanie z usług, które przechowują dane w UE (na terenie EEA) lub takich usług, które zapewniają szyfrowanie end-to-end (czyli takie, gdzie tylko my mamy klucze deszyfrujące) dla przesyłanych lub przechowywanych treści. Można rozważyć stosowanie dodatkowych narzędzi szyfrujących typu end-to-end, choć nie jest tak łatwo je wdrożyć. Korzystając z usług emailowych, które nie zapewniają przechowywania danych w Europie, należałoby zapewne podnieść standard zabezpieczeń do S/MIME – czyli w sumie do poczty szyfrowanej, o ile można zapewnić przechowywanie kluczy deszyfrujących pod własną kontrolą. Musimy jednak popytać kolegów od IT i cyberbezpieczeństwa, jakie to rodzi praktyczne wyzwania. Zacząć by trzeba było w ogóle od przeglądu tego, jakich usług chmurowych używamy. Będąc mikro lub małym przedsiębiorcą można wręcz zacząć od przeglądu apek w swoim telefonie.

Co z usługami wideokonferencyjnymi?

Na zlecenie Krajowej Rady Radców Prawnych nasza kancelaria przeprowadziła niedawno analizę zgodności kilku usług wideokonferencyjnych. Analiza ta stała się częścią Księgi Bezpieczeństwa Komunikacji Elektronicznej w Pracy Radcy Prawnego i jest dostępna pod takim linkiem kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Można skorzystać z naszej opinii i jej struktury dla zweryfikowania innych usług, z których korzysta dany przedsiębiorca czy inny „administrator danych osobowych”.  W najbliższych tygodniach postaramy się przekazać Krajowej Radzie analizę kilku konkretnych usług poczty email, w której już będziemy uwzględniać konsekwencje wyroku Schrems II. Choćby dlatego warto obecnie zacząć śledzić informacje z Krajowej Rady Radców Prawnych, nawet jeśli nie jest się radcą prawnym.

Artykuł został opublikowany na firma.rp.pl

 

Czytaj także: Czy wyrok TSUE odnosi się również do kredytów firmowych we frankach?