O co chodzi z tym całym “transferem” danych z Unii Europejskiej do Stanów Zjednoczonych i dlaczego ci od RODO robią z tego takie wielkie “halo”?
Kilkukrotnie na blogu już wspominałem (np. w kontekście kary dla Mety), że transfer danych z Unii Europejskiej do Stanów Zjednoczonych jest… nie chcę powiedzieć zakazany, ale bardzo mocno utrudniony. Kwestia jest tylko taka, że ten transfer jest “utrudniony” w teorii, bo w praktyce dane sobie śmigają w jedną i w drugą stronę bez jakichkolwiek ograniczeń, a Google, Microsoft, Meta, Tiktok, Paypal, Amazon i tacy tam inni duzi gracze, za bardzo się tym nie przejmują.
Ten wpis, będzie pierwszym z cyklu jak to jest, że “najbardziej demokratyczne państwo na świecie” nie zapewnia swoim obywatelom (ale nie tylko im) prawa do prywatności i ochrony danych.
Co nam szepcze RODO?
Żeby jednak w ogóle rozpocząć całą tę dyskusję na temat prywatności w UE/USA i masowej inwigilacji (uuuu, teorie spiskowe i konspiracje!), potrzebne jest małe wprowadzenie do europejskiej regulacji ochrony danych, czyli legendarnego już RODO.
RODO mówi tak (w bardzo, BARDZO uproszczony sposób):
❗Pierwsze primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek, to masz to robić zgodnie z prawem.
❗Drugie primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek to te dane mają być bezpieczne (zarówno pod kątem technicznym, jak i organizacyjnym).
❗Trzecie primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek, a do tego chcesz je wysyłać (dane, nie Europejki) poza Europejski Obszar Gospodarczy (innymi słowy UE + Islandia + Norwegia + Liechtenstein) to musisz mieć pewność, że przepisy tego kraju są co najmniej takie same jak przepisy RODO. Jeśli ten kraj nie daje odpowiedniego stopnia ochrony danych to nie możesz ich wysyłać do tego kraju.
Dodatkowo, żeby ułatwić sprawę administratorom, to może wydać specjalne decyzje, które mówią “ten kraj zapewnia odpowiedni poziom ochrony, więc administratorze o to się nie martw”. I tak jest np. ze Szwajcarią czy z Japonią.
Tak też było ze Stanami Zjednoczonymi, chociaż związek UE i USA można określić jako „to skomplikowane”.
Historię czas zacząć…
Ok, skoro już wiemy “co i jak” to teraz czas na telegraficzny skrót ostatnich 20 lat. Spokojnie, spokojnie. Ten skrót to “tylko” kwestie związane z ochroną danych w UE i USA.
Spójrzmy na tę oś czasu:
Kolorek zielony to okres stosowania Bezpiecznej Przystani (2000-2015), kolorek pomarańczowy to okres stosowania Tarczy Prywatności (2016-2020), a czerwony to okres od uchylenia Tarczy do dziś.
Teraz możecie zapytać:
- o co chodzi z tymi poszczególnymi kamieniami milowymi?
- Czym jest Bezpieczna Przystań, czym jest Tarcza?
- Kim jest Snowden, kim jest Schrems?
Ok, po kolei.
Przystanek pierwszy – Safe Harbor
Statki w porcie są bezpieczne, co w takim razie z administratorami danych osobowych pod rządami Bezpiecznej Przystani? 🤔
Bezpieczna Przystań – decyzja Komisji Europejskiej określająca zasady przekazywania danych osobowych do USA. W skrócie polegało to na tym, że jeśli jakiś podmiot mający siedzibę w USA mógł się wpisać na specjalną listę prowadzoną przez Federalną Komisję Handlu (organ w USA) i stwierdzał “jeśli przekażesz mi podmiocie z Unii Europejskiej jakieś dane, to ja potwierdzam, że są one bezpieczne”. Innymi słowy, spółki z USA same określały (oczywiście w oparciu o Bezpieczną Przystań), że przetwarzają dane zgodnie z prawem i wszystko jest “w pytkę”.
Przystanek drugi – “coming-out” Snowdena
W tzw. międzyczasie, przychodzi rok 2013 i zaczyna się dziać ciekawie. W sieci (m.in. w the Guardian czy Washington Post) pojawiają się informacje, że organy USA gromadzą dane osobowe praktycznie wszystkich ludzi na świecie (tzw. masowa inwigilacja) i to w sposób niemal nieograniczony. A skąd oni mają te dane? Ano od Edwarda Snowdena. Kto to?
Edward Snowden, pracował w CIA, ale w pewnym momencie coś go ruszyło i postanowił “zostać sygnalistą”, czyli kimś kto zawiadamia o nieprawidłowościach.
I tak,jako sygnalista ujawnił dziennikarzom m.in., że:
- operatorzy telekomunikacyjni są zobowiązani codziennie przekazywać do Agencji Bezpieczeństwa Narodowego (NSA) Stanów Zjednoczonych wszystkie metadane rozmów krajowych i międzynarodowych;
- w Stanach Zjednoczonych istnieje program PRISM, który umożliwia NSA niemal nieograniczony dostęp do wszystkich danych przekazywanych za pośrednictwem telefonu czy internetu (do programu miały należeć m.in. Microsoft, Google, Facebook, Apple, Yahoo.
[Fun fact] Po całej tej akcji Snowden stał się oczywiście jednym z najbardziej poszukiwanych ludzi na całym świecie. I znalazł schronienie w… Rosji. Co jeszcze “zabawniejsze” w grudniu 2022 (czyli już po inwazji Rosji na Ukrainę), Snowden otrzymał rosyjskie obywatelstwo.
Przystanek trzeci – narodziny austriackiego… prawnika
Ta sytuacja była jedną z przyczyn, które wzbudziły zainteresowanie pewnego austriackiego prawnika, niejakiego Maxa Schrems’a. W tym samym roku, w którym Snowden ujawnił dokumenty, Schrems złożył skargę do Irlandzkiego organu ochrony danych (Data Protection Commissioner) zwracając uwagę, że przetwarzanie danych osobowych przez Metę (wcześniej Facebook) jest niezgodne z przepisami, bo umożliwia wgląd do jego danych amerykańskim służbom (tematowi amerykańskiego prawa będzie poświęcona kolejna część).
Jakiś czas później, wskutek całego szumu spowodowanego m.in. ujawnieniem programu masowej inwigilacji przez Snowdena oraz skargą Maxa Schremsa, decyzja ws. Bezpiecznej Przystani została uchylona (rok 2015).
Przystanek czwarty – z tarczą, na tarczy, ale w sumie bez Tarczy (Prywatności)
Ze względu na konieczność zachowania pewnego statusu quo, w 2016 r. wchodzi w życie kolejna decyzja KE, która miała “naprawić” błędy poprzedniczki i uwzględnić kwestie ujawnione przez Snowdena. A nazywało się to ustrojstwo Tarczą Prywatności. Zgodnie z tą decyzją, transfer do Stanów Zjednoczonych jest zgodny z prawem (są oczywiście określone warunki jakie muszą zostać spełnione, ale zasadniczo to był “po prostu papier”).
I tak sobie działa ta tarcza, przychodzi rok 2018, rozpoczyna się stosowanie RODO i… Max Schrems cały czas walczy (postępowanie przed DPC, zainicjowane w 2013 r., jeszcze się nie skończyło).
I tak przychodzi rok 2020, wskutek skarg Maxa Schremsa Trybunał Sprawiedliwości Unii Europejskiej stwierdza NIEWAŻNOŚĆ decyzji ws. Tarczy Prywatności, wskazując m.in., że amerykańskie prawo NIE ZAPEWNIA odpowiednich gwarancji prywatności i ochrony danych Europejczykom i Europejkom. Co to oznacza? Ten wyrok to kolejny sygnał, że program masowej inwigilacji w USA ma się dobrze.
Przystanek piąty – quo vadis
W 2023 r., po 10 latach walki, skarga Maxa Schremsa zostaje rozpoznana. Wniosek? Transfer danych przez Metę do Stanów Zjednoczonych jest bez podstawy prawnej (więcej na ten temat możesz przeczytać w tym news’ie).
Koniec wersji historycznej i jednocześnie koniec części pierwszej cyklu o tym, jak to najbardziej demokratyczne państwo nie zapewnia obywatelom (ale nie tylko) prawa do prywatności i ochrony danych.
That’s all for today folks! Do zobaczenia (przeczytania) w kolejnym wpisie!🙂