Komisja Europejska przyjęła we wtorek decyzję wdrażającą porozumienie Unii Europejskiej z USA ws. przekazywania danych osobowych Europejczyków za Atlantyk. Privacy Shield zastąpi umowę Safe Harbor, unieważnioną w zeszłym roku przez Trybunał Sprawiedliwości UE.
„Negocjacje między UE a Stanami Zjednoczonymi trwały ponad dwa lata. Dzisiaj Komisja (Europejska) zdecydowała się przyjąć nowe przepisy. Privacy Shield to skuteczna ochrona danych unijnych obywateli i gwarancja prawna dla firm, dla których dostęp do danych europejskich użytkowników jest sprawą kluczową” – zapewniła unijna komisarz ds. sprawiedliwości Vera Jourova na konferencji prasowej w Brukseli.
Według Jourovej nowe zasady zapewnią „większe bezpieczeństwo transatlantyckiego przepływu danych, zabezpieczenia w razie nieautoryzowanego dostępu do danych oraz możliwość skargi w sytuacji niewłaściwego ich wykorzystania”.
„Udało nam się wspólnie wypracować umowę, która chroni interesy konsumentów, a jednocześnie wzmacnia współpracę transatlantycką” – dodała na wspólnej konferencji amerykańska minister handlu Penny Pritzker.
Privacy Shield zastępuje porozumienie Safe Harbor. To na jego podstawie od 2000 roku dane osobowe Europejczyków trafiały za ocean. Do czasu kiedy w 2013 r. Edward Snowden ujawnił, że amerykańska Agencja Bezpieczeństwa Narodowego (NSA) ma dostęp do danych klientów firm internetowych. Safe Harbor zostało też zaskarżone przed Trybunałem Sprawiedliwości UE przez austriackiego studenta Maxa Schremsa.
W październiku 2015 r. sąd podjął decyzję o unieważnieniu umowy. KE rozpoczęła w związku z tym negocjacje z USA w sprawie nowego porozumienia.
Nowe przepisy zobowiązują firmy, zajmujące się transferem danych, do zagwarantowania ochrony prywatności w trakcie ich przetwarzania. Nadzorować to będzie amerykańskie ministerstwo handlu, które odpowiedzialne będzie także za regularne aktualizowanie listy firm, biorących udział w programie oraz ich ocenę. Przedsiębiorcy, którzy nie wywiążą się z zobowiązań, spodziewać się mogą sankcji i usunięcia z listy.
Ponadto Amerykanie na piśmie zobowiązali się, że uzasadniony względami bezpieczeństwa dostęp władz i służb do danych obywateli UE będzie podlegał jasnym ograniczeniom oraz będzie poddany nadzorowi. Obywatele Wspólnoty, których prywatność zostanie naruszona, uzyskają kilka możliwości dochodzenia swoich praw w USA. Ich skargi będą musiały być rozpatrzone w określonym terminie przez firmy, których dotyczą. W przeciwnym razie składający skargi będą mogli liczyć na bezpłatną pomoc w ramach pozasądowego rozstrzygania sporów (Alternative Dispute Resolution, czyli ADR).
Europejscy inspektorzy ochrony danych będą mogli przekazywać skargi do ministerstwa handlu USA oraz Federalnej Komisji Handlu. Ponadto nowością jest wprowadzenie urzędu rzecznika (ombudsmana), który ustanowić mają Amerykanie. Rolą rzecznika będzie zajmowanie się skargami dotyczącymi dostępu do danych przez służby wywiadowcze. KE i amerykański resort handlu mają raz na rok wspólnie oceniać funkcjonowanie nowych zasad transferu danych.
Zdaniem przeciwników Privacy Shield nowe regulacje niewiele różnią się od poprzednich.
„To fikcja, która nie ułatwi życia ani konsumentom, ani przedsiębiorcom. Wbrew obietnicom nic się nie zmieni i dane Europejczyków nadal będą masowo przekazywane za Atlantyk. Nie wierzę w realną skuteczność działań rzecznika i efektywność systemu umożliwiającego dochodzenie praw. Trybunał Sprawiedliwości, unieważniając Safe Harbor, wyraził się bardzo wyraźnie, że przyszłe porozumienia muszą zapewnić poziom ochrony europejskich danych równy temu jaki obowiązuje w UE. Tymczasem Privacy Shield to jedynie retusz poprzedniej umowy. Zostaje nam chyba tylko czekać aż Trybunał Sprawiedliwości unieważni i to porozumienie” – powiedział PAP Joe McNamee, szef stowarzyszenia EDRi (European Digital Rights).
Podobną opinię wyraził niemiecki europoseł Jan Philipp Albrecht z grupy Zielonych.
„Privacy Shield nie rozwiewa obaw wyrażonych przez Trybunał Sprawiedliwości w odniesieniu do Safe Harbor. Prawa indywidualnych obywateli wciąż są zbyt słabe, podobnie jak środki kontroli nad transferem i przetwarzaniem danych. Komisja nie powinna bezrefleksyjnie przyjmować zapewnień Amerykanów, ale naciskać na większe usprawnienie systemu ochrony danych” – powiedział PAP niemiecki europoseł.
Albrecht przypomniał też, że w maju 2018 r. wejdzie w życie unijne rozporządzenie o ochronie danych, regulujące prawa obywateli i obowiązki firm przetwarzających dane, i wówczas Komisja będzie musiała „zrewidować zapisy Privacy Shield, żeby pokrywały się one z unijną dyrektywą”.
Decyzja Komisji w sprawie Privacy Shield została we wtorek przekazana państwom członkowskim, a nowe regulacje zaczęły obowiązywać w trybie natychmiastowym. Przepisy zostaną opublikowane w amerykańskim rejestrze federalnym, który jest odpowiednikiem europejskiego dziennika urzędowego.
Od 1 sierpnia tego roku ministerstwo handlu w USA zacznie wydawać certyfikaty firmom, zajmującym się transferem danych. W tym samym czasie Komisja opublikuje krótki przewodnik dla obywateli UE, wyjaśniający, jak powinni postępować w sytuacji, kiedy uznają, że ich dane zostały niewłaściwie wykorzystane.
Z Brukseli Jowita Kiwnik Pargana (PAP)
