Wielu graczy na rynku usług chmurowych, którzy przetwarzają dane milionów użytkowników Internetu, ma siedzibę w USA. Tam też znajduje się (przynajmniej duża część) serwerów, na których zapisują oni informacje – w tym również powierzone im dane osobowe.
To niestety jest problem z punktu widzenia ochrony danych osobowych. Przekazanie danych do państwa spoza Unii Europejskiej stanowi bowiem tzw. przekazanie danych do państwa trzeciego i jest obwarowane dodatkowymi wymogami.
Tym samym, gdy np. polska firma przetwarza dane osobowe swoich klientów za pomocą pochodzącego z USA i posiadającego serwery w USA serwisu internetowego albo oprogramowania (np. prowadząc z nimi korespondencję e-mail za pomocą amerykańskiego serwisu mailowego), dane te są przetwarzane przez podmiot mający siedzibę w USA.
Co to jest Tarcza Prywatności?
Liczne problemy, które z tego wynikały, doprowadziły do wprowadzenia programu tarcza prywatności (ang. Privacy shield). Privacy shield jest porozumieniem zawartym pomiędzy Unią Europejską a Stanami Zjednoczonymi, dotyczącym zasad ochrony prywatności. Na jego podstawie, przedsiębiorcy z USA mogą dobrowolnie przystąpić do programu, a tym samym spełnić wymagania dotyczące ochrony danych osobowych, obowiązujące w Unii Europejskiej.
Program tarcza prywatności zastąpił poprzednie ustalenia pomiędzy USA a UE, dotyczące ochrony prywatności, zwane Safe Harbour (bezpieczna przystań). Safe Harbour były poddawane licznej krytyce, aż w końcu Trybunał Sprawiedliwości UE stwierdził, że przystąpienie do tego programu wcale nie zapewnia należytej ochrony danych.
Tarcza prywatności miała być skuteczniejszym instrumentem. Na mocy jej postanowień możliwa wydawała się być rzeczywista kontrola tego, jakie amerykańskie podmioty spełniają wymogi dotyczące przetwarzania danych, obowiązujące w UE (listę firm, które przystąpiły do programu, można znaleźć tutaj). Dodatkowo, porozumienie miało ograniczać możliwość masowego przetwarzania danych przez amerykańskie agencje rządowe oraz ustanawiać efektywne sposoby pozasądowego rozwiązywania sporów pomiędzy obywatelami UE a amerykańskimi firmami, dotyczących ochrony danych osobowych.
Co będzie dalej z Tarczą?
Pomimo tego, Privacy shield obowiązuje nieco ponad rok i właściwie od początku jest krytykowane, podobnie zresztą jak wcześniej safe harbour. Zarzuty dotyczą głównie braku regulacji dotyczących zautomatyzowanego przetwarzania danych oraz prawa do sprzeciwu. Dlatego grupa robocza dot. art. 29 (unijny podmiot o charakterze doradczym, zajmujący się ochroną danych osobowych) zapowiedziała, że we wrześniu dokona kompleksowego przeglądu porozumienia i sprawdzi, w jaki sposób przestrzegane są zasady w nim zawarte. Ewentualne wnioski będą istotną wskazówką, dotyczącą tego, czy powierzanie danych osobowych podmiotom, które przystąpiły do programu, odbywa się zgodnie z unijnymi regulacjami.
Szczerze mówiąc, nie spodziewam się aby grupa robocza po prostu stwierdziła, że wszystko jest w porządku. Dotychczas sygnalizowane problemy były po prostu zbyt istotne. A to niestety będzie stanowić poważny problem np. dla tych firm, które powierzyły przetwarzane przez siebie dane organizacjom i przedsiębiorstwom z USA (np. zapisując je na serwerach należących do wielkich amerykańskich korporacji). Będą musiały one rozważyć przeniesienie ich do tych podmiotów, które zapewniają odpowiednie standardy bezpieczeństwa – a to oznacza konieczność poniesienia na nowo kosztów i dokonania odpowiednich wdrożeń.
Jeśli bowiem tarcza prywatności podzieli los swojej poprzedniczki, powierzenie przetwarzania danych do podmiotu w USA bez spełnienia dodatkowych wymogów może zostać uznane za niezgodne z regulacjami – zarówno tymi obecnie obowiązującymi, jak i przyszłymi.
