Chodzi o Tarczę prywatności (Privacy Shield), czyli porozumienie Unii Europejskiej z USA, dzięki któremu wszelkie informacje o Europejczykach mogą bez przeszkód płynąć na serwery znajdujące się po drugiej stronie oceanu. Stanowi ono zatem biznesową i prawną rację bytu na rynku unijnym wielu amerykańskich gigantów technologicznych, takich jak Google, Facebook czy Twitter. Tarcza prywatności, która formalnie wystartowała w sierpniu ubiegłego roku, zastąpiła program Bezpieczna przystań (Safe Harbour) obalony wyrokiem Trybunału Sprawiedliwości UE z 2015 r. Dwa lata po ujawnieniu przez Edwarda Snowdena tajnego programu inwigilacji unijny sąd doszedł do wniosku, że skoro amerykańskie służby mają nieograniczony dostęp do prywatnych danych użytkowników serwisów społecznościowych – w tym tych z Europy – to trudno mówić o jakimkolwiek standardzie ochrony.

Rzecz w tym, że Tarcza prywatności oparta jest na podobnych mechanizmach i założeniach, co jej poprzednik. Przede wszystkim firmy amerykańskie, które chcą łatwo transferować dane Europejczyków do USA, nadal muszą składać oświadczenia w Departamencie Handlu stwierdzające, że zapewniają taki sam poziom ochrony co podmioty unijne (tzw. samocertyfikacja). Różnica polega na tym, że władze federalne muszą teraz regularnie monitorować, czy ich firmy rzeczywiście przestrzegają europejskiego prawa. Mimo to Komisja Europejska, która wczoraj przedstawiła pierwsze sprawozdanie z funkcjonowania nowego programu, jest zadowolona z efektów. Z jej raportu wynika, że amerykańskie władze wprowadziły procedury zapewniające sprawną samocertyfikację oraz ułatwienia dla dochodzenia roszczeń przez obywateli Unii. Ustanowiono np. mechanizmy rozpatrywania skarg na nieprawidłowości (można je przesłać m.in. zainteresowanemu przedsiębiorstwu przez krajowy urząd ochrony danych osobowych). Choć KE przyznaje jednocześnie, że jest pewne pole do poprawy.

Szeroki transfer za Atlantyk

Szeroki transfer za Atlantyk

źródło: Dziennik Gazeta Prawna

Eksperci mają wątpliwości, czy optymizm Brukseli jest usprawiedliwiony. – Moim zdaniem jest mocno na wyrost. Safe Harbour został zakwestionowany przez TSUE z powodu trzech fundamentalnych zarzutów: braku kontroli nad tym, co robią amerykańskie służby z danymi Europejczyków; oparcia programu na zasadzie samocertyfikacji bez wymogu przeprowadzania audytu przez amerykańskie organy oraz braku mechanizmu ochrony prawnej dla obywateli UE. Zarzuty te wydają się aktualne w odniesieniu do Privacy Shield – uważa dr Paweł Litwiński, specjalista od prawa ochrony danych osobowych. Niespełnionych obietnic pozostało sporo. Wciąż nie powołano w USA rzecznika (ombudsperson), do którego obywatele UE mogliby się odwołać, jeśli uznają, że ochrona ich danych została naruszona przez amerykańskie organy władzy publicznej. Upłynęło też zbyt mało czasu, aby sprawy związane z prywatnością Europejczyków wpłynęły do sądów. Amerykański Departament Handlu nie monitoruje zaś regularnie, czy tamtejsze przedsiębiorstwa rzeczywiście zapewniają odpowiedni standard ochrony danych. – A co najważniejsze, mimo deklaracji Amerykanów, że ich służby nie będą pozyskiwać danych osobowych Europejczyków, programy masowej inwigilacji wydają się nadal funkcjonować. My nie mamy na to żadnego wpływu – podkreśla dr Litwiński. Privacy Shield opiera się pod tym względem wyłącznie na jednostronnym oświadczeniu rządu federalnego, że dostęp agencji wywiadowczych do informacji o Europejczykach podlega „zabezpieczeniom i mechanizmom nadzoru”.

Choć KE jest zdeterminowana, aby program transatlantyckiego transferu danych przetrwał, to nie można wykluczyć, że i tak podzieli on losy swojego poprzednika. Do trybunału w Luksemburgu rok temu zaskarżyła go organizacja Digital Rights Ireland. Jeśli TSUE unieważni także Privacy Shield, to działalność amerykańskich firm technologicznych na rynku europejskim trzeba będzie zalegalizować na nowo. – Spodziewaliśmy się, że prędzej czy później Privacy Shield trafi do trybunału w Luksemburgu. Myślę jednak, że gwarantuje ono na tyle wysoki standard ochrony, że się obroni – przekonywał kilka miesięcy temu na spotkaniu w Warszawie Richard Allan, jeden z wiceprezesów Facebooka. A nawet jeśli tak się nie stanie, to według ekspertów komplikacje prawne i tak ustąpią racjom biznesowym.