Po miesiącach negocjacji (w ramach tzw. Komitetu Artykułu 31) państwa członkowskie Unii Europejskiej przyjęły nowe porozumienie ze Stanami Zjednoczonymi dotyczące ochrony danych osobowych transferowanych przez Atlantyk przez europejskie i amerykańskie firmy, tzw. Privacy Shield („Tarcza Prywatności”). W dniu 11 lipca 2016 roku przyjęła je także Komisja Europejska, a następnego dnia zostało podpisane przez amerykańską sekretarz handlu Penny Pritzker oraz prowadzącą całe przedsięwzięcie ze strony Unii Komisarz Verę Jourovą.
Tło porozumienia
Uchwalona w 1995 roku Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych generalnie zakazuje przekazywania danych osobowych do krajów, które nie zapewniają odpowiedniego standardu zabezpieczeń dla tych danych. Biorąc pod uwagę daleko idące rozbieżności pomiędzy ustawodawstwem Stanów Zjednoczonych i Unii Europejskiej, USA nie mogą zostać zakwalifikowane jako państwo zapewniające odpowiedni poziom ochrony danych osobowych. Stan taki w dużej mierze spowalnia wymianę gospodarczą pomiędzy krajami UE a USA. Stąd Komisja Europejska we współpracy z Departamentem Handlu Stanów Zjednoczonych wypracowała program zwany „Safe Harbour” („Bezpieczna Przystań”). Uzyskanie certyfikatu programu „Safe Harbour” przez podmioty przystępujące go programu miało stanowić zapewnienie, że zapewniają wymagany przez Dyrektywę 95/46/WE standard ochrony danych osobowych. W praktyce jednak program Safe Harbour był skrajnie nieefektywna i stwarzał tylko pozory właściwiej ochrony danych Europejczyków. Rewelacje Edwarda Snowdena ujawniły skalę nadużyć ze strony amerykańskich służb. Miały one w zasadzie nieograniczony dostęp do prywatnych danych przekazywanych pierwotnie przedsiębiorstwom przez ich klientów. Ostatecznie, w październiku zeszłego roku, po głośnym procesie z powództwa austriackiego prawnika Maxa Schremsa, Trybunał Sprawiedliwości Unii Europejskiej uznał program Safe Harbour za niezgodny z unijnym prawem.
Założenia Tarczy
Według Komisji Europejskiej nowe porozumienie ma realizować wymagania wyłożone w wyroku Trybunału Sprawiedliwości, nałożyć na amerykańskie firmy większe zobowiązania dotyczące ochrony danych oraz zwiększyć możliwości kontroli firm ze strony amerykańskich organów. Podstawowym jednak celem nowej umowy miało być w zamyśle Komisji wprowadzenie jasnych warunków dostępu do danych ze strony służb, chroniące przed masową inwigilacją i związane ze stworzeniem organu odwoławczego dla poszkodowanych z Europy. Prowadzącym negocjacje zarzuca się jednak, że poszli na zbyt duże ustępstwa względem Amerykanów i porozumienie nie usuwa w żaden sposób podstawowych bolączek Safe Harbour, w więc dobrowolności przystąpienia, samoregulacji i samocertyfikacji amerykańskich firm.
Krytyka projektu
Jako pierwsza po ujawnieniu projektu umowy z krytyką wystąpiła w kwietniu tego roku tzw. Grupa Artykułu 29 zrzeszająca organy ochrony danych osobowych z poszczególnych państw. Grupa skrytykowała już sam sposób zredagowania porozumienia, które składa się z wielu osobnych dokumentów i aneksów, co czyni je nieczytelnym a miejscami niespójnym. Niektóre, wydawałoby się, kluczowe rozwiązania nie znalazły odbicia w projekcie – niejasno została określona zasada zatrzymywania danych oraz regulacje dotyczące zautomatyzowanego przetwarzania, w których brak zabezpieczeń przed podejmowaniem indywidualnych decyzji na jego podstawie.
Grupa zwróciła też uwagę, na sposób dochodzenia roszczeń przed amerykańskimi organami, zbyt jej zdaniem złożony i trudny do zastosowania. Ponadto, podkreśliła, że krajowe organy (w przypadku Polski – GIODO) powinny mieć możliwość działania w imieniu poszkodowanych. Powstanie instytucji rzecznika praw obywatelskich w Departamencie Stanu zostało przyjęte z zadowoleniem, choć wyposażono go w zbyt małe, zdaniem Grupy, kompetencje oraz nie dano wystarczającej niezależności.
Na szczególną uwagę zasługują jednak wątpliwości dotyczące ograniczania dostępu do danych ze strony organów publicznych. Grupa uznała za niewystarczające zapewnienia Biura Dyrektora Wywiadu Narodowego USA dotyczące ograniczeń, ponieważ nadal nie wkluczają one masowego zbierania danych. Zgodnie z prezydenckim rozporządzeniem z 2014 roku pozostaje ono dozwolone w przypadkach wykrywania i zwalczania: szpiegostwa, terroryzmu, zagrożenia bronią masowego rażenia, zagrożeń cyberbezpieczeństwa, zagrożenia amerykańskich i sojuszniczych służb oraz międzynarodowej przestępczości. Jak łatwo zauważyć katalog jest więc dość szeroki, a pojęcia bardzo pojemne i pozwalające na różnorodna interpretację. W maju 2016 roku również Parlament Europejski przyjął rezolucję, która była w dużej mierze powtórzeniem krytyki zgłoszonej przez Grupę Artykułu 29 oraz wezwaniem do wdrożenia przedstawionych przez nią zaleceń. Parlament co prawda bardzo pozytywnie odniósł się do wprowadzenia kluczowych definicji „danych osobowych” oraz „przetwarzania”, które wymuszają wąską, identyczną dla obydwu stron interpretację, co wpłynąć ma na ograniczenie nadużyć. Wezwał jednak Komisję do kontynuowania negocjacji i ulepszania zawartych w akcie rozwiązań.
Co nowego wprowadza Tarcza Prywatności?
Zgodnie założeniem ma regulować to, czego zabrakło w programie Safe Harbour. Tak więc wprowadza kilka dopuszczalnych środków ochrony prawnej, które pozwalają na podjęcie skutecznych działań, gdy prawo do ochrony danych zostanie pogwałcone. Zażalenia można składać bezpośrednio do firm, które mają 45 dni na ich rozpatrzenie. Nad ich rozpatrywaniem będzie czuwać Departament Handlu USA oraz Federalna Komisja Handlu we współpracy z europejskimi organami ochrony danych. Poza tym, w odróżnieniu od Safe Harbour, Tarcza Prywatności gwarantuje, że alternatywne metody rozwiązywania sporów będą dla konsumentów z UE darmowe. Był to jeden z głównych zarzutów podnoszonych wobec poprzedniego porozumienia, które pozwalało firmom wybierać podmioty zajmujące się rozwiązywaniem sporów, które często wymagały opłat za samo wniesienie pozwu.
Jeśli chodzi o ewentualną inwigilację ze strony amerykańskich służb, udało się wynegocjować instytucję rzecznika praw obywatelskich niezależnego od służb wywiadowczych, a także pisemne zapewnienia, że jakikolwiek dostęp do danych ze strony organów publicznych podlegać będzie ścisłym ograniczeniom oraz nadzorowi, choć obowiązujące wciąż wyjątki od tej zasady każą zastanawiać się nad jej skutecznością. Tym bardziej, że nadrzędna wobec Privacy Shield Umowa Parasolowa również zawiera podobne odstępstwa od reguły.
Dodatkowym zabezpieczeniem jest coroczny przegląd pozwalający sprawdzić funkcjonowanie umowy w tym również w zakresie dostępu do danych ze względu na bezpieczeństwo narodowe. Przegląd dokonywany będzie przy udziale organizacji pozarządowych oraz zakończony sporządzeniem raportu przez najwyższe organy Unii Europejskiej. Pozwoli to uniknąć dezaktualizowania się postanowień umowy oraz utrzymać stały nadzór. Amerykańskie firmy będą musiały co roku dokonywać certyfikacji, aby spełniać wymagania.
Zbyt daleko idący kompromis?
Wydaje się jednak, że porozumienie jest wynikiem daleko idącego kompromisu, który w wielu aspektach nie różni się zbytnio od mechanizmu działania Bezpiecznej Przystani, stąd też pojawiające się wciąż krytyczne głosy. Rozwiązania negatywnie ocenia między innymi Max Schrems, austriacki prawnik, który, wnosząc kolejne pozwy, doprowadził do uznania porozumienia Safe Harbour za niezgodne z unijnym prawem. Wtóruje mu poseł Parlamentu Europejskiego Jan Philipp Albrecht, członek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. Oprócz kopiowania przez nowe porozumienie nieskutecznych rozwiązań, Albrecht zarzuca, że nowe rozwiązania i tak nie są zgodne ze standardami UE. Jako przykład podaje ograniczenia w czasie przechowywania danych, które w Europie mogą być przechowywanie tak długo, jak jest to niezbędne, natomiast w świetle porozumienia, dopóki są istotne. Po raz kolejny pojawia się brak precyzji stwarzający pole do szerokich interpretacji. Również kwestia zbierania danych przez służby USA nie została, w jego opinii, wystarczająco uregulowana. Zdaniem Albrechta, Tarcza Prywatności powinna być stale renegocjowana i obowiązywać maksymalnie do wejścia w życie ogólnego rozporządzenia o ochronie danych, co nastąpić ma w 2018 roku. Jego zdaniem Tarcza i tak prędzej czy później stanie się przedmiotem zainteresowania Trybunału Sprawiedliwości.
Autor : Marta Błotny