07 stycznia 2021 | Marcin Kapuscinski

Tarcza prywatności UE-USA 2.0, nasz komentarz

Ograniczenia UE mogą zmusić amerykańskie firmy do zmiany praktyk w zakresie przekazywania danych. Aby dostosować się do nowych wytycznych, firmy prawdopodobnie zastosują bardziej zaawansowane szyfrowanie.

Niektóre firmy z siedzibą w USA będą musiały znacząco zmienić sposób zabezpieczania danych, aby kontynuować współpracę z firmami europejskimi. Zakłada to unijny projekt, który zawiera wytyczne odnośnie zwiększenia zabezpieczeń prywatności informacji, przekazywanych poza Wspólnotę.

Jeśli nowe przepisy wejdą w życie, firmy mogą zostać zmuszone do stosowania surowych praktyk szyfrowania i do zapewnienia, że dane osobowe Europejczyków nie zostaną odszyfrowane, jeśli firmy przenoszą te informacje do Stanów Zjednoczonych i innych krajów spoza UE. Wg. ekspertów od prywatności, wytyczne prawdopodobnie zwiększą wykorzystanie nowych metod szyfrowania danych. 

To próba odpowiedzi na orzeczenie Trybunału Sprawiedliwości UE, który uznał Tarczę Prywatności UE-USA za nielegalną. Wersja z 2016 r. umożliwiła transatlantyckie transfery danych handlowych, ale sąd stwierdził, że inwigilacja rządu USA stanowi zagrożenie dla prywatności, a Europejczycy nie mają wystarczających możliwości dochodzenia roszczeń w amerykańskim systemie prawnym. 

Sąd UE ustalił również, że przedsiębiorstwa mogą nadal stosować odrębne, szeroko stosowane międzynarodowe ustalenia, dotyczące metody przesyłania danych, znane jako standardowe klauzule umowne, ale tylko z dodatkowymi zabezpieczeniami gwarantującymi, że dane będą chronione przed inwigilacją. 

Łukasz Olejnik, niezależny badacz i konsultant ds. Cyberbezpieczeństwa z siedzibą w Brukseli, uznał, że „przekazywanie danych do krajów trzecich jest poważnie ograniczone”.  

Komisja Europejska, organ wykonawczy UE, opublikowała pod koniec minionego roku projekt zmiany swoich standardowych klauzul umownych, które są wstępnie zatwierdzonymi umowami określającymi, w jaki sposób firmy mogą przesyłać dane do krajów spoza UE. Nowe klauzule zaostrzają wymagania wobec firm przenoszących dane do partnerów biznesowych za granicą. 

Projekt wytycznych miałby zastosowanie do krajów spoza UE, które nie mają tak zwanej decyzji o odpowiedniej ochronie. Władze UE jak dotąd przyznały 12 krajom, w tym Kanadzie i Nowej Zelandii, ustalenie dotyczące adekwatności, uznając, że ich przepisy dotyczące prywatności są wystarczająco mocne, aby firmy mogły przenosić tam dane osobowe Europejczyków bez jakichś specjalnych środków ostrożności. 

Organy regulacyjne wymieniły kilka metod, które firmy mogłyby wykorzystać, aby kontynuować przenoszenie danych za granicę bez naruszania ogólnego rozporządzenia UE o ochronie danych z 2018 r. Wytyczne nie wymagają od firm stosowania określonych środków, ale stanowią, że firmy naruszają prawo UE, gdy przekazują dane bez zabezpieczeń tak silnych, jak ich zalecenia. 21 grudnia 2020 r. zakończyły się publiczne konsultacje ww. projektu.

Projekt standardowych klauzul umownych Komisji Europejskiej zawiera również aktualizacje w odpowiedzi na lipcowe orzeczenie sądu. Zgodnie z projektem, firmy spoza UE musiałyby informować partnerów biznesowych, gdyby jakikolwiek urząd rządowy lub organ wywiadu złożył prawnie wiążący wniosek o dostęp do danych Europejczyków. 

Firmy będą musiały ocenić, czy prawa innych krajów zagrażają prywatności, co oznacza, że ​​będą potrzebować wystarczających i dokładnych informacji o zagranicznych przepisach, uznał Henri Kujala, globalny urzędnik ds. Prywatności w HERE Global BV, firmie świadczącej usługi map cyfrowych. Dodał, że dokonanie takiej oceny może stać się bardziej złożone, jeśli zmieni się prawo w krajach, w których znajdują się dostawcy firmy. 

Kujala powiedział, że wsparcie regulacyjne dla technik takich jak szyfrowanie homomorficzne i przetwarzanie wielostronne prawdopodobnie zwiększy wykorzystanie tych metod. Technologia szyfrowania homomorficznego umożliwia wykonywanie obliczeń na zaszyfrowanych danych bez ich odszyfrowywania. Ochrona za pomocą przetwarzania wielostronnego dzieli dane między komputerami, więc nie można ich używać do identyfikacji osoby bez dodatkowych informacji. 

Dla wielu firm przestrzeganie nowych wytycznych dotyczących przesyłania danych oznaczałoby zmuszenie zespołów ds. bezpieczeństwa cybernetycznego i prywatności do ściślejszej współpracy” – oceniła Caitlin Fennessy, dyrektor ds. badań w Międzynarodowym Stowarzyszeniu Specjalistów ds. Prywatności – „Razem będą musieli wyeliminować środki techniczne, takie jak zasady szyfrowania. Specjaliści ds. ochrony prywatności będą musieli współpracować ze specjalistami ds. bezpieczeństwa bardziej niż kiedykolwiek w przeszłości”.

 

Komentarz

Utrzymanie i rozwój nadzoru nad przetwarzaniem danych w organizacjach jest stałym procesem zarządzania zmianą w relacji do dynamicznie rozwijających się potrzeb właścicieli danych.
Dążenie do standaryzacji w zakresie bezpieczeństwa danych, a w tym do stałego rozwoju technologii cyber-security, jest już w genotypie struktur EU i US, i w sumie to idealnie stabilizujący się mechanizm tarcia.

Trochę pracy czeka administratorów danych osobowych, którzy powinni już dokonać indywidualnej oceny stopnia ochrony danych, zapewnianej w ramach transgranicznego przekazywania danych. Teraz ochrona musi uwzględniać nie tylko postanowienia umowne uzgodnione między eksporterami i importerami danych, ale również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych osobowych.

Pamiętajmy, że to bardzo świeży wyrok. 21 grudnia 2020 EU zakończyły konsultacje, wychodząc naprzeciw związanym z tą sytuacją wątpliwościom, publikując projekty rozwiązań prawnych, z których będą mogli skorzystać eksporterzy danych. Innymi słowy, jest wyrok, ale nie ma jeszcze aktów wykonawczych i potrzeba czasu, aby organy krajowe, jak również EROD (Europejska Rada Ochrony Danych), dokonały bardziej szczegółowej oceny tego wyroku oraz przekazały dalsze wytyczne, dotyczące wykorzystania instrumentów przekazywania danych osobowych do państw trzecich. – Piotr Zawadzki, COO – Quality w Transition Technologies MS S.A.


Marcin Kapuściński, Transition Technologies MS S.A.