Privacy Shield II: Czy to nadal możliwe w świecie GDPR?

Wraz z ostatnimi decyzjami GDPR, które zasadniczo położyły kres temu, jak firmy przetwarzają dane w znany nam sposób, pojawił się ogromny nacisk na lepsze dostosowanie UE i USA w zakresie prywatności danych. Przez długi czas firmy i inne instytucje czuły się bezpiecznie w ramach Safe Harbor i Privacy Shield, ale w miarę jak dane stawały się coraz bardziej towarem, a praktyka ich gromadzenia i sprzedaży stawała się coraz bardziej lukratywna i niewidoczna, ludzie zaczęli zwracać na to uwagę. Teraz jesteśmy w punkcie, w którym potrzebujemy nowych umów o prywatności danych.

Wszyscy tego chcą, ale jak do tego doszło i czy jesteśmy już bliżej?

Czym była Tarcza Prywatności?

Jeszcze w październiku 2015 roku Europejski Trybunał Sprawiedliwości unieważnił międzynarodowe zasady ochrony prywatności Safe Harbor.

Safe Harbor, opracowany w latach 1998-2000, miał zapobiegać ujawnianiu lub utracie przez prywatne organizacje danych osobowych obywateli UE i USA. Po wielu skargach, w tym dotyczących danych z Facebooka, UE zdecydowała, że USA i Safe Harbor nie są zgodne z unijną dyrektywą o ochronie danych.

Ta decyzja w sprawie Safe Harbor jest również znana jako Schrems I. W dążeniu do ograniczenia negatywnych skutków unieważnienia Safe Harbor, UE i USA stworzyły w 2016 r. nowe ramy danych, Privacy Shield.

To nowe porozumienie miało zaradzić niektórym niedociągnięciom Safe Harbor, ale według Europejskiego Inspektora Ochrony Danych (EIOD) nadal istniały pewne problemy związane z usuwaniem danych, gromadzeniem ogromnych ilości danych oraz nowym mechanizmem Rzecznika Praw Obywatelskich. Niezależnie od tych kwestii, Komisja Europejska przyjęła Tarczę Prywatności w lipcu 2016 r.

Tarcza Prywatności i Schrems II

Potencjalne problemy dostrzeżone w 2016 roku, drastycznie zmieniający się krajobraz technologiczny i zmiany polityczne na obu kontynentach doprowadziły do upadku Privacy Shield w 2020 roku.

Austriacki działacz na rzecz ochrony prywatności, Max Schrems, argumentował, że porozumienie w sprawie danych nie zrobiło wystarczająco dużo, aby chronić prywatność danych osobowych obywateli UE, gdy były one przekazywane do USA.

Główną kwestią, która doprowadziła do upadku ram, była masowa inwigilacja ze strony USA.

"Tarcza Prywatności nie była głównym problemem; problemem jest to, że Tarcza Prywatności musiała ustąpić przed amerykańskimi przepisami dotyczącymi nadzoru" - powiedział Schrems.

Johnny Ryan, starszy współpracownik Irlandzkiej Rady Swobód Obywatelskich, dodał, że problemy z Privacy Shield i Safe Harbor nigdy nie dotyczyły badania danych ze względów bezpieczeństwa, ale bardziej przejrzystych procesów i ochrony prawnej dla obywateli UE. "Najważniejsze jest to, że sędzia może zapewnić komuś, kto jest poza USA, ochronę prawną, że może on dochodzić swoich praw, jeśli ich prawa są naruszane" - powiedział Ryan. Bez tych zabezpieczeń w miejscu, i bez rzeczywistego sposobu na szybkie rozwiązanie tych problemów, Privacy Shield został unieważniony w lipcu 2020 roku, w decyzji, która jest obecnie znana jako Schrems II.

Przyszłość Tarczy Prywatności

Bez ram prawnych do przetwarzania danych, które przepływają między Europą a USA, kraje w całej Europie uznały wiele rodzajów transferu danych za nielegalne: Austria i Google Analytics, Belgia i IAB, Francja i Google Analytics, itd. Do tej pory do tej listy można by zapewne dodać kolejne.

Takie przypadki sprawiają, że konieczność zastąpienia Tarczy Prywatności staje się jeszcze ważniejsza - dla liderów po obu stronach Atlantyku.

Nie wspominając już o tym, że wiele krajów i agencji UE zawęża swoją uwagę do praktyk dotyczących danych stosowanych przez duże firmy technologiczne, takie jak Facebook, Microsoft, Amazon i Google.

Odkąd prezydent Joe Biden objął urząd, wraz z przewodniczącą Komisji Europejskiej Ursulą von der Leyen, pracuje nad jego zastąpieniem, ale jak dotąd z tych spotkań nie wynikło nic poza słowami optymizmu.

Na posiedzeniu Rady ds. Handlu i Technologii (TTC) we wrześniu 2021 r. USA zaoferowały quasi-sądowy mechanizm nadzoru nad krajowymi agencjami bezpieczeństwa, aby doprowadzić do podpisania nowej umowy przed końcem roku, ale umowa nie została przyjęta. Istnieje nadzieja, że ostatnie negocjacje doprowadzą do lepszego wyniku na następnym posiedzeniu TTC w maju 2022 roku.

Wiele osób ma nadzieję, że obie strony będą w stanie dojść do porozumienia, które pozwoli amerykańskim agencjom wywiadowczym nadal mieć dostęp do danych ludzi, a jednocześnie chronić prawa obywateli UE.

Jednym z rozwiązań może być utworzenie niezależnego organu sądowego, który będzie rozpatrywał skargi obywateli UE, którzy uważają, że amerykańskie agencje bezprawnie posługiwały się ich danymi.

Szczegóły tego planu - np. skąd ktoś miałby w ogóle wiedzieć, żeby złożyć skargę i czy w ogóle utrzymałby się w sądzie - dopiero poznamy.

Ale jedno jest pewne, jakakolwiek decyzja zostanie podjęta, nie zostanie podjęta w Kongresie - fakt, który może zabić każdą umowę, zanim jeszcze się zacznie.

Ponieważ porozumienie polityczne i postęp są obecnie trudne do osiągnięcia, każda zmiana, która zostanie wprowadzona, będzie musiała być zgodna z istniejącymi amerykańskimi zasadami i regulacjami.

Większość ekspertów zgadza się, że jakikolwiek znaczący postęp musiałby zostać osiągnięty poprzez zmiany legislacyjne w USA, które ograniczą możliwości dostępu agencji bezpieczeństwa narodowego do danych UE i dadzą obywatelom UE jasny i przejrzysty sposób legalnego kwestionowania tego dostępu w sądach.

Bez tego, jak długo jeszcze będziemy mieli Schrems III?