Kilka miesięcy temu pisałem o problemach związanych z działaniem programu Tarcza Prywatności (Privacy shield). Wątpliwości dotyczyły tego, czy rząd USA rzeczywiście realizuje wszystkie wymogi związane ze stosowaniem programu. W przypadku gdyby Komisja Europejska potwierdziła, że program Tarcza Prywatności to jedynie papier, którym rząd USA średnio się przejmuje i nie spełnia obowiązków w nim zawartych, mogłoby dojść do uznania, że podmioty, które przystąpiły do tarczy prywatności jednak nie spełniają odpowiednich wymogów dotyczących ochrony danych osobowych należących do obywateli UE.
Jakie kontrowersje wzbudzał program Privacy Shield?
O co dokładnie chodziło krytykom? Głównie o to, że:
Rząd USA nie wdrożył odpowiednich mechanizmów umożliwiających obywatelom UE składanie skarg na przedsiębiorców, którzy przystąpili do programu, ale nie realizują jego postanowień i naruszają prawa osób, których dane dotyczą,
Rząd USA nie prowadzi działań które umożliwiają skuteczną weryfikację tego, czy dany podmiot (uczestnik programu) rzeczywiście przestrzega reguł uczestnictwa w Tarczy Prywatności.
W przypadku gdyby Komisja Europejska uznała, że zarzuty te są prawdziwe, mogłoby to doprowadzić do anulowania całego programu, a tym samym znacznego utrudnienia w korzystaniu z podmiotów mających siedzibę w USA, a świadczących usługi również na terenie UE – w tym takich jak Google, Facebook, Amazon czy Microsoft. Nie wspominam tu o Apple celowo – oni nie są członkiem tego programu, a więc przekazanie im swoich danych (np. podczas korzystania z ich usług chmurowych) nie korzysta z ochrony przewidzianej tym programem.
Jak do zarzutów dotyczących programu Privacy Shield odniosła się Komisja Europejska?
Na szczęście 19 grudnia 2018 r. Komisja Europejska opublikowała raport z przeglądu stosowania tarczy, w którym pozytywnie (generalnie) oceniła jego funkcjonowanie. To dobra wiadomość, zwłaszcza że wątpliwości, wynikające m.in. z afery Cambridge Analytica, której głównym elementem było zbieranie danych przez Facebook, było sporo.
Komisja Europejska doszła do następujących wniosków:
Amerykański departament handlu usprawnił proces certyfikowania podmiotów zainteresowanych przystąpieniem do programu.
Rząd USA przeprowadza wyrywkowe kontrole przedsiębiorstw, które przystąpiły do programu, pod kątem przestrzegania wynikających z niego zasad.
Wprowadzono procedury umożliwiające weryfikację, które podmioty powołują się na uczestnictwo w programie, pomimo tego iż nie spełniają zasad z niego wynikających.
Co wymaga jeszcze poprawy w programie Privacy Shield?
Przede wszystkim kwestie związane z możliwością składania skarg na działania uczestników programu, w sytuacji gdy naruszają oni prawa osób, których dane dotyczą. Skargi powinny być składane do niezależnego rzecznika (Ombudsmana), który jednakże jak dotąd nie został powołany przez rząd USA.
Podsumowując, decyzja Komisji jest dobrą wiadomością dla wszystkich tych, którzy korzystają (zwłaszcza jako przedsiębiorcy) z usług chmurowych świadczonych przez podmioty z USA albo z innych rozwiązań, które dopuszczają możliwość zapisywania danych na serwerach w USA.
Informacja o raporcie Komisji znajduje się tutaj.
