• 18 lutego 2025

Tarcza Prywatności nie obowiązuje – Co dalej?

 Tarcza Prywatności nie obowiązuje – Co dalej?

W czasach globalizacji i powszechności usług przetwarzania danych w chmurze obliczeniowej (cloud computingu), przesyłanie danych osobowych z kraju do kraju oraz z kontynentu na kontynent jest dla Europejczyków rzeczą na porządku dziennym i poza specjalistami od RODO mało kto widzi w tym potencjalne zagrożenie czy jakieś niedociągnięcia. Dzieje się tak dlatego, że większość ludzi zakłada, że systemy będące oparciem tak wielu międzynarodowych korporacji, powinny być starannie dopracowane i oparte na silnych podstawach. Fakty okazują się jednak trochę inne.

Do tej pory przekazywanie danych osobowych miedzy Unią Europejską a Stanami Zjednoczonymi odbywało się na podstawie Tarczy Prywatności, rozwiązania wypracowanego przez strony po tym jak okazało się, że wcześniejsze porozumienie „Safe Harbour” było tylko iluzoryczne. Tarcza Prywatności wprowadziła dodatkowe mechanizmy kontrolne w tym obowiązkowe audyty dla podmiotów, które chciały przetwarzać dane osobowe zgodnie z wymogami prawa unijnego. Privacy Shield obowiązywało zaledwie 4 lata. W lipcu 2020 została ona uznana za nie ważną przez Europejski Trybunał Sprawiedliwości.

Jak do tego doszło?

 W 2008 roku obywatel Austrii, Maximilian Schrems wniósł skargę skupiającą się na różnicy prawa i praktyki Stanów Zjednoczonych a Unii Europejskiej, a co za tym idzie niewystarczającej ochrony dla danych osobowych, które przekazywane są przez portal Facebook aż do USA. Sprawa ta doprowadziła do uchylenia pierwszego porozumienia i podjęcia gorączkowych prac nad „Tarczą Prywatności”. Prace zakończono w 2016, a wypracowany wówczas kompromis został  wyrokiem z 16 lipca 2020 roku wydanym przez Europejski Trybunał Sprawiedliwości (TSUE) poddany surowej weryfikacji.

Podstawy leżały we wdrożonym w 2018 roku RODO, a dokładniej jego braku w porozumieniu wypracowanym pomiędzy UE a USA. TSUE, że Tarcza Prywatności oparta jest na nieobowiązujących już przepisach, zatem nie ma gwarancji, która mówiłaby, że unijne dane osobowe są przetwarzane zgodnie z wymaganymi normami Unii.

Co dalej?

            W tym wypadku podmioty próbują szybko opanować sytuacje i przekazywanie danych osobowych chcą oprzeć na klauzulach umownych, czyli inaczej klauzulach generalnych – wzorcach przygotowanych przez UE, obowiązujących także w przypadku przekazywania danych do państw trzecich. Chociaż Klauzule te również są sprzed czasów RODO, zostały one zatwierdzone. Rozwiązanie to jednak jest jedynie tymczasowe i mało precyzyjne. Trybunał zastrzegł, by prawa osób, których dane są przekazywane do państwa trzeciego na podstawie tych klauzul, były chronione na tym samym poziomie, o których mówi RODO i obowiązek weryfikacji właściwego poziomu bezpieczeństwa ciąży na Administratorze czyli podmiocie przekazującym.

Co więc grozi przedsiębiorcom jeśli nie zmienią swojego modelu biznesowego? Odpowiedź jest prosta – kara finansowa a może nawet odpowiedzialność karna i maksymalna kara do 3 lat więzienia.

Czy takie podmioty jak Facebook, Google czy Microsoft próbują nam pomóc? Tak informują że dane będą przesyłane za pomocą klauzul generalnych.

            Facebook będący portalem społecznościowym, który zdążył się rozsławić w swoich kontrowersjach z pozyskiwaniem danych osobowych na razie nie zniknął z pola widzenia. Co więcej jego użytkownicy nie dostali żadnej informacji o nowym regulaminie czy drobnych zmianach na portalu. Inna okaże się jedynie szata graficzna, zapowiedziana na 1 października 2020 roku, ale planowano ją już od stycznia, gdzie decyzja o niefunkcjonalności Tarczy Prywatności zapadła ok. dwa miesiące temu. Facebook podkreśla, że: Zmiany wprowadzimy tylko wówczas, jeżeli zapisy Regulaminu będą już nieadekwatne lub niekompletne i tylko wówczas, jeżeli zmiany będą uzasadnione dla użytkownika po uwzględnieniu jego interesów.

            Mówią też o tym, że w przypadku zmiany takiego regulaminu powiadomią użytkownika (np. drogą mailową bądź za pośrednictwem produktów) 30 dni przed oficjalnym wdrożeniem zmian, dodają jednak do tego: chyba że zmiany takie są wymagane prawnie.

            Zatem nie wiadomo jeszcze czy Facebook ukrył zmianę regulaminu w nowopowstałej szacie graficznej, ale z pewnością nie informował o takiej możliwości swoich użytkowników.

            Sam Facebook nie jest jednak jedynym istotnym podmiotem, którego dotyka ten problem. Wiele innych firm zależna jest teraz od decyzji Trybunału. Pamiętajmy, że poprzedni wyrok utrudnił gromadzenie danych przez globalne spółki audytowe i inne podmioty. W jaki sposób teraz ma wyglądać ich dalsze funkcjonowanie i w jaki sposób mogą pokonać te przeszkody? Czy potrzebne będzie stworzenie nowej Tarczy Prytwaności?