CRN „No to TSUE dał (prawniczego) czadu. Dużo do przemyślenia. Privacy Shield is dead” – tak skomentował Pan wyrok w sprawie Schrems II. Pojawiły się też głosy o delegalizacji chmury czy też zakazie używania Google Analytics… Sprawa wydaje się więc poważna, ale nie wiemy, jak bardzo. A zatem?

Marcin Maruta  Bardzo. Zacznijmy od tego, że jakikolwiek transfer danych osobowych poza Europejski Obszar Gospodarczy wymaga podstawy prawnej. W relacjach między Unią a USA jedną z pierwszych i najważniejszych podstaw był program Safe Harbour. Jednak wyrok TSUE z 2015 roku w sprawie Schrems I zakwestionował jego sens. I trudno się dziwić, bo liberalne prawo amerykańskie dotyczące ochrony danych nijak się ma do europejskiego, które jest bardziej restrykcyjne i ideologicznie inaczej skonstruowane. Założenia programu nie miały więc odzwierciedlenia w rzeczywistości, poza tym, że firmy działające po obu stronach Atlantyku zabezpieczały się klauzulą, w której powoływały się na Safe Harbour. W ten sposób miały poczucie, że działają zgodnie z prawem. Safe Harbour został zastąpiony Privacy Shield, co z kolei zostało unieważnione najnowszym wyrokiem, a więc Schrems II. Szczerze mówiąc, to nie było wielkie zaskoczenie dla prawników, którzy zajmują się ochroną danych osobowych. Można się było tego spodziewać z tych samych powodów, co w przypadku Safe Harbour.

Dotychczasowe umowy, w których powoływano się na Privacy Shield, są więc już nieważne?

Kilka słów, aby uporządkować obraz sytuacji. Jak wspomniałem, do transferu danych potrzebujemy podstawy prawnej. Jest ich kilka, od porozumień międzynarodowych w rodzaju Privacy Shield, po zgody osób fizycznych. Wyrok TSUE dotyczył dwóch podstaw, najczęściej stosowanych – Privacy Shield i tzw. standardowych klauzul umownych. Privacy Shield została unieważniona, więc ta podstawa znika. Jeżeli na niej opieraliśmy transfer, to musimy albo go zaprzestać, albo znaleźć inną podstawę. Standardowe klauzule umowne to wzorcowe umowy zawierane między przedsiębiorcami z Unii i spoza Unii, a właściwie Europejskiego Obszaru Gospodarczego. One, jako mechanizm, przetrwały, ale na podmioty, które dokonują transferu danych nałożono obowiązek badania, czy kraj, do którego dane są przekazywane, zapewnia odpowiednią ochronę. I tu wpadamy w pułapkę, ponieważ Trybunał stwierdził, że w USA takiej ochrony nie ma, więc stosowanie klauzul na potrzeby transferu do tego kraju jest co najmniej wątpliwe.

Niemniej wyrok dotyczy wszystkich krajów?

Wyrok w zakresie standardowych klauzul dotyczy całego świata, niemniej faktycznie kluczowy w tym kontekście jest transfer danych osobowych w obrocie ze Stanami Zjednoczonymi, bo to dostawcy amerykańscy zdominowali rynek IT, w tym sektor chmurowy. Wiele amerykańskich firm szukało przy tym podstawy prawnej do transferu danych swoich klientów z terenu UE na teren USA, i w tym celu korzystało z zapisów Privacy Shield. Chodzi przede wszystkim o usługodawców, którzy nie mieli rozbudowanych przedstawicielstw czy centrów danych w Europie. A teraz ich tutejsi klienci mają problem. Taki problem mają też podmioty transferujące dane w oparciu o klauzule, choć tutaj mogą wystąpić przypadki, kiedy transfer da się obronić. W przypadku Tarczy – nie ma już takiej możliwości. 

Z tego wynika, że potrzebna jest nowa umowa pomiędzy UE a USA. Czy jest na to szansa i kiedy może to nastąpić?

Już dwie umowy nie wytrzymały próby czasu, a szanse na stworzenie trzeciej uważam za nikłe, bo podejście do tematu danych osobowych w Europie, USA i Chinach bardzo się od siebie różni. Na tyle, że kompromis wydaje się niemożliwy. Zresztą Amerykanie mniej lub bardziej wyraźnie dają znać, że do GDPR w stopniu wymaganym przez Unię się nie dostosują.

Co na to wszystko europejskie urzędy ds. ochrony danych osobowych? Jakie są ich wytyczne dla firm?

Niemal wszystkie milczą, wyraźnie czekając na rozwój wydarzeń – zapewne pracują nad rozwiązaniami. Pojawiają się wypowiedzi dość stanowcze, jak berlińskiego urzędu ds. ochrony danych osobowych, który uznał, że w ogóle nie można teraz transferować danych do USA i nie powinny one przekraczać unijnych granic. To najostrzejsze, jak do tej pory, oficjalne stanowisko. Co ciekawe, na poziomie federalnym Niemiec, stanowisko było łagodniejsze, dane nadal mogą trafiać za Atlantyk, ale przy spełnieniu dodatkowych warunków… których jeszcze nikt nie zna. Nasz polski prezes UODO postąpił podobnie, czyli zakomunikował, że można to robić, ale zgodnie z nowym prawem, przy czym ocena zgodności należy do każdej firmy z osobna. Nie ma zero-jedynkowych wytycznych i zapewne nie będzie.

Od czego, w takim razie, powinno się zacząć?

Każda firma, która korzysta z usług chmurowych musi się teraz zastanowić, gdzie konkretnie przetwarzane w ten sposób dane lądują. Jeśli okaże się, dajmy na to, że gdzieś na amerykańskim serwerze w ramach usługi Azure, wówczas należałoby sprawdzić, czy można zmienić lokalizację przetwarzania danych na data center w Europie. W wielu przypadkach jest to możliwe, zwłaszcza u kluczowych graczy na rynku chmurowym. W tym kontekście bardzo dobrze brzmią zapowiedzi Google’a i Microsoftu dotyczące wielkich inwestycji w „polskie” centra danych. To w przyszłości może bardzo ułatwić sprawę. Warto przy tym zwrócić uwagę, że na ocenę sytuacji może wpłynąć fakt, jakie dane przekazujemy do chmury – bo jest różnica między danymi identyfikującymi wprost osobę, a tylko pozwalającymi pośrednio ją identyfikować (jak adres IP) – oraz jak je zabezpieczamy, czyli w grę wchodzi kryptografia i kontrola nad kluczami.

Czy przeniesienie danych do Europy niweluje zagrożenia prawne?

Nie zawsze. Żeby spać spokojnie należy uważnie przeczytać wszystkie umowy z zagranicznymi dostawcami usług. Nawet, jeśli trzymają nasze dane tylko w Unii Europejskiej. Może się bowiem okazać, że w umowie jest na przykład zapis, zgodnie z którym w razie awarii tutejszego centrum danych usługodawca może dane, wyjątkowo, przerzucić do USA. Jestem jednak przekonany, że najwięksi dostawcy dostosują się do unijnych wymagań prawnych.

A co z kwestią danych, które są przetwarzane w ramach Google Analytics? Czy  jest to teraz nielegalne, bo na  amerykańskich serwerach analizowane są informacje dotyczące Europejczyków?

To są dane, które nie identyfikują wprost konkretnych osób, więc czeka nas dyskusja pomiędzy prawnikami, jak w tym przypadku interpretować wyrok TSUE. Ale bez sprawdzenia, jakie konkretne dane i w jakim wolumenie są transferowane, trudno to orzec. W moim odczuciu powinniśmy zastanowić się nad istotą orzeczenia, a więc poufnością danych i analizować, czy potencjalny dostęp do takich danych przez służby kraju trzeciego może naruszyć czyjeś prawa.

Jak wygląda sytuacja prawna waszych klientów w świetle decyzji trybunału?

Analizujemy teraz uważnie poszczególne przypadki i już widzimy, że praktyczny wpływ wyroku będzie poważny. Część klientów będzie musiała zrezygnować z niektórych narzędzi, czekamy też na reakcję dostawców, którzy już zmieniają swoje polityki.

Czy należy spodziewać się wysypu kar nakładanych przez UODO?

To zależy od UODO, ale wątpię. Sam organ musi umieć ocenić, gdzie leży granica pomiędzy szarą a czarną strefą. Na pewno zaniechanie analizy swojej sytuacji i pozostawienie transferu na podstawie Tarczy będzie dość oczywistym naruszeniem prawa. Natomiast z klauzulami sprawa nie jest aż tak oczywista. W każdym razie jestem pewny, że wyrok TSUE będzie bardzo serio traktowany przez europejskich regulatorów, bo dotyczy ważnego, ideologicznego sporu pomiędzy UE a resztą świata.

Czy czeka nas zatem rewolucja na rynku dostawców usług chmurowych na rzecz europejskich firm?

Z dużymi dostawcami ze świata europejscy klienci nie powinni mieć problemów, bo – ufam – ci się do unijnych wymogów dostosują. Problem może wystąpić w przypadku średnich i małych usługodawców spoza Europy, którzy mogą uznać, że im się to nie opłaci, ze względu na małą skalę działania czy zbyt wysokie koszty. Ich klienci będą więc wybierali bezpieczną alternatywę. W tym kontekście ciekawa wydaje się ogólna polityka Unii, wzmacniającej własne kompetencje cyfrowe, w tym chmurowe. Przykładem jest inicjatywa Gaia-X, która ma na celu stworzenie europejskiej infrastruktury chmurowej i zmniejszenie zależności europejskich podmiotów od amerykańskich dostawców usług cloudowych. Stoją za tym głównie Niemcy i Francja, za to polskich firm w tym projekcie nie ma, choć powinny się tym zainteresować. Zwłaszcza że obecnie nie brakuje funduszy unijnych dotyczących cyfryzacji.

Przypomnijmy na koniec, jak ta sprawa znalazła się w TSUE i kim jest Schrems… 

Maximilian Schrems to najbardziej znany obecnie na świecie aktywista od danych osobowych, który najpierw doprowadził do zniesienia Safe Harbour, a teraz Privacy Shield. Wykazał, że obie te konstrukcje prawne były wadliwe, gdyż systemy prawne USA i UE są ze sobą niekompatybilne. W świecie aktywistów od prywatności jest postacią wręcz kultową. Nie wątpię, że w razie ewentualnej kolejnej umowy pomiędzy UE a USA znowu o nim usłyszymy.

Rozmawiał Tomasz Gołębiowski