Komisja Europejska przyjęła wczoraj Privacy Shield („tarcza prywatności”), porozumienie z USA, ułatwiające amerykańskim firmom przekazywanie danych obywateli UE za Atlantyk. Zastępuje ono program „Safe Harbour”, który w październiku 2015 r. obalił Trybunał Sprawiedliwości UE (sygn. akt C-362/14).
Nowa decyzja, która już weszła w życie, oparta jest na podobnych mechanizmach i założeniach, co jej poprzednik: przedsiębiorstwa amerykańskie, które chcą bez przeszkód transferować dane Europejczyków do USA, nadal będą składać oświadczenia w Departamencie Handlu USA, w których będą stwierdzać, że zapewniają taki sam poziom ochrony co podmioty europejskie. Różnica polega jednak na tym, że władze federalne będą teraz musiały regularnie monitorować, czy firmy rzeczywiście przestrzegają unijnych zasad. A KE i Departament Handlu USA będą co roku przeprowadzać wspólny przegląd funkcjonowania programu.
– Program Privacy Shield nie wprowadza nadzwyczajnych i rewolucyjnych zmian w zakresie transferu oraz ochrony danych osobowych obywateli UE. Niestety w pewnym sensie jest on kalką swojego poprzednika – uważa Patryk Dykas, prawnik w kancelarii Leśnodorski Ślusarek i Wspólnicy, specjalista od prawa nowych technologii.
Spore kontrowersje nadal budzi kwestia gromadzenia przez amerykańskie służby danych obywateli UE. Wprawdzie w nowym porozumieniu rząd amerykański dał zapewnienie, że dostęp agencji wywiadowczych do danych Europejczyków będzie podlegał „zabezpieczeniom i mechanizmom nadzoru”, oraz wyraźnie wykluczył ich masową inwigilację, jednak zdaniem ekspertów nie jest to wystarczające rozwiązanie. – Dopuszczalność przetwarzania danych osobowych obywateli UE w przypadkach związanych z zagrożeniem bezpieczeństwa państwowego czy ze względu na interes publiczny nadal daje duże pole do nadużyć ze strony amerykańskich organów państwowych – podkreśla Dykas.
Privacy Shield formalnie realizuje główne wytyczne wyroku TSUE dotyczące umożliwienia obywatelom UE składania skarg na naruszenie ich prywatności na terenie Stanów Zjednoczonych – zarówno przez organy publiczne, jak i przedsiębiorstwa. Warunkiem przyjęcia porozumienia było przede wszystkim uchwalenie przez Kongres ustawy pozwalającej Europejczykom na wnoszenie pozwów w amerykańskich sądach w sprawie niewłaściwego wykorzystania ich danych (ustawa została podpisana przez prezydenta Baracka Obamę 24 lutego). – Pytanie tylko, ile znajdzie się osób na tyle zdeterminowanych, żeby podjąć odpowiednie kroki. Nie mówiąc już o tym, że koszty wniesienia takiej sprawy w USA i wynajęcia miejscowego prawnika będą działały odstraszająco – zauważa radca prawny Agnieszka Grzesiek-Kasperczyk z kancelarii MyLo.
W ramach Departamentu Stanu USA powstanie też instytucja rzecznika (Ombudsperson), do którego obywatele Unii będą mogli się odwołać, jeśli uznają, że ich prywatność została naruszona przez amerykańskie organy publiczne. – Obawę budzi jednak brak wystarczającej gwarancji niezależności rzecznika, a też fakt, że nie wyposażono go w odpowiednie uprawnienia pozwalające na skuteczne wykonywanie i egzekwowanie obowiązków z zakresu ochrony danych – twierdzi Patryk Dykas.
Podczas gdy eksperci zapewniają, że skuteczność nowego porozumienia z USA będzie można ocenić dopiero po jakimś czasie, Max Schrems, austriacki prawnik i aktywista, którego skarga doprowadziła do unieważnienia Safe Harbour, już ostrzegł, że długo się ono nie utrzyma. Jego zdaniem Privacy Shield to niewielki krok naprzód w porównaniu do jego poprzednika i należy się spodziewać, że także zostanie on obalony przez TSUE.
