Unieważnienie Tarczy Prywatności – co teraz z danymi z UE?

Stało się. Unia Europejska wreszcie na poważnie zabrała się za ochronę  Twoich danych osobowych.  Unieważnienie Tarczy Prywatności (Privacy Shield) oznacza koniec przyzwolenia na  drenaż danych osobowych  obywateli UE, nie tylko do Stanów Zjednoczonych, ale w ogóle poza Unię. Czyli do państw trzecich niezapewniających   Twoim i moim danym osobowym  takiej samej ochrony jak  przepisy unijne.  Wszystko oczywiście za sprawą pewnego aktywisty z Austrii, któremu nie podoba się od lat to, co z danymi robi Facebook. No i Trybunału Sprawiedliwości  Unii Europejskiej (TSUE), który wyrokiem z 16 lipca 2020 w sprawie o sygnaturze C-311/18, unieważnił decyzję  Komisji UE nr 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym obywateli UE w ramach amerykańskiego programu Tarcza Prywatności.  Chociaż wyrok dotyczy  przekazywania danych osobowych do USA, to ma dużo dalej idące skutki, bo  Trybunał wypowiedział się w sprawie przekazywania danych osobowych  poza Unię w ogóle.

Ale co ten wyrok właściwie w praktyce oznacza?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

UNIEWAŻNIENIE  TARCZY PRYWATNOŚCI TO „WINA” FACEBOOKA

 

 

 

 

 

 

 

 

 

 

Zacznijmy od tego, że wyrok TSUE to efekt sporu między Facebookiem ,a austriackim aktywistą walczącym o ochronę danych osobowych obywateli UE – Maximillianem Schremsem. 

Maximilianowi szczególnie nie podoba się polityka Facebooka w  tym względzie i śmiało można uznać, że  spiera się z amerykańskim gigantem od lat. 

25 czerwca 2013 r. (czyli 7 lat temu), nasz dzielny aktywista zażądał od irlandzkiego odpowiednika  obecnego polskiego  Prezesa Urzędu Ochrony Danych Osobowych, żeby ten zakazał spółce Facebook Ireland przekazywania jego danych osobowych do USA.  O tym jak działa Facebook w Europie pisałam już we wpisie o tym jak po zainstalowaniu  jednej, małej wtyczki Facebooka możesz zostać niechcący współadministratorem danych osobowych  osób odwiedzających  Twoją stronę.

W każdym razie dane osobowe  europejskich użytkowników serwisu są  w całości lub częściowo przekazywane  na serwery  Facebook, Inc., położone oczywiście na terytorium Stanów Zjednoczonych. 

Zdaniem  pana Schremsa,  prawo i praktyka obowiązująca w USA nie zapewnia wystarczającej ochrony jego danym osobowym  przed  działaniami prowadzonymi przez amerykańskie władze publiczne chociażby pod płaszczykiem ochrony bezpieczeństwa narodowego Stanów Zjednoczonych.  W wyroku w sprawie  C-311/18 TSUE całkowicie  podzielił opinię pana Schremsa i, między innymi,  unieważnił  wcześniejszą decyzję Komisji UE w sprawie  amerykańskiej Tarczy Prywatności.

Link do wyroku podałam wyżej. Orzeczenie ma 78 stron. Jest dostępne we wszystkich językach UE z polskim włącznie i serdecznie polecam przeczytanie, chociaż  lektura jest wybitnie ciężka. Poważnie. To  jest inny kaliber ciężkości, więc musisz się na to mentalnie przygotować, zwłaszcza, jeśli nie jesteś prawnikiem. 

Do tego bardzo istotne jest też stanowisko i wytyczne  dotyczące tego wyroku wydane przez Europejską Radę Ochrony Danych  (EROD) czyli European Data Protection Board. Ale  „o tem, potem”, bo teraz podstawowe pytanie: co to do diabła jest Tarcza Prywatności?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

CO TO  JEST TARCZA PRYWATNOŚCI (Privacy Shield)

 

 

 

 

 

 

 

 

 

 

 

Tarcza Prywatności to umowa zawarta między Unią Europejską  a Stanami Zjednoczonymi. Obie strony sprecyzowały warunki jakie muszą spełniać amerykańskie firmy i inne  podmioty  gospodarcze aby  mogły  być do  nich przesyłane dane osobowe obywateli Unii.   Cały program  opierał się  jednak na samo-certyfikacji.   Czyli firma ze Stanów zgłaszała odpowiedniemu organowi administracji publicznej USA, że  spełnia wymogi  dotyczące ochrony danych osobowych zawarte w umowie w sprawie Tarczy Prywatności zawartej między UE a USA w lipcu 2016r.  Umowę zatwierdziła Komisja  wspominana już przeze mnie decyzją nr 2016/1250. Idea Tarczy Prywatności  była taka, że certyfikowane amerykańskie  podmioty gospodarcze zapewniają danym osobowym  z UE „odpowiednią” ochronę.  Przy czym „odpowiednia”   była rozumiana jako co najmniej identyczna z tą, jaką obywatelom UE gwarantują przepisy Unii.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

UNIEWAŻNIENIE  TARCZY PRYWATNOŚCI CZYLI  DO JAKICH DANYCH  MA DOSTĘP ADMINISTRACJA USA

 

 

 

 

 

 

 

 

Niestety, zdaniem  TSUE certyfikaty dla amerykańskich firm w ramach programu Tarcza Prywatności,  nie gwarantują odpowiedniej ochrony  danych osobowych obywateli UE.  Dlaczego?

W największym skrócie: kiedy Twoje dane osobowe  zostaną przekazane do USA, wtedy podlegają już przepisom Stanów Zjednoczonych, a te, zdaniem Trybunału, nie dają gwarancji  zapewnienia odpowiedniej ochrony danym osobowym  obywateli UE.  

Czemu  konkretnie? Otóż,  w umowie UE- USA  dotyczącej  Tarczy Prywatności zapisano, że  przestrzeganie  zasad  ochrony danych osobowych może  zostać  ograniczone :

„w zakresie niezbędnym  do spełnienia wymagań bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa”.

 

 

Po analizie obowiązujących przepisów amerykańskich, TSUE uznał, że  możliwość dostępu administracji publicznej USA do  danych osobowych z UE jest  zbyt duża i wobec  tego, USA nie spełniają wymogów wskazanych w art. 45 RODO. Czyli warunków koniecznych do tego żeby UE uznała, iż dane państwo zapewnia odpowiedni stopień ochrony danym osobowym  przekazywanym do tego państwa z Unii.

W tej sytuacji  unieważnienie Tarczy Prywatności  było  jedynym logicznym rozwiązaniem. W praktyce oznacza to, że Unia Europejska nie uznaje już Stanów Zjednoczonych za kraj zapewniający dany osobowym stopień ochrony porównywalny  z tym obowiązującym w UE.  A  to, czy dana amerykańska  firma ma certyfikat Tarczy Prywatności nie ma już najmniejszego znaczenia. Taki certyfikat  nie wystarczy od tej pory żeby uznać  przekazywanie danych osobowych obywateli UE do USA za zgodne z przepisami  unijnymi.

 

 

 

 

 

 

 

 

 

 

 

 

WYROK W SPRAWIE UNIEWAŻNIENIA  TARCZY PRYWATNOŚCI MA KONSEKWENCJE DLA ZASAD PRZEKAZYWANIA DANYCH OSOBOWYCH POZA UE W OGÓLE

 

 

 

 

 

 

 

 

 

I teraz  uwaga, czyli wisienka na torcie. Wyrok w sprawie C-311/18 ma konsekwencje  nie tylko dla przekazywania  danych osobowych obywateli UE do Stanów Zjednoczonych.  Trybunał  w ogóle podał zasady jakie uważa za minimalne żeby mówić o  zgodnym z prawem przekazywaniu  danych osobowych z UE poza Unię. 

Okazuje się, że  jeśli jesteś tzw. eksporterem danych, czyli  to Ty je przekazujesz poza UE, to  nie  uchroni Cię przed naruszeniem RODO ani stosowanie tzw. umownych standardowych klauzul ochrony danych (Standard Contractual Clauses)  opracowanych przez Komisję Europejską.  Ani nawet zatwierdzone przez właściwy  organ ochrony danych tzw. wiążące reguły korporacyjne (Biding Corporate Rules). 

Do tego wszystkiego musisz  jeszcze uwzględnić stanowisko  Europejskiej Rady Ochrony Danych, czyli niezależnego organu europejskiego w którego skład wchodzą przedstawiciele organów ochrony danych osobowych państw członkowskich.  To nie jest jakiś super- unijny UODO, ale  w praktyce stanowiska tego ciała wywierają ogromy wpływ na praktyczne stosowanie RODO i uzupełniających je przepisów krajowych dotyczących ochrony danych osobowych.

 

O tym  już w kolejnym wpisie.

 

Pozdrawiam, Prawstoria