Transfer danych osobowych po Snowdenie

Sprawa Snowdena może zaważyć na losach programu umożliwiającego transfer danych osobowych między UE i USA – pisze prawnik.

Publikacja: 23.08.2013 09:29

Marcin Lewoszewski

Foto: materiały prasowe

Red

Edward Snowden stał się znany opinii publicznej, kiedy w połowie roku doprowadził do ujawnienia tajnych materiałów dotyczących programu inwigilowania obywateli (PRISM) przez amerykańską Agencję Bezpieczeństwa Narodowego oraz jej brytyjski odpowiednik Central Łączności Rządowej. Ujawnione informacje wstrząsnęły wrażliwym na wszelką ingerencję władz społeczeństwem amerykańskim, ale nie tylko nim.

Dalsze konsekwencje

Na podstawie udostępnionych przez Snowdena informacji okazało się bowiem, że służby specjalne mają dostęp do danych zbieranych przez kluczowych dostawców usług internetowych, w szczególności pochodzących z serwisów społecznościowych i globalnej wyszukiwarki internetowej, a także z inwigilacji kluczowych przedstawicieli administracji rządowych.

Ujawnienie szczegółów programu inwigilacji prowadzonej przez amerykański rząd, wywołały olbrzymią dyskusje na temat obecnego stanu pozyskiwania danych osobowych i informacji o życiu obywateli. W kontekście tych wydarzeń, warto pochylić się nad perspektywą nam bliższą, czyli wpływem upublicznienia informacji o inwigilowaniu Europejczyków, w tym Polaków, przez amerykańskie władze, na dalsze funkcjonowanie programu opracowanego przez amerykański Departament Handlu, umożliwiającego transfer danych osobowych między UE a USA.

Program ten, który przyjął wdzięczną nazwę Safe Harbor (Bezpieczna przystań) został przyjęty w 2000 r. przez Komisję Europejską, która wydała decyzję, na mocy której w określonych warunkach dane osobowe mogą być przesyłane z państw członkowskich Unii (w tym także z Polski) do USA, bez dodatkowych ograniczeń. Był to pierwszy poważny program związany z przekazywaniem danych osobowych do USA i miał dać podstawy do dalszych dyskusji i uzgodnień w tym przedmiocie w przyszłości.

W praktyce Safe Harbor wymaga zgłoszenia się amerykańskiego przedsiębiorstwa do Departamentu Handlu, przejście przez proces certyfikacji i utrzymanie tego certyfikatu w kolejnych latach. Z drugiej strony, przedsiębiorstwa działające w UE bez dodatkowych ograniczeń mogą transferować dane osobowe pracowników, klientów i innych kategorii osób do tego typu certyfikowanych podmiotów z siedzibą w USA. Mówiąc obrazowo – polska spółka zależna od amerykańskiej centrali może wysyłać dane osobowe swoich kontrahentów czy też pracowników do korporacji z siedzibą w USA bez dodatkowych ograniczeń.

W odróżnieniu od powyższej – znacznie uproszczonej – procedury, co do zasady, podmioty nie posiadające certyfikacji nie mogą otrzymywać danych osobowych z Polski bez zgody każdej z osób na taki transfer, alternatywnie muszą uzyskać na to zgodę generalnego inspektora ochrony danych osobowych. Obecnie postępowanie w sprawie uzyskania takiej zgody GIODO może trwać około pół roku, co biorąc pod uwagę dynamikę procesów biznesowych stanowi przeszkodę trudną do akceptacji i pokonania. Alternatywę, czyli zbieranie zgód na transfer od każdej osoby należy obecnie umieścić wśród koncepcji mało realnych.

Powrót do „zimnej wojny"

Sprawa Snowdena sprawiła, że zarówno poszczególne organy ochrony danych w Unii, jak i sama Unia ponownie pochyliła się nad Safe Harbor. Viviane Reding, wiceprzewodnicząca Komisji Europejskiej, skrytykowała program i zapowiedziała jego szczegółową kontrolę. Nieoficjalnie mówi się o możliwości wycofania lub znaczącego ograniczenia Safe Harbor w relacjach z amerykańskimi partnerami i powrót do danoosobowej „zimnej wojny". Na pierwsze efekty nie trzeba było czekać – niemieckie organy ochrony danych oświadczyły, że transfer danych do USA nie może obecnie odbywać się na podstawie Safe Harbor. Nie znamy stanowiska polskiego GIODO, ale należy oczekiwać, że tak jak organy niemieckie, podejmie wszelkie możliwe środki w celu upewnienia się, że transfer danych polskich obywateli do USA jest bezpieczny.

Dla biznesu, szczególnie mającego korzenie w USA, wycofanie się UE z programu Safe Harbor oznaczać będzie przede wszystkim koszty. I to nie małe. Podobnie ma się sprawa z ewentualnym nałożeniem przez polskiego ustawodawcę dodatkowych obostrzeń w związku z transferem w oparciu o ten program. Chodzi nie tylko o utrudnienia w transferze danych osobowych do amerykańskiej centrali. W oparciu o publicznie dostępną listę przedsiębiorstw uczestniczących w Safe Harbor można śmiało stwierdzić, że większość globalnych dostawców usług IT, w tym tzw. usług cloudowych czy usług payroll, z których korzystają na podstawie umów globalnych polskie spółki zależne od spółek amerykańskich, jest obecnie certyfikowana. Pytanie, kto poniesie koszt ewentualnych zmian? Odpowiedź, oparta doświadczeniem, nasuwa się niestety sama. Podsumowując, pewnego dnia parowiec z pasażerami z UE na pokładzie może nie odpłynąć do Nowego Świata albo będzie mieć znaczne opóźnienie, bo ktoś po drugiej stronie oceanu zagrał nieczysto.