Trybunał Sprawiedliwości Unii Europejskiej orzekł we wtorek nieważność umowy Safe Harbor między UE i USA, która pozwalała na transfer danych europejskich internautów do USA. Powodem decyzji jest stwierdzenie niedostatecznego zabezpieczenia przed dostępem do nich tamtejszych służb. Nie tylko społecznościowy gigant znalazł się w opałach. Wyrok będzie miał poważne konsekwencje również dla Googla.
Aktualizacja 13:49
Umowa Safe Harbor, zawarta między Komisją Europejską a resortem handlu USA, umożliwia ponad 4 tys. amerykańskich firm na przetwarzanie danych handlowych i osobowych ich klientów w Europie. Safe Harbor jest porozumieniem, do którego amerykańskie firmy przystępują dobrowolnie, zobowiązując się do przestrzegania zasad postępowania z danymi. Ale Parlament Europejski, przekonuje, że ten kod postępowania nie jest do końca przestrzegany i należałoby go wzmocnić twardszymi regulacjami.
Co decyzja ETS może w praktyce oznaczać dla europejskich internautów?
- Bardzo trudno powiedzieć, ale ciągle jeszcze jestem w szoku - mówi dla money.pl adwokat Paweł Litwiński, ekspert KE do spraw ochrony danych osobowych. - O ile większość fachowców twierdziło, że organy UE powinny uważniej sprawdzać zabezpieczenia w USA, to jednak niewielu wierzyło, że ETS stwierdzi nieważność porozumienia Safe Harbor - dodaje.
W ocenie eksperta pokazuje to, że w Brukseli ogromnie wzrosła świadomość jeżeli chodzi o zagrożenia w związku z brakiem wystarczającej ochrony prywatności. Nie przewiduje jednak, że użytkownicy Facebooka, czy Google zauważa już dziś jakąś znaczącą różnice.
Jak przekonuje wyrok nie oznacza, że nagle zostaniemy odłączeni od wszystkich usług. To jest rewolucja jeśli chodzi o kierunek, ale konsekwencje zobaczymy za rok albo dwa kiedy wreszcie UE dogada się w sprawie rozporządzenia ogólnego o ochronie danych osobowych.
- Wreszcie instytucje odpowiadające w poszczególnych krajach za ochronę danych osobowych będą mogły karać za niedozwolony transfer danych. Obecnie główny spór dotyczy kwot, ale mówi się o potężnych sumach nawet na poziomie 3 proc. z globalnych przychodów poszczególnych grup - mówi Litwiński przypominając, że karanie Microsoftu przez KE wpłynęło na działania tej firmy na europejskim rynku.
Warto też wspomnieć, że za 2014 Facebook pochwalił się ponad 12 mld dol. przychodów i ewentualna kara rzeczywiście byłaby olbrzymia.
Amerykanie zaniepokojeni. Europosłowie chcą jeszcze więcej
"KE musi natychmiast zawiesić Safe Harbor i rozpocząć prace nad nowym, bezpiecznym programem, który zagwarantuje prawa i prywatność europejskich obywateli - oświadczył szef komisji PE ds. swobód obywatelskich Claude Moraes. Przypomniał, że w Parlamencie Europejskim wielokrotnie podkreślano, iż Safe Harbor nie gwarantuje odpowiedniej ochrony prywatności obywatelom UE, korzystających z usług amerykańskich firm.
Niemiecki europoseł Zielonych i sprawozdawca PE w sprawie ochrony danych osobowych Jan Philipp Albrecht podkreślił, że porozumienie Safe Harbor, zaakceptowane przez KE w 2000 r., "przez 15 lat umożliwiało takim firmom jak Facebook przekazywanie do USA danych osobowych Europejczykom na masową skalę".
"Dzisiejszy wyrok potwierdza, że te transfery danych były złamaniem fundamentalnego prawa do ochrony prywatności" - oświadczył Albrecht. Dodał, że zadaniem Komisji oraz irlandzkich władz, których dotyczyła sprawa rozpatrzona przez Trybunał, jest natychmiastowe powstrzymanie tego przepływu danych osobowych do USA.
Według Albrechta, przez półtora roku Komisja Europejska ignorowała apele eurodeputowanych o zawieszenie porozumienia Safe Harbor.
Przewodniczący największej frakcji w PE, centroprawicowej Europejskiej Partii Ludowej Manfred Weber ocenił, że wyrok Trybunału UE to "zwycięstwo praw obywatelskich". "Każdy, kto chce prowadzić działalność gospodarczą w Europie musi przestrzegać standardów w dziedzinie ochrony danych" - podkreślił Weber.
Zaniepokojenie wyrokiem Trybunału Sprawiedliwości wyraziła natomiast Amerykańska Izba Handlowa w UE (AmCham EU), która reprezentuje amerykańskie firmy działające na terenie Unii we wszystkich sektorach gospodarki. Jak oświadczyła, "swobodny przepływ danych ma ogromne znaczenie dla prowadzenia działalności w UE oraz wzrostu gospodarczego".
"Obawiamy się, że dzisiejsza decyzja Trybunału ograniczy swobodny przepływ danych przez Atlantyk, niekorzystnie wpłynie na ożywienie gospodarcze UE oraz budowę wspólnego rynku cyfrowego" - oświadczyła szefowa AmCham EU Susan Danger.
Zaczęło się od pozwu internauty
Początek całej sprawie dał Max Schrems, użytkownik Facebooka z Austrii. Po wybuchu afery PRISM z Edwardem Snowdenem w roli głównej, stwierdził, że nie godzi się na to, by dane dotyczące jego osoby trafiały na amerykańskie serwery, gdzie stały dostęp mają do nich służby specjalne USA.
Ze swoim sprzeciwem zwrócił się do irlandzkiego odpowiednika naszego Generalnego Inspektora Danych Osobowych. Lokalizacja nie została wybrana przypadkowo, bo tam właśnie swoją europejską centralę ma społecznościowy gigant. Skarga nie spotkała się jednak ze zrozumieniem i irlandzkie GIODO nie zajęło żadnego wiążącego stanowiska w tej sprawie. To nie złamało jednak zapału Schremsa, który tym razem skierował ją do Trybunału Sprawiedliwości Unii Europejskiej.
Jeszcze przed ogłoszeniem wyroku rzecznik generalny tej instytucji bardzo wyraźnie dawał do zrozumienia, że USA nie powinny mieć prawa do gromadzenia informacji na temat obywateli Unii Europejskiej. Co więcej, zwrócił uwagę, że europejskie służby powinny chronić dane swoich obywateli, a nie zezwalać na swobodny do nich dostęp CIA i innym służbom Stanów Zjednoczonych.
Wprawdzie jego stanowisko w tej sprawie nie było wiążące, ale podważyło wcześniejszą politykę Brukseli w tej sprawie. Przed kilkoma laty jeszcze przed ujawnieniem przez Edwarda Snowdena prawdy o działaniu amerykańskiego systemu powszechnej inwigilacji, Komisja Europejska uznała USA za bezpieczną przystań dla wszelkich informacji.
Ówczesna zgoda na wdrożenie programu Safe Harbour pozwalającego między innymi Facebookowi na transfer danych ze starego kontynentu za ocean już wtedy oburzała internetowych aktywistów. Uzbrojeni w liczne ekspertyzy zwracali uwagę na to, że amerykańskie prawo nie zapewnia odpowiedniej ochrony danych osobowych.
Oczywiście, przyjmując standardy myślenia o świecie jak o globalnej wiosce może wydawać się, że nie ma znaczenia gdzie dane są przechowywane. Przecież wszystko teraz można mieć w chmurze, a gdzie tak naprawdę ona jest? Któż to wie i kogo to obchodzi? Nic jednak bardziej mylnego. Lokalizacja serwera ma jednak znaczenie, jeżeli chodzi o kwestie prawne, a co się z tym wiąże standardy ochrony danych. Pod tym względem europejskie prawo jest zdecydowanie bardziej rygorystyczne niż w USA, gdzie niezliczone agencje niemalże na zawołanie mogą zajrzeć na każdy serwer.
Safe Harbor okazał się nie tak bezpieczny
Dzisiejsza decyzja zmienia sytuację. Trybunał wskazał, że Komisja Europejska, która zaaprobowała Safe Harbor w 2000 r., wychodziła z założenia, iż Stany Zjednoczone gwarantują właściwą ochronę przekazywanych im danych osobowych. Jak podkreśla agencja dpa, po informacjach o programach masowej inwigilacji przekazanych przez b. współpracownika amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) Edwarda Snowdena "Europejczycy patrzą na to inaczej".
Firmy w USA zaprzeczały, jakoby dostęp do danych był możliwy bez decyzji sądu. Schrems argumentował jednak, że programy inwigilacyjne są sprzeczne z prawami podstawowymi zagwarantowanymi w Unii Europejskiej. Zwracał uwagę, że Safe Harbor nie zapewnia żadnej ochrony przed masową inwigilacją. We wtorkowym orzeczeniu Trybunał wskazał, że firmy amerykańskie są zobowiązane do odstąpienia - bez ograniczeń - od stosowania zasad ochrony prywatności określonych w Safe Harbor, jeśli zasady te stoją w USA w sprzeczności z wymogami bezpieczeństwa narodowego, interesu publicznego i przestrzegania prawa.
W komunikacie prasowym wydanym po ogłoszeniu orzeczenia Trybunał zwrócił uwagę, że Safe Harbor ma zastosowanie wyłącznie do przedsiębiorstw amerykańskich, które do tego porozumienia przystąpiły i że nie podlegają mu organy publiczne USA. W ocenie Trybunału "możliwa jest ingerencja amerykańskich organów publicznych w prawa podstawowe osób", przy czym w decyzji Komisji Europejskiej z 2000 roku "nie wskazano ani na istnienie w USA przepisów mających na celu ograniczenie tych możliwych ingerencji ani na istnienie skutecznej ochrony prawnej przed tymi ingerencjami".
Unieważniając Safe Harbor Trybunał podkreślił, że irlandzki urząd ochrony danych ma obowiązek zbadania skargi Schremsa i zdecydowania, czy należy zawiesić transferowanie przez Facebooka danych do USA, ponieważ kraj ten nie zapewnia "adekwatnego poziomu ochrony danych osobowych".
Bardzo trudno powiedzieć, bo ciągle jeszcze jestem w szoku. O ile większość fachowców twierdziło, że organy UE powinny bardziej sprawdzać zabezpieczenia to było na tak. Ale nie wierzyłe, zę stweirdzi nieważność porozumienia Safe Harbor
Pokazuje to że ogromnie wzrosła świadomość jeżeli chodzi o zagrożenia w związku z prywatnością
Na poziomie prawnym cofamy się do czasów sprzed 2000 roku. Nie ma już skróconej ścieżki dla amerykańskich firm. Zasady są teraz dla wszystkich takie same .