Dziś (12 lipca) Komisja Europejska formalnie przyjęła Tarczę Prywatności UE-USA (in. EU-US Privacy Shield). Teoretycznie ta "tarcza" powinna nam zapewnić lepszą ochronę danych przesyłanych z UE do USA. W praktyce... coś się zmieni, ale niekoniecznie musi to być duża zmiana. 

"Tarcza" na zgliszczach "Przystani"

Warto przypomnieć historię Tarczy Prywatności. Wcześniej przez kilkanaście lat dane osobowe były przekazywane z UE do USA na podstawie decyzji Komisji Europejskiej. Komisja arbitralnie uznała Stany Zjednoczone za kraj zapewniający odpowiedni poziom ochrony danych (tzw. program Safe Harbour). Niestety w październiku ubiegłego roku w wyniku skargi Maksa Schremsa Trybunał Sprawiedliwości UE uznał, że ta decyzja jest nieważna. To był słynny przełomowy wyrok w sprawie Safe Harbour.

Do wydania tego przełomowego wyroku przyczyniła się afera Edwarda Snowdena. Skoro cały świat dowiedział się o amerykańskiej inwigilacji to trudno było udawać, że Stany Zjednoczone są bezpiecznym miejscem dla naszych danych.

Zapełnianie luki

Podważenie programu Safe Harbour stworzyło małą "próżnię prawną". Nagle nie było wiadomo na jakiej podstawie i na jakich zasadach przekazywać dane z UE do USA. Wyrok porównano nawet do przecinania podmorskich kabli. Komisja Europejska dość szybko obiecała, że wypracuje wspólnie ze stroną amerykańską jakieś nowe rozwiązanie. Tym rozwiązaniem była właśnie Tarcza Prywatności zapowiedziana po raz pierwszym w lutym tego roku. 

Tarcza Prywatności od początku była kontrowersyjna. Obrońcy prywatności nazywali to porozumienie "prowizorką" i powątpiewali w to, czy porozumienie może być jakąkolwiek podstawą prawną do bronienia prywatności Europejczyków. Firmy były raczej zadowolone bo wierzyły, że "tarcza" wystarczy do osiągnięcia "pewności prawnej" przy transferze danych za ocean. 

Tarcza Prywatności - o co tu chodzi?

Jak już wspomnieliśmy, dziś Komisja Europejska formalnie przyjęła Tarczę Prywatności. "Decyzja w sprawie odpowiedniej ochrony danych osobowych" zostanie notyfikowana w dniu dzisiejszym państwom członkowskim i wejdzie niezwłocznie w życie. Po stronie amerykańskiej ramy prawne Tarczy Prywatności zostaną opublikowane w rejestrze federalnym, stanowiącym odpowiednik naszego Dziennika Urzędowego.

Departament Handlu Stanów Zjednoczonych rozpocznie obsługę Tarczy Prywatności. Przedsiębiorstwa począwszy od 1 sierpnia będą mogły wystąpić o certyfikat w Departamencie Handlu. Równocześnie Komisja opublikuje krótki przewodnik dla obywateli, wyjaśniający dostępne środki zaradcze w przypadku, gdy osoba fizyczna uzna, że jej dane osobowe zostały wykorzystane bez uwzględnienia zasady ochrony danych.

Tarcza prywatności opiera się na 4 głównych zasadach. 

• Przestrzeganie zasad - Departament Handlu Stanów Zjednoczonych będzie prowadził regularne przeglądy uczestniczących przedsiębiorstw w celu zapewnienia, by przestrzegały one zasad, którym się podporządkowały. Przedsiębiorstwom będzie grozić usunięcie z listy.
• Ograniczenie masowej inwigilacji - USA przedstawiły Unii zapewnienie, że dostęp organów publicznych do danych jest ograniczony oraz że będzie podlegać zabezpieczeniom i mechanizmom nadzoru. Stany Zjednoczone wykluczyły masową inwigilację danych osobowych przekazywanych im w ramach uzgodnienia Tarczy Prywatności UE-USA. 
• Ochrona praw osób fizycznych - każdy obywatel, który uważa, że jego dane zostały niewłaściwie wykorzystane, będzie mógł skorzystać z kilku dostępnych i przystępnych cenowo mechanizmów rozstrzygania sporów. W idealnej sytuacji skarga zostanie rozpatrzona przez samo przedsiębiorstwo. Ewentualnie, bezpłatnie będzie można skorzystać z alternatywnych metod rozwiązywania sporów. Osoby fizyczne będą też mogły zwrócić się do krajowych organów ochrony danych w swoim państwie, które skontaktują się z Federalną Komisją Handlu, aby zagwarantować, że skargi europejskich obywateli zostaną zbadane i rozpatrzone. Jeżeli sprawa nie zostanie rozwiązana w inny sposób, w ostateczności będzie można zastosować mechanizm arbitrażu.
  Możliwość skorzystania ze środków odwoławczych w obszarze bezpieczeństwa narodowego w przypadku obywateli UE będzie rozpatrywana przez Rzecznika niezależnego od służb wywiadowczych USA. 
• Wspólny mechanizm corocznego przeglądu - obejmie on monitorowanie funkcjonowania zasad bezpiecznego transferu danych, w tym zobowiązań i zapewnień dotyczących dostępu do danych do celów egzekwowania prawa i bezpieczeństwa narodowego. Przegląd przeprowadzać będzie Komisja Europejska i Departament Handlu USA.

Dziury w tarczy?

Obrońcy prywatności nadal nie są zadowoleni. Organizacja European Digital Rights uważa, że nowa "tacza" może się okazać równie dobra co wcześniejsza "bezpieczna przystań". Ot, jest to decyzja Komisji Europejskiej mówiąca o tym, że Stany Zjednoczone gwarantują odpowiedni poziom ochrony danych, tylko czy naprawdę gwarantują? Gdy wcześniej wypracowano Safe Harbour, decyzja ta była od razu krytykowana. Mimo to rozwiązanie utrzymało się kilkanaście lat zanim zostało podważone przed sądem. "Tacza" może być podważona jeszcze szybciej. 

- Niestety to porozumienie nie pomaga nikomu, zarówno w prywatności jak i w biznesie. Musimy czekać zanim sąd znów orzeknie, że porozumienie jest nielegalne i wtedy może UE i USA będą mogły negocjować o wiarygodnym porozumieniu, które będzie właściwie przestrzegać prawa, wzbudzać zaufanie i chronić nasze prawa podstawowe - powiedział Joe McNamee z organizacji EDRi.

Również organizacja Privacy International wyraziła wątpliwości co do nowej tarczy. Jej zdaniem nowy dokument jest nieprzejrzysty i tak naprawdę jest nie zawiera realnych zabezpieczeń prawnych przed masową inwigilacją. Privacy International przyznaje, że Tarcza to pewien postęp, ale wciąż mamy daleko do oczekiwanego poziomu ochrony. 

Prowizorka może się utrzymać

Firmy z branży IT są raczej zadowolone. Dla nich liczy się przede wszystkim "pewność prawna", a więc możliwość powołania się na jakiś dokument przy prowadzeniu działalności. Niestety powinniśmy szczerze przyznać, że firmy nie przejmują się głównie naszą prywatnością. John Frank z Microsoftu przyznał na blogu firmy, że program Safe Harbour nie spełnił pokładanych w nim oczekiwań. Czyli... wszyscy jechali na wadliwym porozumieniu, ale jechali tak długo jak było to możliwe. Teraz mamy nowe porozumienie i możemy jechać tak długo, jak długo kolejny aktywista w rodzaju Schremsa nie zechce się sądzić o swoje prawo do prywatności. 

Czytaj: Więcej o Unii Europejskiej w Dzienniku Internautów