Przekazywanie danych osobowych do USA, czyli Privacy Shield kontra Safe Harbour


Unieważnienie Safe Harbour stworzyło lukę w systemie przekazywania danych z Europy do USA. Powstało pytanie zarówno o to, jak ocenić legalność dotychczasowej praktyki przekazywania danych w oparciu o Safe Harbour, jak i o reguły obowiązujące w nastałej pustce.

W dniu 6 października 2015 r. Trybunał Sprawiedliwości UE orzekł, że sama rejestracja amerykańskich odbiorców danych osobowych w systemie Safe Harbour nie wystarcza, aby móc przekazać dane osobowe do USA. Spełnianie wymogów zawartych w tym programie nie zapewnia należytego poziomu ochrony danych osobowych, dlatego potrzeba więcej i bardziej restrykcyjnych zabezpieczeń i gwarancji, aniżeli przewiduje Safe Harbour.

Wątpliwości co do adekwatności Safe Harbour narastały latami i wynikały głównie z braku mechanizmu zaangażowania amerykańskiego systemu sądowo-administracyjnego w zagwarantowanie i egzekwowanie ochrony danych, a także z faktycznie nieograniczonej możliwości dalszego powierzania przetwarzania danych podmiotom działającym poza Safe Harbour.

Paraliż operacyjny wynikający z unieważnienia Safe Harbour wymusił zaangażowanie interesariuszy oraz, jak to określono, działania w celu odbudowy zaufania do transatlantyckiego przepływu danych po doniesieniach o inwigilacji z 2013 r. i wypracowania nowych zasad.

Gdy strona europejska i amerykańska przystępowały do prac nad wypełnieniem luki po Safe Harbour, pomiędzy stronami było już uzgodnione tzw. Umbrella agreement (komunikat Komisji o zakończeniu negocjacji rozpoczętych w 2011 r. został opublikowany 8 września 2015 r.). Ustala ono na wysokim poziomie ogólności ramy prawne współpracy stron w zakresie ochrony danych wymienianych w celu prewencji, wykrywania i ścigania sprawców przestępstw, w tym terroryzmu. W umowie zawarto takie mechanizmy ochrony jak:

  • ograniczenie przetwarzania danych do wyraźnie określonych celów,
  • obowiązek uzyskania zgody organu ochrony danych osobowych kraju pierwotnie udostepniającego dane w przypadku dalszego przekazania danych poza UE lub poza USA,
  • zakaz retencji danych ponad okresy, w których ich przetwarzanie jest koniecznie potrzebne,
  • prawo podmiotu danych do dostępu do danych i ich poprawiania,
  • obowiązek informowania o naruszeniu zasad ochrony danych osobowych,
  • prawo podmiotu danych do dochodzenia roszczeń wynikających z naruszenia danych w kraju naruszenia (w obrębie UE i USA).

Jak wskazano, Umbrella Agreement ma zastosowanie bardzo ograniczone – w zasadzie adresatem jego postanowień są organy ścigania. Tym samym w nikłym stopniu zastępuje ono Safe Harbour. Ale, czego nie sposób przeoczyć, umowa konstruuje nieistniejący wcześniej w relacjach UE – USA system egzekwowania ochrony danych, a także wprowadza do systemu prymat zasad europejskich.

W dniu 29 lutego 2016 r. nadeszły kolejne wieści z Komisji Europejskiej, która ogłosiła, że wspólnie z amerykańskim Departamentem Handlu zakończyła negocjacje w sprawie zasad transatlantyckiej wymiany danych osobowych dla celów handlowych, czyli de facto zakończyła prace nad mechanizmem mającym zastąpić Safe Harbour.

Wynik negocjacji ma postać projektu decyzji Komisji potwierdzającej zapewnienie właściwego poziomu ochrony danych osobowych przy spełnieniu warunków określonych w programie Privacy Shield (Commission Implementing Decision pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield).

Zarówno projekt decyzji, jak i teksty wdrażające zasady bezpiecznego transferu danych obejmują zasady bezpiecznego transferu danych, których muszą przestrzegać przedsiębiorstwa, a także pisemne zobowiązania rządu USA dotyczące egzekwowania ustaleń, w tym gwarancji i ograniczeń dotyczących dostępu organów publicznych do danych.

Komisja potwierdza, że poziom ochrony danych po przyjęciu zasad będzie odpowiedni: gwarancje obowiązujące w przypadku przepływu danych między UE i USA zgodnie z nowymi zasadami będą takie same jak standardy ochrony danych w UE. Stan ten zostanie osiągnięty dzięki:

  • nałożeniu na przedsiębiorców rygorystycznych obowiązków i konsekwentnemu ich egzekwowaniu,
  • zaostrzeniu warunków dalszego przekazywania danych przez przedsiębiorstwa uczestniczące w programie,
  • zapewnieniu przejrzystości w dostępie administracji rządowej USA do danych osobowych, włącznie z umożliwieniem Europejczykom dochodzenia roszczeń wobec amerykańskich służb wywiadowczych,
  • implementowaniu kilku mechanizmów dochodzenia roszczeń (w tym: ustanowienie terminu na udzielenie odpowiedzi na zgłoszone roszczenie, zastosowanie alternatywnej metody rozwiązywania sporów, arbitraż),
  • wspólnemu mechanizmowi corocznego przeglądu, w ramach którego strony będą monitorować m.in. funkcjonowanie zasad bezpiecznego transferu danych.

Na finalną wersję decyzji i jej wejście w życie trzeba będzie jeszcze poczekać. Po stronie europejskiej projekt decyzji musi zostać zaakceptowany przez przedstawicieli państw członkowskich i zaopiniowany przez unijny organ ochrony danych (Grupa Robocza Art. 29). Strona amerykańska musi z kolei przygotować procedury i instrumenty niezbędne do zapewnienia wykonalności programu Privacy Shield.

Sylwia Paszek, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy