Krajobraz po wyroku w sprawie Bezpiecznej Przystani

Na początek trzęsienie ziemi, a potem napięcie rośnie: decyzja Trybunału Sprawiedliwości UE w sprawie Bezpiecznej Przystani to dopiero początek perypetii wielu krajowych firm i zmian prawnych. Jak przygotować się na krajobraz po upadku Bezpiecznej Przystani?

Dla wielu przedsiębiorców, którzy przechowują dane osobowe na amerykańskich serwerach, korzystając przykładowo z usług chmurowych oferowanych przez amerykańskich dostawców, 6 października br. stanowi istotną datę. Tego dnia Trybunał Sprawiedliwości UE w głośnym wyroku unieważnił decyzję Komisji Europejskiej dotyczącą tzw. programu Bezpiecznej Przystani (Safe Harbor). Z uwagi na to, że znaczenie wyroku nie ogranicza się wyłącznie do podmiotów amerykańskich, lecz oddziałuje silnie na firmy krajowe z wielu sektorów i branż, zasadne jest przybliżenie zasad funkcjonowania programu oraz przedstawienie konsekwencji wyroku.

Czym była Bezpieczna Przystań?

Program Bezpiecznej Przystani funkcjonował od 2000 r., stanowiąc próbę zaradzenia problemom związanym z transatlantycką wymianą danych osobowych. Problemy te wynikają z faktu, że ustawodawstwo USA nie zapewnia tak wysokiego poziomu ochrony danych, jaki obowiązuje w Polsce oraz innych krajach UE. Od lat zgłaszane są więc obawy o bezpieczeństwo danych przesyłanych za ocean, tym bardziej że z dyrektywy o ochronie danych wyprowadzić można zakaz ich przekazywania do USA. Bezpieczna Przystań pozwalała na uchylenie tego zakazu i objęcie danych parasolem ochronnym.

Zobacz również:



... to była przyjazna Przystań
Funkcjonowanie Bezpiecznej Przystani powodowało, że gdy amerykański dostawca chmury przystąpił do programu, wówczas jego polski klient nie musiał występować o zgodę GIODO na przekazanie danych do USA (co jest zasadniczo wymagane). Rozwiązanie to było zatem przyjazne dla biznesu.


Funkcjonowanie Bezpiecznej Przystani powodowało, że gdy amerykański dostawca chmury przystąpił do programu, wówczas jego polski klient nie musiał występować o zgodę GIODO na przekazanie danych do USA (co jest zasadniczo wymagane). Rozwiązanie to było zatem przyjazne dla biznesu. Podobnie łatwo przebiegała realizacja innych projektów, np. związanych z tworzeniem scentralizowanych baz danych na terytorium USA, z realizacją zadań w zakresie sprawozdawczości czy prowadzeniem różnego rodzaju programów w ramach korporacji międzynarodowych (np. whistleblowing hotlines).

Pomimo swej popularności (do programu przystąpiło ponad 4500 amerykańskich firm) Bezpieczna Przystań okazała się jednak nie do końca bezpieczna. Unaoczniła to szczególnie głośna sprawa Snowdena, odsłaniając amerykańską praktykę, dopuszczającą na masową skalę elektroniczną inwigilację i gromadzenie danych osobowych obywateli UE. Stanowiło to główną przyczynę wszczęcia przez austriackiego studenta, Maximilliana Schremsa postępowania przed irlandzkim organem ds. ochrony danych, która doprowadziła do rozpatrzenia jej przez najwyższą unijną instancję sądową i w efekcie zakończyła się ww. wyrokiem.

Skutki „zatopienia” Bezpiecznej Przystani

Zakwestionowanie i formalne „zamknięcie” (lub, by lepiej oddać terminologię: „zatopienie”) programu Safe Harbor powoduje, że w wielu przypadkach krajowe firmy przekazujące dane osobowe do USA (tzw. eksporterzy danych) zmuszone będą do wprowadzenia innych rozwiązań prawnych. Brak przyjęcia alternatywnych mechanizmów może sprawić, że transfer uznany będzie za naruszający przepisy prawa. Może to rodzić odpowiedzialność administracyjną i stwarzać podstawy do wydania przez GIODO zakazu przekazywania danych do USA. W sytuacji przekazania danych podmiotowi nieuprawnionemu nie można wykluczyć również odpowiedzialności karnej.

Kierownictwo oraz osoby odpowiedzialne za określony obszar działalności (np. związany z korzystaniem z zewnętrznych dostawców rozwiązań IT, w szczególności rozwiązań chmurowych), powinny podjąć określone działania, aby zminimalizować tego rodzaju ryzyka.

Działania te uwzględnić powinny m.in.:

  • Przegląd procesów przetwarzania i przepływów danych w ramach organizacji oraz poza nią. Będzie to szczególnie istotne dla dużych grup kapitałowych o skomplikowanej strukturze, korzystających z licznych outsourcerów.
  • Weryfikację zasad współpracy z podmiotami z grupy oraz z zewnętrznymi dostawcami, pod kątem sprawdzenia, czy nie przetwarzają oni danych w Stanach Zjednoczonych. Sprawdzenie to objąć powinno również ewentualnych podwykonawców, co może mieć szczególne znaczenie w przypadku usług chmurowych oferowanych co prawda przez krajową firmę, która korzysta z platformy dostawcy amerykańskiego.
  • Sprawdzenie, czy z terytorium USA nie następuje dostęp do danych, nawet jeśli usługa chmurowa jest dostarczana przez podmiot krajowy, a dane przechowywane są na serwerach europejskich (dostęp taki może mieć związek np. z usługami serwisowymi platformy).
  • Weryfikacja umów z klientami końcowymi, w szczególności konsumentami: w sytuacji bowiem, gdy umowy takie zawierałyby gwarancje, że dane klientów będą przekazywane wyłącznie do państw trzecich zapewniających odpowiednie zabezpieczenia w zakresie ochrony danych, dalszy transfer na podstawie Safe Harbor naruszać będzie nie tylko przepisy prawa, lecz również postanowienia tych umów.
  • W efekcie przeprowadzonej weryfikacji konieczne może być wdrożenie innego instrumentu prawnego spośród dostępnego katalogu, do którego należą m.in. modelowe klauzule umowne oraz wiążące reguły korporacyjne.
  • Gdyby żadna z ww. opcji nie była możliwa do zastosowania, sprawdzenia wymaga, czy dostawca nie ma możliwości świadczenia usług z terytorium UE (z wyłączeniem opcji transferu do USA), w ostateczności rozważyć należy skorzystanie z usług europejskich dostawców, przetwarzających dane wyłącznie w obrębie UE. W grę wchodzą również rozwiązania, które sprawiają, że do USA trafiają zaszyfrowane dane lub dane w postaci zanonimizowanej, nie stanowiące danych osobowych w rozumieniu prawa.


Modelowe klauzule

Umowy transferowe, które bazują na modelowych (standardowych) klauzulach umownych zatwierdzonych decyzjami Komisji Europejskiej, wydają się obecnie w perspektywie krajowej szczególnie atrakcyjnym instrumentem. Tym bardziej że ostatnie zmiany wprowadzone w ustawie o ochronie danych osobowych dalece zliberalizowały zasady związane z korzystaniem z nich. Obecnie zawarcie umowy zgodnej z klauzulami modelowymi stanowi wystarczającą podstawę do transferu danych. W takiej sytuacji nie jest już konieczne pytanie GIODO o dodatkową zgodę, co wymagało wcześniej przeprowadzenia długotrwałego postępowania administracyjnego.

W przypadku transferu danych do podmiotu, który występuje w roli administratora danych (np. do centrali korporacji wykorzystującej dane w swych własnych celach), eksporter danych ma do wyboru dwa zestawy postanowień standardowych. Przy czym obydwa zestawy zapewniają taki sam poziom ochrony interesów podmiotów danych, różnią je natomiast poszczególne rozwiązania. W przypadku transferu danych do podmiotu, który przetwarza dane na zlecenie (jako tzw. procesor danych, co dotyczy w szczególności dostawcy usług chmurowych), skorzystać można z jednego zestawu, który jest przeznaczony dla tego modelu.

Wiążące reguły korporacyjne

... nowy instrument: wiążące reguły korporacyjne
W ostatnim czasie wzrasta znaczenie stosunkowo nowego instrumentu, tzw. wiążących reguł korporacyjnych. Reguły te pozwalają międzynarodowym korporacjom, które prowadzą działalność w wielu krajach świata, na dokonywanie swobodnego transferu danych osobowych w ramach organizacji, przy jednoczesnym zapewnieniu odpowiedniego poziomu ochrony tych danych.
W ostatnim czasie wzrasta znaczenie stosunkowo nowego instrumentu, tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rules; BCR). Reguły te pozwalają międzynarodowym korporacjom, które prowadzą działalność w wielu krajach świata, na dokonywanie swobodnego transferu danych osobowych w ramach organizacji, przy jednoczesnym zapewnieniu odpowiedniego poziomu ochrony tych danych (ang. safe haven). Po ostatnich zmianach w przepisach krajowych również w tym zakresie doszło do wzmocnienia znaczenia tego mechanizmu. GIODO uzyskał kompetencje do zatwierdzania BCR, co może być interesującą alternatywą dla organizacji, których główna siedziba znajduje się na terytorium Polski, a które przekazują dane nie tylko do Stanów Zjednoczonych, lecz również do innych państw świata.

Wyjątki od zakazu transferu danych

Kolejna opcja związana jest z powołaniem się na wyjątki określone w ustawie. W praktyce atrakcyjność tego rodzaju rozwiązań została jednakże w istotnym stopniu osłabiona. Przykładowo, problematyczne może być skorzystanie ze zgody osób, których dane dotyczą. Związane jest to z wątpliwościami natury prawnej (w przypadku tzw. „masowych” transferów podkreśla się bowiem konieczność oparcia transferu danych na silniejszej niż zgoda podstawie prawnej) oraz faktycznej (ryzyko dotyczące braku udzielenia zgody przez część podmiotów danych, problemy ze zbieraniem zgód w relacjach pracowniczych itd.).

Co przed nami?

Organy odpowiedzialne za ochronę danych w większości krajów, w tym polski GIODO, do sprawy podchodzą z rozwagą. Analizują szczegółowo wyrok, dając przedsiębiorcom czas niezbędny na wprowadzenie zmian w zakresie ponadgranicznych transferów danych. Wyjątek stanowią organy niemieckie, które ogłosiły, że będą blokowały wszelkie transfery danych realizowane na podstawie Safe Harbor, a co więcej, że nie będą udzielały zezwoleń na przekazywanie danych również na podstawie modelowych klauzul oraz wiążących reguł, przynajmniej do końca stycznia 2016 r., do kiedy wyznaczono termin na przedstawienie projektu Safe Harbor 2.0. Z tego też względu należy śledzić na bieżąco rozwój wypadków, tym bardziej że dobiegają końca prace nad nowymi unijnymi przepisami dotyczącymi ochrony danych, które istotnie wzmocnią uprawnienia nadzorcze organów oraz umożliwią nakładanie kar finansowych w sytuacji stwierdzonych niezgodności.

Damian Karwala, DLA Piper Kliknij, aby powiększyćDamian Karwala, DLA Piper

Autor jest radcą prawnym w kancelarii DLA Piper. Specjalizuje się w zagadnieniach ochrony danych osobowych, informacji poufnej oraz własności intelektualnej, w szczególności w kontekście sektora TMT i finansów.

Synteza tematu:
  • Funkcjonujący od 2000 r. program Bezpiecznej Przystani (Safe Harbor) stwarzał możliwości swobodnego przekazywania danych osobowych do Stanów Zjednoczonych, co ułatwiało m.in. korzystanie z rozwiązań cloud computing.
  • Unieważnienie przez Trybunał Sprawiedliwości UE decyzji Komisji dotyczącej programu istotnie komplikuje sytuację w zakresie transatlantyckiego transferu danych.
  • Firmy powinny przeprowadzić weryfikację procesów przepływów danych w ramach organizacji oraz poza nią, co pozwoli w szczególności na ustalenie, czy dane nie trafiają do USA.
  • W sytuacji, gdy dane przekazywane są do USA, zachodzić będzie potrzeba zastosowania innego instrumentu prawnego, np. modelowych klauzul umownych lub wiążących reguł korporacyjnych.
  • Na koniec stycznia 2016 r. wyznaczono termin na przedstawienie projektu Safe Harbor 2.0. Do tego czasu przyjęte mogą zostać również nowe przepisy regulujące ochronę danych. Dlatego, poza przeprowadzeniem stosownych działań wewnętrznych, istotne jest śledzenie rozwoju wypadków.