Co z usługami chmurowymi po wczorajszym wyroku TSUE „unieważniającym” transfery do USA?

TSUE uznał za nieważną Decyzję Komisji Europejskiej zatwierdzająca tzw. Tarczę Prywatności, czyli szeroko pojętą umowę między USA a EU, która dopuszczała transfer danych osobowych z EU do USA

TSUE unieważnił Tarczę Prywatności podnosząc w zasadzie te same argumenty co w tzw. wyroku Schrems I, czyli brak proceduralnych gwarancji dla osób spoza USA poddawanych masowej inwigilacji elektronicznej na podstawie amerykańskiego prawodawstwa. Three main US legal acts are being referred to in this context Foreign Intelligence Surveillance Act Executive (“FISA”), Executive Order 12333 (“E.O. 12333”) and Presidential Policy Directive 28 (“PPD28”). W ten sposób sąd eufemistycznie to określając wyraził dezaprobatę dla efektów negocjacji KE z USA co do zastąpienia unieważnionej wcześniej umowy Bezpieczna Przystań tą nową Tarczą Prywatności. W ocenie sądu uprawnienia amerykańskich agend rządowych wynikające z prawodawstwa amerykańskiego względem „danych zagranicznych” są tak duże i tak niekontrolowane, że nie sposób uznać, że Tarcza Prywatności rzeczywiście dawała rezydentom EU ochronę odpowiednią do ochrony danych w EU. Sąd wskazał, że prawo amerykańskie inaczej (dużo bardziej) chroni obywateli amerykańskich, nie dając porównywalnych a w zasadzie żadnych gwarancji ochrony prawnej przed inwigilacją osobom spoza USA, do danych których rząd amerykański może mieć dostęp. Kolokwialnie mówiąc sąd powiedział Komisji, że Tarcza Prywatności to „ściema”.

Równocześnie sąd wskazał, że wprawdzie standardowe klauzule umowne pozostają w mocy same w sobie (a konkretnie decyzja KE je przyjmująca). Natomiast niekoniecznie legalny jest transfer danych na podstawie SCC. Sąd wskazał, że legalność transferu danych w oparicu o SCC należy badać na tle prawodawstwa państwa docelowego. Jeżeli prawodawstwo to nie zapewnia odpowiednich proceduralnych gwarancji dla podmiotów danych (rezydentów UE) i dopuszcza dowolny dostęp do tych danych agendom rządowym państwa docelowego, to nie można uznać, że ochrona danych zapewniana przez zawarte SCC, będzie miała stopień odpowiedni do europejskiego. A w konsekwencji taki transfer pozostanie nielegalny lub może za taki zostać uznany przez organ nadzorczy i zakazany.

W powiązaniu z ustaleniami dotyczącymi uprawnień do inwigilacji cudzoziemców, które USA sobie przyznało, i braku narzędzi proceduralnych dla inwigilowanych cudzoziemców, oznacza to, że SCC same w sobie przestają być dobrą podstawą do przesyłania danych osobowych z UE do USA a co najmniej, że każdy taki przypadek staje się „podejrzany” i należy zweryfikować realną adekwatność ochrony danych przy takim transferze.

Pojawiają się więc głosy, w tym ważny głos fundacji NOYB – European Center for Digital Rights założonej przez aktywistę Maxa Schremsa, który doprowadził zarówno do wydania poprzedniego wyroku unieważniającego Bezpieczną Przystań jak i obecnego wyroku TSUE, że wszystkie „duże” transfery danych do USA, w oparciu o które oferowane są globalne usługi chmurowe, powinny zostać uznane za nielegalne.

Z pewnością trudno będzie teraz obronić transfer danych pomiędzy Facebook Ireland and Facebook Inc, na tle którego wydano ten przełomowy wyrok. To co jeszcze Helen Dixon – Data Protection Commissioner, czyli szefowa irlandzkiego organu nadzorczego, może dla Facebooka zrobić, to odwlec wydanie decyzji w tej sprawie.

Natomiast w mojej ocenie w dalszym ciągu istnieje możliwość obrony (czyli uznania, że zapewniony jest odpowiedni stopień ochrony) pewnych typów usług chmurowych, gdzie dochodzi do transferu danych do USA. Myślę o tych usługach, w których transfer danych do USA nie dotyczy tzw. kontentu (user generated content) – transferowane są dane telemetryczne a nawet dane podstawowe użytkowników (jednolita książka adresowa) lub w tych, w których zapewnione jest szyfrowanie end-to-end. Wydaje się, że można też uznać za zgodne usługi tzw. bezstanowe, to znaczy takie, w których nie dochodzi do przechowywania danych. W tym ostatnim przypadku należałoby jednak weryfikować, jakie dane jednak się odkładają i jak są czyszczone bufory techniczne. Dodatkowo, zważywszy na dostęp National Security Agency do danych przesyłanych do USA kablami transatlantyckimi, oczywiście dane w przesyle powinny być chronione odpowiednim szyfrowaniem (TSL w odpowiedniej wersji). W każdym przypadku będzie należało zweryfikować faktyczną możliwość inwigilacji użytkownika w danej usłudze i ocenić na tym tle adekwatność ochrony.

Są to oczywiście moje pierwsze przemyślenia, więc proszę się jeszcze do tych wniosków nie przywiązywać.

Maciej Gawroński

http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=9890094

http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=9890094

—kontakt

Gawroński & Partners

T: +48 22 243 49 53

E: info@gppartners.pl

Al. Jana Pawła II 12

00-124 Warszawa

Newsletter

Nasz newsletter to stałe źródło bieżących informacji z zakresu technologii, regulacji, sporów i prawa. 

Ilustracja do „Cyberiady” Stanisława Lema, Daniel Mróz ©za zgodą Łucji Mróz-Raynoch
Ilustracja do „Cyberiady” Stanisława Lema, Daniel Mróz ©za zgodą Łucji Mróz-Raynoch