Ochrona danych osobowych: Amerykańskie serwery i patenty są bezpieczne

Rz: Trybunał Sprawiedliwości UE unieważnił decyzję Komisji Europejskiej, która potwierdzała zastosowanie programu „Bezpieczna przystań" do wymiany danych między Europą i USA. Jakie mogą być skutki tego wyroku? Czy USA rzeczywiście były bezpieczną przystanią?

Bijal V. Vakil: Najkrócej mówiąc, amerykańskie firmy będą musiały ponownie określić podstawy przekazywania europejskich danych osobowych do USA. Program „Bezpieczna przystań" został pomyślany w taki sposób, aby spełniał normy ochrony danych wymagane przez europejskie przepisy dotyczące ochrony danych osobowych i był wygodnym mechanizmem dla należących do niego firm, pozwalającym im na samodzielne poświadczenie i zadeklarowanie przestrzegania tych norm. Dla amerykańskich firm dostosowanie się do europejskiego prawa już dziś stanowi wyzwanie, a program „Bezpieczna przystań" był użytecznym narzędziem ułatwiającym ten proces. Nie sądzę, by koniec tego programu oznaczał koniec wymiany danych między Europą i Stanami Zjednoczonymi, ale stanie się ona trudniejsza i będzie wymagać przyjęcia któregoś z pozostałych (zwykle bardziej skomplikowanych) mechanizmów transferu. Oczywiście alternatywą dla firm amerykańskich może być zaprzestanie przenoszenia europejskich danych osobowych do USA. Jednak jest to często niezwykle niepraktyczne ze względów handlowych i biznesowych.

Trybunał wskazał, że poziom ochrony danych w USA jest niższy m.in. ze względu na nieograniczony dostęp do nich przez służby specjalne. Równocześnie istnieje niezwykle rozwinięte orzecznictwo amerykańskich sądów gwarantujące poszanowanie prawa do prywatności w kilkudziesięciu aspektach. Czy europejski użytkownik amerykańskich serwisów, takich jak portale mediów społecznościowych, powierzający im swoje dane, może się czuć bezpiecznie?

W USA te przepisy zawsze były raczej probiznesowe niż prokonsumenckie. Z orzecznictwa sądów wynika, że jeśli branża technologiczna zaproponowała konsumentowi standardowe warunki korzystania ze swojego serwisu oraz standardowe zasady polityki prywatności, to jeśli konsument się na nie zgodził, zazwyczaj sam później odpowiada za swój wybór. Ostatnio doszło jednak do pewnej zmiany w nastawieniu nie tylko europejskich, ale także amerykańskich konsumentów, którzy stali się bardziej świadomi faktu, że ich dane są gromadzone przez amerykański biznes. Chcą wiedzieć, jaki poziom ochrony danych im przysługuje, i zasypują te serwisy pytaniami i prośbami o podanie szczegółowych informacji posiadanych na ich temat (nazywanymi „wnioskami o wgląd do danych osobowych"). Dotyczy to nie tylko portali społecznościowych, ale także firm prowadzących handel internetowy, detalistów i wszystkich instytucji zbierających dane o osobach fizycznych. Poza tym zwiększa się niepokój o bezpieczeństwo danych. Dlatego wiele osób w obawie przed hakerami kwestionuje dziś bezpieczeństwo danych na stronach internetowych. Szczególnie tych, przez które można płacić kartami kredytowymi za zamawiane towary czy usługi. Strony te są w stanie skutecznie uspokoić konsumentów, między innymi dlatego, że korzystają z usług zewnętrznych firm specjalizujących się w obsłudze transakcji kartami płatniczymi, których technologie zapewniają większe bezpieczeństwo danych. Jednak szereg głośnych i szeroko opisywanych naruszeń bezpieczeństwa danych osobowych sprawił, że konsumenci poczuli się nieco zaniepokojeni.

Czy są jakieś istotne różnice w ochronie danych osobowych w poszczególnych stanach?

Są pewne różnice pomiędzy poszczególnymi stanami w zakresie przepisów dotyczących prywatności i różne stany różnie te przepisy stosują. Na przykład w Kalifornii czy Nowym Jorku nastawienie jest bardziej prokonsumenckie niż probiznesowe. Kalifornia była zresztą szczególnie aktywna w ostatnich latach w ustanawianiu prawa dotyczącego prywatności. Odwrotnie jest np. w stanie Delaware czy w Teksasie. Sporo zależy tu również od orzecznictwa sądów stanowych. Dlatego często się zdarza, że firmy przetwarzające dane osobowe wybierają te stany, w których prawo jest bardziej liberalne.

Jeśli zatem jakiś polski przedsiębiorca chce powierzyć swoje dane firmie z USA, to powinien poszukać takiej w stanie o bardziej probiznesowym podejściu?

Zawierając odpowiedni kontrakt na przechowywanie danych, można wybrać stan, którego prawo będzie dla niego właściwe. Jednak trzeba pamiętać, że w pewnych sytuacjach prawo federalne może być decydujące, niezależnie od lokalnych interpretacji. Zależy to od wielu okoliczności faktycznych w danej sprawie.

Czy przeciętny polski użytkownik mediów społecznościowych, który przeczyta, że wszelkie spory dotyczące użytkowania danego medium rozstrzyga prawo któregoś stanu w USA, powinien w razie czego szykować się na kosztowną podróż za ocean, by stanąć przed tamtejszym sądem?

Teoretycznie tak. Jednak nawet jeśli warunki używania takiego serwisu przewidują prawo konkretnego amerykańskiego stanu jako właściwe dla sporów, to wciąż prawdopodobnie zastosowanie będzie miało prawo polskie, szczególnie gdy chodzi o polskich konsumentów. Trudno mi oceniać, jaka praktyka jest przyjęta w Polsce, ale tak czy inaczej takie platformy mediów społecznościowych działają na terenie waszego kraju i powinny przestrzegać jego prawa. W każdym razie na tyle, na ile jest to możliwe, polscy konsumenci powinni żądać rozstrzygnięcia ewentualnego sporu przez polski sąd.

Patrząc praktycznie: czy dane polskiej firmy w chmurze na amerykańskim serwerze są bezpieczne?

Tak, oczywiście. Zresztą świadczy o tym rosnące zainteresowanie wielu firm spoza USA przechowujących tam swoje dane. Nie należy ulegać panice wywołanej sprawą zniesienia programu „Bezpieczna przystań". Wspomniana przez pana mała polska firma ma dwa wyjścia: przechowywać dane na własnym serwerze w Europie albo powierzyć je dużemu amerykańskiemu przedsiębiorstwu zajmującemu się ich magazynowaniem. Taka duża firma ma doświadczenie i środki na to, by takie dane należycie chronić za pomocą nowoczesnych technologii. Ma też zwykle wewnętrzne procedury zapewniające zgodność z przepisami o transferze danych z Europy do USA. Zapewni im nawet większe bezpieczeństwo niż owa mała firma na swoim serwerze. Tu działa efekt specjalizacji. Małej firmy często po prostu nie stać na to, by zatrudnić specjalistów od ochrony danych. Jest ona zazwyczaj skoncentrowana na swoim produkcie, a nie na ochronie danych w chmurze.

Pomówmy teraz o własności intelektualnej. Jest pan ekspertem w sprawach ochrony patentów w USA. To chyba niełatwa materia.

Wiele firm rejestruje prawa do swoich produktów, w tym oprogramowania, w Stanach Zjednoczonych, by zablokować podobne produkty swoich konkurentów. Na tym tle da się zauważyć wiele międzynarodowych sporów o patenty. Wszczynają je firmy z różnych krajów.

Co doradziłby pan polskiej firmie, która stworzy oryginalne oprogramowanie i chce sprzedawać je w USA?

Przede wszystkim trzeba sprawdzić, jaki rodzaj własności intelektualnej taka firma chce chronić w USA. Warto też pamiętać o tym, że reżim prawny może być tam zupełnie inny niż w Europie. Różne są uregulowania dla praw autorskich, inne dla patentów, a jeszcze inne dla ochrony tajemnicy handlowej. Na przykład receptura coca-coli nie jest chroniona jako patent, ale jako tajemnica handlowa. Zna ją zaledwie kilka osób na świecie. Trzeba wiedzieć, że główni gracze rynku oprogramowania mają zarejestrowane w USA tysiące patentów na swoje produkty, często podobne do konkurencji. Dochodzi przy tym do istnego handlu prawami do korzystania z patentów, udzielania sublicencji itd. Nawet gdy mała firma spoza USA wchodzi na amerykański rynek ze swoim patentem, też ma kartę w tej grze. Dlatego warto te patenty rejestrować. Działanie bez patentu może spowodować pozwy ze strony tych gigantów i potężne koszty procesowe liczone w milionach dolarów. W rezultacie może to się skończyć bankructwem firmy.

Ile czasu i pieniędzy wymaga rejestracja praw np. do gry komputerowej na rynku amerykańskim?