Czy program „Safe Harbor” faktycznie trafił do kosza? Jak jest naprawdę?
Tytułem wstępu, warto wskazać na pewien niewielki błąd, często popełniany przy pisaniu o „Safe Harbor”.
Chodzi o pisownię angielskiego słowa „harbor”, oznaczającego zatokę lub przystań. W języku angielskim, prawidłowa pisownia to: „harbour”. W języku amerykańskim: „harbor”.
W zakresie wyznawanych wartości i rozwiązań ustrojowych, między USA a UE, istnieje bardzo dużo podobieństw. Są jednak i różnice. Jedną z nich jest podejście do ochrony danych osobowych. Unia Europejska przykłada bardzo dużą rolę do dbania o prawa jednostki, w tym o ochronę danych osobowych i prawa do prywatności. Każdy kraj członkowski musi powołać własnego regulatora ds. Ochrony Danych Osobowych. W Polsce taką rolę pełni Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Zadaniem GIODO jest ochrona naszego prawa do prywatności przed zagrożeniami płynącymi z dwóch kierunków: biznesu oraz nadmiernej inwigilacji ze strony władz.
W Stanach Zjednoczonych podejście do prawa do prywatności różni się od europejskiego. Sam fakt, że nie istnieje tam odpowiednik naszego GIODO, powoduje daleko idące konsekwencje. Brakuje kogoś, kto bierze odpowiedzialność za ochronę prawa do prywatności. Brakuje wyspecjalizowanych urzędników, którzy zareagują w przypadku naruszeń prawa. Ochrona danych osobowych traktowana jest jako element prawa konsumenckiego.
Jak powstało porozumienie „Safe Harbor”?
Idea była dość prosta. Na terenie UE obowiązuje Dyrektywa 95/46/WE, która gwarantuje pewne standardy, które muszą być przestrzegane przez wszystkie państwa członkowskie. W naszym kraju dyrektywa funkcjonuje za pośrednictwem ustawy o ochronie danych osobowych z 1997 roku. Dzięki unijnej dyrektywie wszystkie państwa członkowskie gwarantują swoim obywatelom pewien minimalny poziom ochrony danych osobowych. Warto zaznaczyć, że ten „minimalny poziom” jest prawdopodobnie najwyższym z obecnie stosowanych na świecie.
Twórcy dyrektywy byli w pełni świadomi tego, że tworzą nową jakość w dbaniu o prawo do prywatności na świecie. Byli też świadomi, że niezależnie od tego jakie regulacje prawne zostaną przyjęte – dane obywateli UE i tak będą trafiały do krajów o niższym standardzie ochrony prywatności. Zadbano jednak o to, aby utrudnić eksport danych do państw spoza UE. Artykuł 26 dyrektywy 95/46/WE, stanowi, że dane osobowe mogą być przekazywane do państwa trzeciego (czyli np. USA) w ściśle określonych sytuacjach.
Jedną z przesłanek legitymujących eksport danych do państwa trzeciego jest enigmatycznie określone „gwarantowanie odpowiedniego poziomu ochrony danych osobowych”. Inną jest na przykład pisemna zgoda lub realizacja umowy, której stroną jest osoba, której dane są udostępniane za granicę.
W 2000 roku Komisja uznała, że wszystkie organizacje ze Stanów Zjednoczonych, które przystąpią do programu „Safe Harbor” będą traktowane w sposób szczególny.
Treść decyzji Komisji 2000/520 można przeczytać tutaj: http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32000D0520&from=en
Arbitralnie uznano, że firmy legitymujące się certyfikatem „Safe Harbor”, mogą być odbiorcami danych osobowych europejczyków, ponieważ uczestnictwo w programie gwarantuje „odpowiedni poziom ochrony danych osobowych”.
Innymi słowy, wymiana danych pomiędzy organizacjami z USA, działającymi w ramach „Safe Harbor”, nie różniła się niczym od wymiany danych osobowych między firmami z Polski i Niemiec.
Jak dostać certyfikat „Safe Harbor”?
Otrzymanie certyfikatu nie jest skomplikowane. Aby go otrzymać, amerykańska firma musi potwierdzić stosowanie standardów bezpieczeństwa danych osobowych, bardzo zbliżonych do tych przewidzianych przez Dyrektywę 95/46/WE.
Wnioski nie są weryfikowane pod względem merytorycznym. Jest to więc certyfikat wydawany „na oświadczenie”. Nad całością czuwa Departament Handlu USA oraz federalna ustawa o składaniu fałszywych oświadczeń, nakładająca bardzo wysoką odpowiedzialność w przypadku poświadczania nieprawdy.
Dotychczas do programu przystąpiło ponad 5 tys. amerykańskich przedsiębiorstw. Aktualną listę można sprawdzić tutaj: http://safeharbor.export.gov/list.aspx
Dlaczego pojawiły się problemy z „Safe Harbor”?
W praktyce stosowania ustawy o ochronie danych osobowych w Polsce i innych krajach UE, nawet wyspecjalizowani regulatorzy (np. GIODO), miewają problemy z interpretacją przepisów.
Jak już wcześniej wskazałem, w USA brak jest organu, który specjalizowałby się w ochronie prawa do prywatności.
Przestrzeganie „Safe Harbor” nadzoruje Departament Handlu USA. A to oznacza brak specjalistycznych procedur i traktowanie ochrony danych osobowych jako elementu szeroko pojętego… handlu.
I właśnie brak realnej kontroli nad certyfikowanymi podmiotami jest według mnie jedną z największych słabości „Safe Harbor”.
Program de facto „wprowadza” elementy prawa europejskiego na terytorium USA. Ale nie gwarantuje skutecznych procedur egzekwowania przepisów.
Na powyższe niedoskonałości „Safe Harbor” nałożyła się afera PRISM i kolejne rewelacje Edwarda Snowdena.
W tym momencie wystarczyła jedna iskra, aby spowodować eksplozję.
Maximillian Schrems vs. Facebook
Iskrą zapalającą stała się sprawa zainicjowana przez Austriaka Maximilliana Schrems’a. Schrems (realizujący się również jako działacz społeczny) odkrył, że Facebook wciąż przetwarza informacje o nim, które wcześniej usunął z profilu. Dowiedział się również, że dane te znajdują się na serwerach w USA. Przetwarza je Facebook Inc. z siedzibą w USA.
Schrems zaczął obawiać się o poziom zabezpieczenia jego danych osobowych na terenie USA. W szczególności bał się, że NSA (National Security Agency), może mieć łatwy wgląd do informacji o nim. Wobec powyższego, argumentacja Facebooka, który powoływał się na członkowstwo w „Safe Harbor”, zupełnie do Schremsa nie przemawiała.
Sprawa trafiła do Irlandzkiego Sądu Najwyższego. Schrems domagał się sprawdzenia, czy przetwarzanie jego danych osobowych na terenie USA faktycznie „gwarantuje odpowiedni poziom ochrony” (art. 26 Dyrektywy 95/45/WE). Irlandzki Sąd Najwyższy miał dwie możliwości:
- Uznać, że na mocy wspomnianej Decyzji Komisji 2000/520, Facebook Inc.,przystępując do Programu „Safe Harbor”, gwarantuje odpowiedni poziom ochrony i zamknąć sprawę,
- Uznać, że mimo Decyzji Komisji 2000/520, należy jednak sprawdzić, czy aby na pewno Facebook Inc. gwarantuje odpowiedni poziom ochrony.
Irlandzki Sąd Najwyższy, postanowił zwrócić się z zapytaniem do Europejskiego Trybunału Sprawiedliwości (ETS).
W orzeczeniu w sprawie C‑362/14 z dnia 6 października 2015 roku, ETS orzekł wprost, że Decyzja Komisji 2000/520 jest nieważna. Tym samym Irlandzki regulator ochrony danych osobowych będzie musiał sam zbadać, czy USA gwarantują „odpowiedni poziom ochrony danych osobowych”.
Czy to znaczy, że „Safe Harbor” trafi do kosza?
I tak, i nie. Sam program nie trafił do kosza. Do kosza trafiła „jedynie” decyzja, która uznawała, że organizacje z USA, wpisane listę „Safe Harbor”, gwarantują „odpowiedni poziom ochrony danych”.
Problem w tym, że bez wspomnianej decyzji, cały amerykański program staje się w praktyce mało użyteczny. Oczywiście, może mieć nadal znaczenie marketingowe. Ale członkowstwo w programie nie umożliwi już firmom z USA przetwarzania danych europejczyków na tych zasadach, co przed wydaniem orzeczenia przez ETS.
Co dalej?
Mamy już oświadczenie europejskich urzędów ochrony danych osobowych zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych. 16 października 2015 zapowiedziały ponad trzymiesięczny okres karencji w sprawie egzekwowania wyroku ETS-u unieważniającego unijne gwarancje dla programu „Safe Harbor”.
„Jeśli do końca stycznia 2016 r. nie zostanie znalezione wspólnie ze Stanami Zjednoczonymi odpowiednie rozwiązanie (…) europejskie urzędy ochrony danych osobowych zobowiązują się podjąć wszystkie niezbędne działania, które mogą zawierać skoordynowane działania wykonawcze” – oświadczyła Grupa Robocza Artykułu 29.
Jakie są prognozy?
Prawda jest taka, że obie strony potrzebują znaleźć kompromisowe rozwiązanie. Trudno sobie wyobrazić w praktyce sytuację, że firmy z USA przestaną przetwarzać dane osobowe Europejczyków.
Unia Europejska chce wymóc na Stanach Zjednoczonych „poważniejsze” podejście do ochrony prawa do prywatności. Na terenie UE jest to jedno z praw pierwotnych, wymienione w Karcie Praw Podstawowych. Na terenie USA jest to jedynie element prawa konsumenckiego. Dobrze obrazuje tę różnicę poddanie „Safe Harbor” pod nadzór Departamentu Handlu.
Trudno sobie wyobrazić w praktyce kontrolowanie Facebook Inc. na terenie USA, np. przez polskiego GIODO. A przede wszystkim sposób, w jaki nasz GIODO mógłby egzekwować ewentualne usunięcie uchybień.
Bez porozumienia na linii UE – USA, trudno będzie mówić o gwarancjach bezpiecznego przetwarzania danych osobowych europejczyków na terenie USA.
Trzeba też pamiętać o tym, że amerykańskie spółki, posiadają swoje oddziały na terenie UE. Te właśnie oddziały mogłyby być adresatem ewentualnych sankcji ze strony europejskich regulatorów danych osobowych. A tego z pewnością amerykanie będą chcieli uniknąć.
Co jeśli się nie dogadają?
Brak porozumienia, będzie oznaczał niepewność i ryzyko dla wszystkich spółek, przekazujących dane podmiotom w USA.
Konieczne będzie korzystanie z innych przesłanek legalizujących przesyłanie danych osobowych na teren USA. Na przykład zbieranie zgód.
Bardzo ciekawą alternatywą mogą stać się również tzw. „standardowe klauzule umowne” lub „wiążące reguły korporacyjne”, przewidziane przez art. 48 ustawy o ochronie danych osobowych.
W obu przypadkach, spółka z tzw. państwa przeciego (czyli np. USA), podpisuje umowę bądź oświadcza, że będzie stosowała poziom ochrony danych zbliżony do tego przewidzianego przez unijną Dyrektywę 95/46/WE. W ten sposób następuje swojego rodzaju „eksport” europejskich przepisów na teren państwa trzeciego.
Złamanie zasad, może skutkować odpowiedzialnością cywilnoprawną względem podmiotu, który dane przekazał. Jest więc możliwość egzekwowania postanowień umowy.
W praktyce spółki amerykańskie (czy z innych państw trzecich) – jeśli będą chciały wywiązać się ze zobowiązań – będą potrzebowały pomocy przy dostosowaniu swoich procedur do wymogów europejskich.
Nawet jeśli USA nie porozumie się z UE, to możliwości transferu danych osobowych pozostaną. Będą one jednak wymagały pewnych dodatkowych zobowiązań i gwarancji ze strony podmiotów po stronie USA.
Będziemy Państwa informowali na bieżąco o kolejnych wydarzeniach związanych z dalszymi losami „Safe Harbor”.
5 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Czy koniec safe harbour oznacza, że muszę zrezygnować z Drop Boxa? Czy moja strona nadal może być przetrzymywana na amerykańskich serwerach? Czy mogę używać MailChimpa? Jakie są przewidziane kary za niedostosowanie się?
Do końca stycznia na pewno można pozostać spokojnym. Stany Zjednoczone i Unia Europejska mają jeszcze miesiąc, aby zawrzeć porozumienie w sprawie przesyłania danych między obydwoma obszarami. Trudno sobie wyobrazić, aby nagle miliony Europejczyków musiały zrezygnować z usług amerykańskich spółek –np. tych, o których Pan wspomina, a także, aby te wszystkie spółki zostały bez rzeszy klientów. Nawet jeśli do końca stycznia 2016 r. do porozumienia nie dojdzie europejskie organy dopiero zaczną kontrole i – ewentualne nakładanie sankcji. Kary za niedostosowanie się do europejskich standardów ochrony danych osobowych w takim przypadku dosięgną w pierwszej kolejności amerykańskich przedsiębiorców. Zalecamy spokój i obserwowanie dalszego rozwoju sytuacji.
W moim przypadku jestem zmuszony na przejście z zwykłego konta Google na Goole for Work by zaczęły funkcjonować standardowe klauzule umowne.
To i tak super bo bez usług Google Docs teraz już nie mogę funkcjonować.
Dobrze, a co w sytuacji, gdy podmiot działajacy w Polsce korzysta z narzędzi typu MailChimp, WordPress czy wtyczki Google w celu prowadzenia kampanii reklamowych dla swoich klientów i w tym cely przetwarza też dane osobowe. Czy po tym orzeczeniu TSUE ma występować do GIODO o udzielenie zgody na przekazanie danych czy wystarczy mu rejestracja kolejnych zbiorów ze wskazaniem , że przekazuje dane do USA i zakładamy, ze w braku stanowiska GIODO dalej nalezy przyjmować dla Safe Harbor wystarczający poziom ochrony?
W przypadku korzystania z narzędzi typu MailChimp, WordPress, wtyczki Google wymagane jest zawarcie umowy powierzenia. Firma prowadząca kampanie reklamowe jako administrator danych powierza dane w celu pozyskania informacji o swoich klientach. W odniesieniu do przekazywania informacji do państwa trzeciego to pod konkretny przypadek należy przeanalizować art. 47i 48 ustawy o ochronie danych osobowych.
Zgodnie z art. 47 ust. 3 ustawy o ochronie danych osobowych – możemy dane przekazać do państwa trzeciego gdy:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
6) dane są ogólnie dostępne.
Jeżeli przyjmiemy, że dane pozyskiwane przez firmy oferujące narzędzia typu MailChimp, WordPress, wtyczki Google przetwarzają dane powszechnie dostępne to wówczas jako podstawę do przekazania danych wskazujemy art. 47 ust. 3 pkt 6).
Jeżeli ww. przesłanki nie znajdą zastosowania to możemy – zgodnie z art. 48 :
– ust. 1 – formalnie zapytać o zgodę GIODO lub
– ust. 2 – zastosować standardowe klauzule umowne albo zatwierdzone przez GIODO klauzule korporacyjne.
Podsumowując:
Z podmiotem świadczącym usługi w oparciu o narzędzie typu MailChimp, WordPress, wtyczki Google należy podpisać umowę powierzenia. W przypadku braku spełnienia przesłanek określonych w art. 47 ustawy o ochronie danych osobowych, przekazanie danych do państwa trzeciego najprościej legalizujemy wpisując w umowę powierzenia klauzule umowne określone w art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych . Wzór klauzul znajduje się na stronie GIODO :http://www.giodo.gov.pl/1520223/id_art/8353/j/pl/