Przejdź do głównych treściPrzejdź do wyszukiwarkiPrzejdź do głównego menu
Reklama
czwartek, 14 listopada 2024 22:03
Reklama KD Market

Przerdzewiała Tarcza Prywatności

Europejski Trybunał Sprawiedliwości 16 lipca unieważnił decyzję Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez „Tarczę Prywatności UE-USA”. Wydając wyrok w sprawie C-311/18 TSUE pośrednio uznał, że USA nie zapewnia europejskiego poziomu prywatności danych osobowych należących do obywateli Unii Europejskiej. Trybunał stwierdził, że nieważna jest decyzja Komisji Europejskiej w sprawie „Tarczy Prywatności” dlatego, że „przekazywanie danych osobowych użytkowników serwisów internetowych do państwa trzeciego jest dopuszczalne pod warunkiem, że rozwiązania prawne zapewniają rzeczywistą ochronę ich prywatności, także przed inwigilacją ze strony służb wywiadowczych Stanów Zjednoczonych”. [1] Do tej pory na podstawie decyzji KE z lipca 2016 r., możliwe było przetwarzanie danych należących do obywateli UE przez podmioty w Stanach Zjednoczonych objęte Tarczą Prywatności, na takich samych zasadach jak przez firmy znajdujące się na terenie UE. Wcześniej aspekty prawne przepływu danych określały regulacje „Safe Harbor”, których implementacja została uznana za nieważną 6 października 2015 r., kiedy to Trybunał Sprawiedliwości Unii Europejskiej po raz pierwszy przyjął stanowisko, że przepływ danych osobowych powinien być wstrzymany, ponieważ nie zbadano czy Stany Zjednoczone zapewniają adekwatny poziom ochrony dóbr osobistych, gwarantowanych w krajach europejskich przez Kartę Praw Podstawowych. Wyrok był argumentowany między innymi komunikatami KE, z których wynikało, że władze Stanów Zjednoczonych posiadając dostęp do danych osobowych obywateli państw Unii Europejskiej, wykorzystywały je w sposób wykraczający poza cele związane z zapewnieniem bezpieczeństwa narodowego. Mechanizmy „Safe Harbor” zostały unieważnione na skutek pozwu, jaki do Irlandzkiego sądu wniósł aktywista Max Schrems. Podnosił on, że Facebook nielegalnie transferuje jego dane osobowe do USA. Sprawa trafiła do TSUE, który przyznał mu rację. Zapisy „Safe Harbor” zostały więc unieważnione, co przyczyniło się do krótkotrwałego chaosu prawnego. Szybko przygotowano nowy akt prawny – obowiązującą od 2017 r. Tarczę Prywatności [2]. Max Schrems mając wypracowane już metody działania, po raz kolejny wniósł sprawę do sądu, tym razem kwestionując nowo wprowadzone regulacje. Warto podkreślić, że eksperci z dziedziny prywatności od początku istnienia Tarczy nazywali jej mechanizmy prowizorycznymi i dziurawymi. Mimo tego Tarcza Prywatności pozwalała międzynarodowym firmom działać na podstawie przyjętych w niej przepisów i umożliwiała transfer danych przez ocean, dając swoistą „pewność prawną”. Firmy funkcjonowały, a eksperci zgodnie powątpiewali czy przyjęte porozumienie w sposób wystarczający chroni prywatność Europejczyków. „Niestety to porozumienie nie pomaga nikomu, zarówno w prywatności jak i w biznesie. Musimy czekać zanim sąd znów orzeknie, że porozumienie jest nielegalne i wtedy może UE i USA będą mogły negocjować o wiarygodnym porozumieniu, które będzie właściwie przestrzegać prawa, wzbudzać zaufanie i chronić nasze prawa podstawowe” – mówił w lipcu 2016 r. Joe McNamee z organizacji European Digital Rights. Co prawda wyrok TSUE dotyczył sporu Schremsa z Facebookiem, jednak unieważnienie decyzji w sprawie Tarczy Prywatności dotyka wszystkich transoceanicznych biznesów. Tarcza wytrzymała cztery lata. Międzykontynentalny przepływ danych znów nie ma bezpiecznych podstaw prawnych, co po raz kolejny znacząco utrudnia prowadzenie biznesu wielu firmom, w szczególności tym operującym na rynku IT. Nie jest to oczywiście równoznaczne ze wstrzymaniem transferu danych z UE do USA. Dane mogą być nadal wysyłane, jeśli osoba, której dane dotyczą:
  • zostanie poinformowana o ryzyku, z którym może wiązać się przekazanie danych;
  • udzieli wyraźnej zgody na takie przekazanie.
Dane można też nadal transferować, jeśli ich przekazanie jest niezbędne do wykonania umowy bądź ustalenia lub zapewnienia ochrony roszczeń. Transfer po upadku Tarczy Prywatności wiąże się jednak z koniecznością wprowadzenia kolejnych formularzy i klauzuli informacyjnych, których wysyp zapewne pojawi się tak samo jak miało to miejsce tuż po odrzuceniu zapisów „Safe Harbor”. Upadek Tarczy otwiera drogę do przygotowania innych rozwiązań prawnych, takich które tym razem faktycznie zagwarantują bezpieczne przetwarzanie danych osobowych obywateli UE. Eksperci związani z organizacją Access Now (specjalizującą się w dziedzinie bezpieczeństwa i prywatności) sugerują, że UE powinna jak najszybciej przystąpić do negocjacji nowego rodzaju aktu prawnego [3], który wymuszałby na USA:
  • przyjęcie kompleksowych ram ochrony prywatności i danych, które stawiają użytkowników w centrum i zapewniają znaczące możliwości dochodzenia roszczeń i kontroli nad swoimi danymi;
  • przyznanie obywatelom UE większego prawa do dochodzenia roszczeń w przypadku naruszenia praw z powodu niezgodnego z prawem przetwarzania danych w Stanach Zjednoczonych;
  • reformę praktyki nadzoru i podjęcie działań w celu ochrony praw człowieka wszystkich ludzi, bez względu na to, skąd pochodzą.
  [1] https://www.huntonprivacyblog.com/2020/07/16/breaking-unexpected-outcome-of-schrems-ii-case-cjeu-invalidates-eu-u-s-privacy-shield-framework-but-standard-contractual-clauses-remain-valid/  [2] https://www.ftc.gov/tips-advice/business-center/privacy-and-security/privacy-shield [3] https://www.accessnow.org/in-a-victory-for-privacy-the-eu-court-of-justice-bins-eu-us-privacy-shield/ Wiktor Sędkowski ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
The Warsaw Institute Foundation to pierwszy polski geopolityczny think tank w Stanach Zjednoczonych. Strategicznym celem tej organizacji jest wzmocnienie polskich interesów w USA przy jednoczesnym wspieraniu unikalnego sojuszu między dwoma narodami. Jej działalność koncentruje się na takich zagadnieniach jak geopolityka, porządek międzynarodowy, polityka historyczna, energetyka i bezpieczeństwo militarne. The Warsaw Institute Foundation została założona w 2018 roku i jest niezależną organizacją non-profit, inspirowaną bliźniaczą organizacją działającą w Polsce – Warsaw Institute. The Warsaw Institute Foundation is Poland's first geopolitical think tank in the United States. The strategic goal of this organisation is to bolster Polish interests in the U.S. while supporting the unique alliance between the two nations. Its activity focuses on such issues as geopolitics, international order, historical policy, energy, and military security. Established in 2018, The Warsaw Institute Foundation is an independent, non-profit organization inspired the twin Poland-based Warsaw Institute.
 

The Rusty Privacy Shield

On July 16, the Court of Justice of the European Union (CJEU) invalidated the European Commission's (EC) decision on the adequacy of protection provided by the EU-US Privacy Shield. In its judgment in case C-311/18, the CJEU indirectly concluded that the US does not ensure a European level of privacy of personal data, belonging to European Union citizens. The Court stated that the European Commission's decision on the Privacy Shield is invalid because “the transfer of personal data of website users to a third country is permissible provided that the legal arrangements ensure that their privacy is effectively protected, including against surveillance by the US intelligence services.” [1] Until now, on the basis of the EC’s decision of July 2016, it was possible to process data belonging to EU citizens by entities in the United States included in the Privacy Shield under the same conditions as the companies located in the EU. Previously, the legal aspects of data flow were determined by the Safe Harbor regulations, the implementation of which was declared invalid on October 6, 2015, when the CJEU for the first time took the position that the flow of personal data should be stopped, because it was not examined whether the United States provides an adequate level of protection of personal rights, guaranteed in European countries by the EU Charter of Fundamental Rights. The judgment was argued, among others, by the EC announcements, which showed that the US authorities, having access to the personal data of citizens of the EU countries, used it in a way that extended beyond the purposes of ensuring national security. The Safe Harbor mechanisms were invalidated as a result of a lawsuit brought to the Irish court by the activist Max Schrems. He argued that Facebook was illegally transferring his personal data to the US. The case was brought to the CJEU, which admitted he was right. The Safe Harbor regulations were therefore invalidated, which contributed to short-term legal chaos. A new legal act – the Privacy Shield, was quickly prepared and became effective as of 2017 [2]. Max Schrems, having already worked out the methods of action, once again brought the case to court, this time challenging the newly introduced regulations. It is worth emphasizing that experts in the field of privacy have regarded the mechanisms of the Privacy Shield as provisional and full of loopholes since the very beginning of its existence. Despite this, the Privacy Shield allowed international companies to operate on the basis of its regulations and enabled data transfer across the ocean, providing a kind of “legal certainty.” The companies functioned whilst the experts were unanimously doubting whether the adopted agreement sufficiently protects the privacy of Europeans. “Sadly, for both privacy and for business, this agreement helps nobody at all. We now have to wait until the Court again rules that the deal is illegal and then, maybe, the EU and US can negotiate a credible arrangement that actually respects the law, engenders trust and protects our fundamental rights,” said Joe McNamee, Executive Director of European Digital Rights in July 2016. Although the CJEU judgment concerned the Schrems dispute with Facebook, the invalidation of the Privacy Shield decision affects all transoceanic businesses. The Shield lasted for four years. Once again, the intercontinental flow of data does not have a secure legal basis, which significantly impedes business conducted by many companies, especially those operating in the IT market. This, of course, does not mean that the transfer of data from the EU to the US is halted. Data could still be sent if the data subject: - is informed of the risks that data transfer may entail; - explicitly gives the consent to such transfer. Data may also continue to be transferred if the handover is necessary to perform a contract or to determine or ensure the protection of claims. However, the transfer after the fall of the Privacy Shield requires the introduction of further forms and information clauses, the avalanche of which is likely to occur as soon as the Safe Harbor provisions are rejected. The fall of the Privacy Shield opens the way for the preparation of other legal solutions, such as those which this time will actually guarantee safe processing of personal data of EU citizens. Experts associated with the Access Now organization (specializing in the area of security and privacy), suggest that the EU should, as soon as possible, negotiate a new type of legislation [3] that would force the US to: - the adoption of a comprehensive privacy and data protection framework that puts users at the center and provides significant opportunities for pursuing claims and having control over their data; - grant EU citizens a greater right of pursuing claims in case of rights violation due to unlawful data processing in the US; - reform surveillance practices and take action to protect the human rights of all people, regardless of where they come from. [1] https://www.huntonprivacyblog.com/2020/07/16/breaking-unexpected-outcome-of-schrems-ii-case-cjeu-invalidates-eu-u-s-privacy-shield-framework-but-standard-contractual-clauses-remain-valid/ [2] https://www.ftc.gov/tips-advice/business-center/privacy-and-security/privacy-shield [3] https://www.accessnow.org/in-a-victory-for-privacy-the-eu-court-of-justice-bins-eu-us-privacy-shield/ Wiktor Sędkowski graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
Wiktor-Sedkowski

Wiktor-Sedkowski

Więcej o autorze / autorach:
The Warsaw
Data dodania: 08/21/2020 04:14 PM
Wyświetleń: 239
Podziel się
Oceń
ReklamaDazzling Dentistry Inc; Małgorzata Radziszewski
Dziennik Związkowy
Reklama
Reklama
Reklama
Reklama