Czy serwery dostawcy usług chmurowych znajdujące się na terytorium USA to faktycznie problem?

Różnice w porządkach prawnych państw UE i USA i relatywnie słaby poziom ochrony danych osobowych w Stanach Zjednoczonych był problemem w międzykontynentalnym przekazywaniu danych osobowych, co stawiało pod znakiem zapytania funkcjonowanie firm z doliny krzemowej na rynkach europejskich.

Zasady bezpiecznego transferu danych osobowych pomiędzy Unią Europejską a USA regulował w przeszłości program tzw. bezpiecznej przystani (Safe Harbour) wypracowany pomiędzy Komisją Europejską a rządem USA. Ponieważ jednak Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 6 października 2015 r. w sprawie Maximilian Schrems przeciwko Data Protection Commissioner (C-362-14) stwierdził nieważność decyzji Komisji Europejskiej stwierdzającej adekwatność ochrony przewidzianej przez zasady ochrony prywatności w programie bezpiecznej przystani, program upadł, co uniemożliwiło przekazywanie danych osobowych z Unii Europejskiej.

Aktualnie ochronę danych osobowych przekazywanych pomiędzy USA i Unią Europejską zapewnia Program Tarcza Prywatności (Privacy Shield). Amerykański Departament Handlu określił zasady regulujące gromadzenie, wykorzystywanie i zatrzymywanie danych osobowych z państw członkowskich Unii Europejskiej (w tym również państw Europejskiego Obszaru Gospodarczego) oraz Wielkiej Brytanii i Szwajcarii. Rolą Departamentu Handlu USA jest także zarządzanie i administrowanie Tarczą Prywatności. Przedsiębiorstwo, które zobowiąże się do przestrzegania tych zasad, otrzymuje certyfikat „Privacy Shield”, wydawany na czas określony, którego uzyskanie gwarantuje zapewnienie bezpiecznego w świetle standardów europejskich przetwarzania danych osobowych. Konieczność odnawiania certyfikatu Privacy Shield odróżnia certyfikaty wydawane w ramach programu Bezpieczna Przystań.

Przyjrzyjmy się trzem gigantom rynku amerykańskiego, będącymi dostawcami chmury, tj. Google (Google Cloud), Microsoft (Azure) oraz Amazon (Amazon Web Services): informację na temat posiadanych certyfikatów privacy shield możemy znaleźć nie tylko na ich stronach internetowych ale także na oficjalnej stronie rządowej:

https://www.privacyshield.gov/participant?id=a2zt0000000KzNaAAK

https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4

gdzie w szczególności znajdziemy dane na temat daty obowiązywania certyfikatu. Chcąc zweryfikować kontrahenta ze Stanów Zjednoczonych pod kątem ochrony danych osobowych powinniśmy zweryfikować na ww. stronie rządowej czy posiada on certyfikat privacy shield.

Wydawać by się mogło, że możemy spać spokojnie ale na horyzoncie pojawiła się amerykańska ustawa Cloud Act, która weszła w życie 23 marca 2019 r. i nakazuje firmom zarejestrowanym w USA przekazywanie danych na podstawie nakazu amerykańskiego sądu w postępowaniach karnych, niezależnie od miejsca przechowywania danych. W naturalny sposób prowadzi to do konfliktu z przepisami RODO, a na stronie internetowej Europejskiej Rady Ochrony Danych możemy znaleźć szczegółową opinię na ten temat (link: https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_pl).

Ustawa Cloud Act wprawdzie daje firmom prawo do kwestionowania nakazu w ograniczonych przypadkach, tj. wówczas gdy przekazanie danych osobowych mogłoby naruszyć prawo państwa, które zawarło umowę z USA lub wówczas gdy dane osobowe nie będą dotyczyć obywatela USA, ale po pierwsze nie wiemy czy firmy będą korzystać z takiej możliwości, a po drugie – decyzja ostatecznie i tak należeć będzie do sądu.

Dążąc do zlikwidowania negatywnego wpływu Cloud Act na europejski system ochrony danych osobowych Komisja Europejska we wrześniu 2019 r. rozpoczęła z rządem USA negocjacje umowy w sprawie transgranicznego dostępu do dowodów elektronicznych na potrzeby współpracy wymiarów sprawiedliwości w sprawach karnych. Zawarcie umowy silnie rekomendowała Europejska Rada Ochrony Danych, gdyż da ona podstawy prawne do przekazywania danych osobowych na potrzeby postępowań sądowych w zgodzie z przepisami RODO. Szybkie zawarcie umowy usunie kontrowersje które wywołało uchwalenie Cloud Act. Dopóki jednak decyzja Komisji Europejskiej stwierdzającej adekwatność ochrony przewidzianej przez program Tarcza Prywatności nie zostanie uznana przez TSUE za nieważną, dostawcy rozwiązań chmurowych z USA mogą spać spokojnie.

Dodaj komentarz