„Safe Harbor” na śmietniku historii? Europa nie jest już przystanią dla służb USA
Do października 1995 roku dane osobowe obywateli Unii Europejskiej, przynajmniej w teorii, nie mogły być swobodnie przekazywane między innymi do Stanów Zjednoczonych. Powodem takiego stanu rzeczy były istotne różnice w europejskim i amerykańskim prawie – Amerykanie nie spełniali wyznaczonych przez UE standardów ochrony danych. W tym celu dwadzieścia lat temu w życie wszedł program „Safe Harbor”, które regulował tę kwestię. Aż do teraz – Trybunał Sprawiedliwości UE orzekł, że „Safe Harbor” nie zapewnia danym personalnym Europejczyków należytej ochrony i wstrzymał realizację programu.
„Safe Harbor” przez dwadzieścia lat umożliwiał amerykańskim firmom administrowanie danymi osobowymi milionów obywateli Unii Europejskiej. Nietrudno domyślić się konsekwencji o jego zawieszeniu – gruntowna rewizja polityki prywatności czeka zarówno nieduże serwisy jak i ogromne korporacje będące w posiadaniu mnóstwa wrażliwych informacji o jeszcze większej liczbie osób. Dotyczy to między innymi Google'a czy Facebooka.
Ustalenia „Safe Harbor” stanowiła dyrektywa nr 95/46/EC. Umożliwiała ona przepływ danych do państw spoza Unii Europejskiej, nawet jeżeli prawo, któremu podlega dana firma nie spełnia warunków przewidzianych przez analogiczne europejskie regulacje. Wystarczyło, aby dany podmiot samodzielnie spełniał zgodność z europejskim poziomem ochrony danych osobowych, aby przepływ informacji był możliwy.
Wątpliwości wobec tego, co stanowi dyrektywa pojawiły się stosunkowo niedawno. W 2008 roku Maximillian Schrems, obywatel Austrii, założył konto na Facebooku. Jego dane osobowe były przechowywane na serwerach rozlokowanych w Irlandii – ten kraj często staje się lokalizacją banków danych ze względu na względnie mało surowe prawo w zakresie ich ochrony. W 2013 roku, gdy z inicjatywy Snowdena na jaw wyszła praktyka amerykańskiej służby NSA, złożył on skargę w sprawie działalności Amerykanów do irlandzkiego sądu. Jasnym stało się, że standardy wyznaczane przez „Safe Harbor” są naruszane na ogromną skalę.
Wczoraj w tej sprawie zapadł wyrok Trybunału Sprawiedliwości Unii Euroepejskiej. Stwierdzono, że dyrektywa nr 95/46/EC, która wymogła na firmach spoza UE odpowiednią ochronę danych osobowych nie może wyeliminować czy nawet zredukować możliwości nadzoru [lokalnych] władz. Z komunikatu prasowego wynika, że w związku z decyzją Trybunału, warunki realizowania „Safe Harbor” staną się przedmiotem renegocjacji. Do tego czasu wszelkie regulacje, które stanowiła dyrektywa zostają zawieszone.
Dwa lata po opublikowaniu informacji, których źródłem był Edward Snowden, dostrzegalne są wciąż poważne konsekwencje jego działalności. Funkcjonujące od dwudziestu lat prawo, które regulowało bardzo poważny aspekt usług wykorzystywanych przez miliony osób, będzie renegocjowane z uwzględnieniem żądań UE. O trudnych do przewidzenia konsekwencjach dla branży IT będziemy informować na bieżąco.