Trudnych relacji RODO z USA ciąg dalszy

3 minuty

Kiedyś zdarzyło mi się popełnić pierwszy wpis o tym dlaczego przesyłanie danych z Unii Europejskiej do Stanów Zjednoczonych jest problematyczny na gruncie RODO. Ten artykuł jest jego uzupełnieniem. Nie jest kolejną „oficjalną” częścią, którą tam zapowiadałem, ale bezpośrednio do niego nawiązuje.


No i stało się. Mamy to.

Komisja Europejska wydała nową decyzję o adekwatności (inaczej: decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych), to taki instrument z RODO, dzięki któremu KE może stwierdzić, że państwo X zapewnia podobny poziom ochrony danych, jaki wynika z RODO. I teraz, po 3 latach od uchylenia Tarczy Prywatności taka decyzja (znowu) została wydana wobec USA. Nazywa się to mniej lub bardziej oficjalnie – Ramy ochrony danych UE-USA, po ang. EU-USA Data Privacy Framework (DPF). Co to oznacza? A to, że transfer danych do USA z UE jest już PODOBNO możliwy, ale tylko po spełnieniu określonych przesłanek. Jakie to przesłanki?

✅ Pierwsze primo: pozwolenie na transfer nie jest dla każdego administratora, a tylko dla tych, którzy zostaną wpisani na odpowiednią listę przez Departament Handlu USA (DoC).

✅ Drugie primo: aby dostać pozwolenie konieczne jest spełnienie określonych przesłanek wynikających z RODO, jak np. dysponowanie podstawą do przetwarzania danych, retencja danych, minimalizacja danych, zabezpieczenie danych.

✅ Trzecie primo: „na straży” danych mają stać:

  • po stronie USA tzw. urzędnik ds. ochrony swobód obywatelskich (CLPO) i „sąd” (który sądem jest tylko z nazwy),
  • po stronie UE organy nadzorcze państw członkowskich.

Jak to ma działać w praktyce?

Federalna Komisja Handlu (FTC) oraz Departament Handlu mają okresowo monitorować podmioty wpisane na listę DPF. Jeżeli ktoś z Europy będzie miał wątpliwości czy przypdakiem nie jest inwigilowany lub jego dane nie są przetwarzane przez organy USA (np. Agencję Bezpieczeństwa Narodowego – NSA, czy Agencję Wywiadu – CIA), będzie mógł napisać skargę do organu nadzorczego – czyli w Polsce PUODO (xD ← tak to skomentuję) – a ten będzie w jego imieniu kontaktował się z odpowiednimi organami w stanach (FTC, DoC, CLPO), a na samym końcu „sąd” będzie badał sprawę i wyda wyrok (xDD ← tak to skomentuję ponownie). Innymi słowy, taki ktoś z Europy NIGDY nie będzie miał do czynienia z tymi organami, a co za tym idzie, nie będzie mógł dochodzić swoich praw bezpośrednio.

Dlaczego mój komentarz jest cyniczny? Dlatego, że każdy wyrok ma brzmieć w ten sposób:

Nie potwierdzając ani nie zaprzeczając, że skarżący podlegał działaniom wywiadu sygnałowego Stanów Zjednoczonych, przegląd albo nie zidentyfikował żadnych objętych nim naruszeń, albo Sąd Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych.

I cyk, sprawa załatwiona (można wracać do CS’a).


Ehhh… Czy coś się zatem zmieniło w prawodawstwie USA?

Nie.

A może ten akt jest inny niż Tarcza Prywatności?

Też nie, ale na czerwono.

Może zatem FISA 702 już nie będzie obowiązywać?!

Otóż – również nie. FISA jest i ma się dobrze.

Noyb i Max Schrems już stwierdzili, że miło będzie się spotkać z Komisją Europejską po raz trzeci w Trybunale Sprawiedliwości Unii Europejskiej żeby uchylić, tym razem DPF.

Innymi słowy, pomimo tego porozumienia pomiędzy KE a USA, przepisy Stanów Zjednoczonych (takie jak wspomniana FISA, czy Dekret Wykonawczy 14086) nadal stoją nad zasadami ochrony danych osobowych Europejczyków i Europejek.

Na zakończenie tego wszystkiego, zrobiłem mema – it ain’t much, but it’s an honest work:

Meta z historyczną karą – 1.200.000.000 euro – za transfer danych do USA!

3 minuty

Mamy nowy rekord! Meta Ireland oberwała największą dotychczas karą za naruszenie RODO. Irlandzki organ ochrony danych (DPC) w końcu wydał decyzję i W KOŃCU (nie z własnej woli, ale o tym później) nałożył na firmę Marc’a Zuckerberg’a administracyjną karę pieniężną w wysokości 1.200.000.000 Euro. Najlepsze w tym wszystkim, że to nie wszystko, to tylko 1 z 3 obowiązków wskazanych w decyzji. Pozostałe dwa obowiązki to:

  • zawieszenie przyszłego transferu (z UE do Stanów Zjednoczonych) danych użytkowników przebywających w UE w terminie 5 miesięcy;
  • zapewnienie zgodnego z prawem przetwarzania danych, w szczególności poprzez zaprzestanie niezgodnego z prawem przetwarzania i przechowywania danych w Stanach Zjednoczonych, w terminie 6 miesięcy.

Co to oznacza dla Mety? 

Innymi słowy Meta (Facebook, Instagram, WhatsApp) muszą zaprzestać przesyłania danych z Unii Europejskiej do Stanów Zjednoczonych oraz de facto zwrócić wszystkie dane, które już trafiły do USA, z powrotem do Unii Europejskiej. No i oczywiście dodatkowo zapłacić 1.200.000.000 Euro (o rany, podoba mi się to ile tam jest zer 🥰🥰🥰).

Byłoby idealnie, gdyby ta kara została wykonana, ale… Mam jednak poważne wątpliwości żeby tak się stało. Powodów jest wiele, a w skrócie chodzi o to, że to jest „dopiero” decyzja. Meta się może od niej odwołać, chociaż będzie jej ciężko zbić wszystkie argumenty, bo ta sprawa przeszła już dotychczas przez chyba wszystkie instancje. Ten case był już częściowo rozpatrywany przez irlandzki sąd najwyższy, przez Trybunał Sprawiedliwości Unii Europejskiej [uchylenie Bezpiecznej Przystani ⛵ i Tarczy Prywatności 🛡️], a także przez Europejską Radę Ochrony Danych [to ona powiedziała DPC, że MUSI nałożyć karę]. Znając Metę, będą się bronić nogami i rękoma, więc to dopiero początek (mam nadzieję, że początek końca).

Co to oznacza dla prywatności w ogóle? 

To jest ogromny krok w kierunku zabezpieczenia danych nas wszystkich. To znak dla innych podmiotów (Google, Microsoft, TikTok i inni, którzy wysyłają dane do USA), że Europa zaczyna stawiać na swoim pod kątem prywatności. Niestety… problem jest mega szeroki i nie da się tego sprowadzić do prostego stwierdzenia „wystarczy żeby dane Europejczyków i Europejek były przetwarzane w UE”. Ale o tym… już niedługo. 😋

Na zakończenie (niestety) czas na łyżkę dziegciu. Od dawna powtarzam, że RODO jest dobrze napisanym aktem. To, co jest jednak problemem, to wykonywanie decyzji, które wydają organy ochrony danych. Administratorzy (szczególnie duzi gracze właśnie pokroju Mety) nauczyli się ignorować RODO (tutaj odsyłam do ostatniego news’a o Clearview AI) i wykorzystywać formalności do omijania przepisów. Ja wiem, to jest już klasyka gatunku jeśli chodzi o prawo (believe me I know… been there, done that…), ale po prostu mam wątpliwości. Przykładowo, Meta po nałożeniu tej kary prawie w ogóle nie odczuła tego na giełdzie (wartość akcji wahała się w granicach do 1% za akcję).

Znaczy, inaczej… 

Nie uważam, że jest źle z „tym RODEM”. Wręcz przeciwnie akurat RODO wywarło realny wpływ na sposób myślenia o przetwarzaniu danych. Bez RODO prawdopodobnie nie mielibyśmy takich dyskusji na poziomie globalnym dotyczących m.in. cookies’ów🍪, czy wpływu przetwarzania danych przez AI 🤖. I okay, ja zdaję sobie sprawę, że to proces, a co gorsza, proces międzynarodowy, co jeszcze bardziej spowalnia jego wdrażanie. Czego mi jednak brakuje, to realnej sprawczości organów ochrony danych i egzekwowalności ich decyzji.

Dla wytrwałych, na koniec ciekawy raport dotyczący właśnie pracy organów ochrony danych. A jeśli chcesz poczytać trochę i dowiedzieć się więcej o przesyłaniu danych z UE do USA, to ostatnio (tutaj) dodałem nowy wpis na ten temat.