#MicrosoftMówi: Tarcza Prywatności – finał serialu o szorstkiej przyjaźni między UE i USA czy wspólne „zakrzywianie bananów”?

Widzowie serialu o ochronie danych osobowych w Unii Europejskiej i Stanach Zjednoczonych nie mieli powodów do nudy w ciągu ostatniego roku. Pierwszy sezon tego serialu zakończył się mocnym uderzeniem w październiku 2015, kiedy to Trybunał Sprawiedliwości UE w Luksemburgu uznał, że dane europejskich obywateli nie są w USA dostatecznie zabezpieczone przed dostępem tamtejszych władz i unieważnił porozumienie Safe Harbor.

Ten pierwszy sezon serialu o szorstkiej przyjaźni trwał piętnaście lat – od 2000 roku, kiedy to ustanowiono Safe Harbor czyli porozumienie o Bezpiecznej Przystani. Porozumienie o marynistycznej nazwie w założeniu miało gwarantować europejski poziom bezpieczeństwa dla danych osobowych przesyłanych przez podmioty gospodarcze między Unią a USA. Przykładowo – amerykańska firma ubezpieczeniowa działająca na unijnym rynku po przystąpieniu do Safe Harbor zobowiązywała się do zastosowania adekwatnych mechanizmów ochrony w odniesieniu do danych osobowych swoich europejskich klientów, które zostały przesłane do centrali firmy w USA w celu ich przetwarzania na potrzeby działalności firmy.

W ostatnich odcinkach pierwszego sezonu pojawiało się coraz więcej krytyki pod adresem starego porozumienia. Krytyka ta pokazywała jak szorstka jest przyjaźń transatlantycka w zakresie budowania wspólnego rynku opartego na danych. Amerykanie ze swoim probiznesowym nastawieniem tworzyli od lat dosyć liberalne przepisy, które faworyzowały biznes kosztem konsumenta. W przeciwieństwie do Unii Europejskiej, gdzie to właśnie prokonsumencka postawa i poważne traktowanie prawa do ochrony prywatności jako prawa podstawowego spowodowały, iż reprezentant konsumentów zaskarżył sposób przetwarzania danych przez Facebook (w oparciu o Safe Harbor) do Europejskiego Trybunału, a ten zakwestionował i unieważnił porozumienie. Inni krytykujący Safe Harbor podnosili, iż kontrola przypadków postępowania firm niezgodnego z jego zapisami przez Federalną Komisję Handlu (Federal Trade Commission) jest  dyplomatycznie rzecz ujmując mało skuteczna, jeśli w ogóle działająca. Ciekawe było to, iż krytykującymi były nie tylko podmioty europejskie, ale też amerykańskie. Przykładowo w 2014 roku Centrum Cyfrowej Demokracji z Waszyngtonu oskarżyło 30 amerykańskich firm (Microsoftu nie ma na tej liście) o niespełnianie Europejskich wymogów ochrony prywatności [i].

Drugim i być może ważniejszym zdarzeniem podważającym unijne zaufanie do Safe Harbor oraz wpływającym na szorstkość przyjaźni transatlantyckiej były rewelacje Snowdena z 2013 roku. Europejski Trybunał w swoim orzeczeniu stwierdził, iż  Safe Harbor nie może wyeliminować czy nawet zredukować możliwości nadzoru i dostępu do danych przez władze amerykańskie[ii]. Wobec czego dominował pogląd, iż ochrona danych osobowych obywateli europejskich na terenie USA jest iluzoryczna. Trzeba tu przyznać Parlamentowi i Komisji Europejskiej, iż zaraz po ujawnieniu dokumentów przez Snowdena wystąpiły do władz amerykańskich z apelem o renegocjowanie podstaw prawnych regulujących transatlantycki przepływ danych[iii], ale przez dwa lata od 2013 do 2015 postęp tych prac nie był zadowalający. Dopiero wyrok Europejskiego Trybunału przyspieszył negocjacje w związku z dużą niepewnością dla działań gospodarczych tych firm, które z Safe Harbor korzystały. Finał negocjacji w postaci porozumienia Privacy Shield (Tarczy Prywatności) nastąpił w lipcu 2016 roku, ale to już sezon drugi serialu o szorstkiej przyjaźni.

Drugi sezon serialu zaczyna się w lipcu 2016 roku. Po ponad dwuletnich negocjacjach i bardzo intensywnej półrocznej ich końcówce, podpisano porozumienie o średniowieczno-prawnie brzmiącej nazwie „Tarcza Prywatności”. I tu rodzi się kilka pytań. Czy porozumienie to świadczy o tym, iż nawet szorstka przyjaźń wydaje czasem dojrzałe owoce? Czy może strona amerykańska postawiona pod ścianą przez Europejski Trybunał zgodziła się na ustępstwa wobec europejskich partnerów? Czy też może porozumienie to jest kolejnym dowodem na przeregulowanie i tworzenie zasad sztucznie „zakrzywiających banany”?

Zanim odpowiemy na te pytania przyjrzyjmy się kolejnym odcinkom drugiego sezonu.

W drugim odcinku obie strony porozumienia zapewniają o jego skuteczności, a podmioty i organizacje biznesowe wypowiadają się o nim pozytywnie[iv], natomiast adwersarze zapowiadają zaskarżenie nowych zapisów do sądu[v]. Wiceprzewodniczący Komisji Europejskiej Andrus Ansip we wspólnym oświadczeniu z komisarz Věrą Jourovą stwierdzili, iż Tarcza “zasadniczo różni się od starego Safe Harbor, nakłada wyraźne i mocne obowiązki na przedsiębiorstwa przetwarzające dane osobowe oraz daje pewność, że te zasady będą stosowane i egzekwowane w praktyce”.

W trzecim odcinku grupa robocza artykułu 29, czyli zespół tworzony przez regulatorów ochrony danych osobowych z krajów członkowskich UE wypowiedział się pozytywnie o Tarczy Prywatności, a jego Przewodnicząca stwierdziła, iż „porozumienie zawiera kilka znaczących poprawek w porównaniu z projektem, w związku z czym regulatorzy ochrony danych nie zamierzają podważać go na drodze sądowej”. Grupa robocza zaznaczyła jednakże, że zamierza dokładnie przyjrzeć się porozumieniu w działaniu i po pierwszym roku sprawdzić czy realizowane są jego zapisy, szczególnie te, dotyczące ograniczania się strony amerykańskiej w dostępie do danych europejskich w związku z bezpieczeństwem narodowym.

W kolejnym odcinku strona amerykańska ogłasza początek obowiązywania Tarczy i możliwości aplikowania o certyfikację zgodności z jej zasadami na dzień 1 sierpnia, a Microsoft jest jedną z pierwszych firm, które występują o taką certyfikację[vi] i uzyskuje ją 11 dni później – 12 sierpnia[vii].

Jakie uregulowania zawiera Tarcza Prywatności i w jakiej formie są one zawarte?

Tarcza Prywatności jest programem, który jest zarządzany przez Administrację Handlu Międzynarodowego (ITA) w Departamencie Handlu Stanów Zjednoczonych. Program ten umożliwia amerykańskim podmiotom  gospodarczym skorzystanie z określenia adekwatności ochrony danych czyli równoważności tej ochrony na terenie USA z zasadami i wymogami takiej ochrony na terenie Unii Europejskiej. Aby dołączyć do programu, firmy z siedzibą w USA są zobowiązane do samodzielnej certyfikacji w Departamencie Handlu (poprzez stronę internetową) i publicznego zobowiązania się do spełniania wymogów Tarczy[viii]. Formalnie Tarcza Prywatności jest ponad dwustustronnym dokumentem podzielonym na rozdziały, aneks oraz zestaw listów pomiędzy umawiającymi się stronami oraz pomiędzy podmiotami administracji amerykańskiej wyjaśniających jakiego rodzaju obowiązki i zobowiązania oraz tryb postępowania zostaną wdrożone jako elementy obowiązywania Tarczy[ix].

Wróćmy na koniec do postawionych wcześniej pytań. Czy Tarcza jest dobrym owocem szorstkiej przyjaźni i transatlantyckiej relacji z nadszarpniętym mocno zaufaniem? Moim zdaniem tak. Tarcza odpowiada na wiele uwag i oczekiwań partnerów unijnych wobec USA. Zdefiniowanie kluczowych zasad, zasad dodatkowych, zasad dochodzenia roszczeń, zasady corocznej rewizji i sprawdzenia funkcjonowania porozumienia, zapewnienie ze strony władz amerykańskich, iż dostęp do danych przez władze publiczne będzie ograniczony, zabezpieczony i kontrolowany, to tylko niektóre z mechanizmów wbudowanych w nowe porozumienie. Kluczowy wydaje się coroczny przegląd funkcjonowania, który daje możliwość naprawy, bądź powrotu do negocjacji w wypadku wykrycia zapisów nieefektywnych bądź martwych.

Czy Tarcza została podpisana w momencie, gdy strona amerykańska czuła presję spadku zaufania i była świadoma negatywnych konsekwencji dla amerykańskich firm działających na terenie Unii? Chyba tak. Skutki działalności Edwarda Snowdena są dziś niepodważalne. Temat prywatności, ochrony danych, w tym danych osobowych, cyberbezpieczeństwo są dziś na ustach całego świata, a rząd amerykański  we współpracy z partnerem unijnym musi znaleźć złoty środek pomiędzy potrzebami biznesowymi, wymogami bezpieczeństwa narodowego i podstawowym prawem obywatela jakim jest prawo do prywatności.

Czy w końcu osiągnięte porozumienie to kolejny przejaw Unijnego regulowania krzywizny bananów? Wydaje się, że tym razem nie. Sfera ochrony danych osobowych, jak już wyżej wspomniałem staje się w ostatnich latach bardzo wrażliwa dla nas jako obywateli, konsumentów i przedsiębiorców. Kluczowym wyzwaniem dla Unii i jej globalnych partnerów jest odpowiedni balans pomiędzy tymi rolami. Bo tylko taki zdrowy balans pozwoli nam na zdrowe funkcjonowanie w świecie cyfrowym jako obywatele i konsumenci, a firmom pozwoli na budowanie zdrowego globalnego, a przynajmniej na początku transatlantyckiego cyfrowego rynku, który nie jest sztucznie blokowany granicami państwowymi i rozczłonkowanymi regulacjami, tłumiącymi innowacyjność i przedsiębiorczość.

[i] http://diginomica.com/2014/08/18/boost-eus-safe-harbor-critics-30-us-tech-firms-accused-privacy-abuses/

[ii] http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf

[iii] http://europa.eu/rapid/press-release_IP-13-1166_en.htm

[iv] https://blogs.microsoft.com/eupolicy/2016/07/11/eu-u-s-privacy-shield-progress-for-privacy-rights/

[v] http://www.irishtimes.com/opinion/privacy-shield-the-new-eu-rules-on-transatlantic-data-sharing-will-not-protect-you-1.2719018

[vi] https://blogs.microsoft.com/eupolicy/2016/08/01/microsoft-signs-up-for-privacy-shield/

[vii] https://www.privacyshield.gov/participant?id=a2zt0000000KzNaAAK

[viii] https://www.privacyshield.gov/Program-Overview

[ix] https://www.privacyshield.gov/EU-US-Framework