Porozumienie "Safe Harbor" miało na celu umożliwienie amerykańskim firmom gromadzenie informacji osobowych na swój temat. Dane obywateli UE. Umowa powinna utrzymać tradycyjny poziom ochrony danych obywateli UE, który nie jest gwarantowany w takim samym stopniu w USA. Od września 2015 roku umowa została uznana przez Unię Europejską za nieważną, co zakończyło ponad 15 lat praktyki w dziedzinie prawa o ochronie danych.
Bezpieczna przystań. Bezpieczna przystań?
We wrześniu 2015 r. umowa o bezpiecznej przystani doznała poważnych komplikacji. Rzecznik generalny Europejskiego Trybunału Sprawiedliwości - Yves Bot - doszedł do wniosku, że jego zdaniem decyzja w sprawie Safe Harbor nie jest ani ważna, ani wiążąca. Umowa o Bezpiecznej Przystani pochodzi z roku 2000 i jest częścią obszaru prawa o ochronie danych. Decyzja Komisji Europejskiej powinna umożliwić przedsiębiorstwom przekazywanie danych osobowych do USA, pod warunkiem, że będą one przestrzegać europejskich dyrektyw dotyczących ochrony danych. Nie ma żadnego "porozumienia" w sensie faktycznym - jednak tego typu procedura została uzgodniona z USA, tak więc można mówić o pewnego rodzaju "porozumieniu". W dniu 06.10.2015 r. Europejski Trybunał Sprawiedliwości (ETS) uznał umowę o bezpiecznej przystani za nieważną.
Historia umowy o bezpiecznej przystani
W Unii Europejskiej dyrektywa o ochronie danych osobowych 95/46/WE zabrania przekazywania danych osobowych z państw członkowskich do innych państw, które nie mają prawa ochrony danych o podobnej funkcji ochronnej. Stany Zjednoczone nie mają prawie żadnych regulacji prawnych w dziedzinie ochrony danych, które dorównywałyby standardom Unii Europejskiej. Rygorystyczne przepisy UE doprowadziły do problemów praktycznych, dlatego też USA i UE zawarły w 2000 r. porozumienie. Przestrzeganie dyrektywy o ochronie danych doprowadziłoby do zastoju w przepływie danych, dlatego też uchwalono rozporządzenie w sprawie bezpiecznej przystani. Firmy z USA mogły zarejestrować się na liście Departamentu Handlu USA i w ten sposób przystąpić do Safe Harbor. Przystępując do niego, amerykańskie firmy zgodziły się przestrzegać zasad i regulacji zawartych w porozumieniu. Regulacje prawne były praktycznie uzupełniane przez prywatne regulacje na poziomie międzynarodowym. Komisja Europejska uznała za udowodnione, że firmy w ramach nowo utworzonego systemu zapewniają wystarczającą ochronę obywateli UE i ich danych osobowych. Do czasu jego odwołania we wrześniu 2015 r. do porozumienia przystąpiło wiele firm. Wśród nich znalazły się General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox i Hewlett-Packard.
Popularna krytyka umowy o bezpiecznej przystani
Umowa o Bezpiecznej Przystani była wielokrotnie krytykowana. Negatywne głosy odmawiały porozumieniu wystarczającej funkcji ochronnej. Nie można było polegać na "słowie" amerykańskich firm, dlatego trzeba by było dostarczyć dowód. Po kilku latach powstał amerykański Patriot Act: Ze względu na nową sytuację prawną, amerykańskie organy bezpieczeństwa mogły uzyskać dostęp do wszystkich danych bez konieczności powiadamiania właściciela danych. W związku z objawieniami informatora Edwarda Snowdena, w 2013 roku zażądano przeglądu systemu. W 2013 r. unijna komisarz ds. sprawiedliwości Viviane Reding ogłosiła reformę europejskiej ochrony danych. Wszystkie przedsiębiorstwa powinny być karane grzywną w wysokości do dwóch procent swojego rocznego obrotu, jeśli dokonywały nielegalnego transferu danych.
Wyrok Europejskiego Trybunału Sprawiedliwości z września 2015 r.
We wrześniu 2015 r. rzecznik generalny Europejskiego Trybunału Sprawiedliwości Yves Bot oświadczył, że porozumienie "Safe Harbor" przestało być ważne i wiążące. High Court of Ireland zwrócił się do Europejskiego Trybunału Sprawiedliwości z pytaniem, czy i w jakim zakresie system Safe Harbor ma zastosowanie. Przedmiotowa sprawa dotyczyła przekazywania danych przez Facebook do USA. W uzasadnieniu wyroku rzecznik generalny stwierdził, że Unia Europejska nie jest uprawniona do ingerowania w kompetencje państw członkowskich i ograniczania ich. Gdy tylko w danym państwie członkowskim zagrożone zostanie przestrzeganie praw podstawowych przyznanych na mocy Karty praw podstawowych UE, powinna istnieć możliwość podjęcia odpowiednich działań. Wśród praw podstawowych znajduje się ochrona danych osobowych. W USA obywatele UE są narażeni na kontakt z osobami gromadzącymi dane bez ochrony, ponieważ USA w znacznym stopniu zezwala na gromadzenie danych obywateli UE. Jednocześnie nie istnieją żadne skuteczne środki odwoławcze na drodze sądowej. Służby specjalne USA prowadzą intensywny nadzór, który nie jest proporcjonalny i pozwala na ukierunkowaną ingerencję w ochronę danych. Europejski Trybunał Sprawiedliwości postąpił zgodnie z uwagami rzecznika generalnego i tym samym przypieczętował wygaśnięcie umowy. W treści wyroku odwołano się do amerykańskich tajnych służb. Amerykańskie firmy podlegają im przy składaniu zapytań i są tym samym zmuszone do anulowania wszystkich przepisów ochronnych. Nie ma zatem skutecznej ochrony danych osobowych. Z jednej strony, działanie to naruszyło podstawowe prawo do poszanowania życia prywatnego, ale z drugiej strony, naruszone zostało również prawo do istnienia skutecznej ochrony prawnej w sądzie.
Podejście niemieckich organów ochrony danych
Po opublikowaniu orzeczenia Europejskiego Trybunału Sprawiedliwości niemieckie organy ochrony danych podjęły szybkie działania. W dokumencie przedstawiającym stanowisko opracowanym przez inspektorów ochrony danych w krajach związkowych i w rządzie federalnym wyjaśniono, że przekazywanie danych jest wykluczone, jeżeli opiera się ono wyłącznie na porozumieniu "Safe Harbor". Nowe zezwolenia na podstawie umowy nie będą już wydawane. Ponadto nie będą już uznawane przepisy firmowe i umowy dotyczące eksportu danych. W Wielkiej Brytanii uważa się, że przekazywanie danych jest nadal możliwe, jeżeli zostanie wydana zgoda lub wprowadzone zostaną standardowe klauzule umowne UE. Zdaniem niemieckich inspektorów ochrony danych zgoda nie jest wystarczająca, ponieważ masowe i wielokrotne przekazywanie danych nie może być dłużej dozwolone na taką skalę.
Nowe przepisy i zalecenia
Na szczeblu federalnym decyzja Europejskiego Trybunału Sprawiedliwości została przyjęta z zadowoleniem przez właściwego federalnego komisarza ds. ochrony danych osobowych. W najbliższej przyszłości zostanie zbadane, czy i w jakim stopniu orzeczenie to ma w Niemczech wpływ na wiążące reguły korporacyjne i unijne standardowe klauzule umowne. W dniu 26.10.2015 r. stanowisko to zostało opublikowane przez rząd federalny i kraje związkowe. Organy nadzorcze ogłosiły, że zostaną podjęte działania przeciwko wszelkim transferom danych opartym na zasadzie "bezpiecznej przystani". Od czasu wydania werdyktu było całkowicie jasne, że certyfikacja na mocy poprzedniej umowy jest absolutnie niedopuszczalna. Firmy przekazujące dane osobowe do USA narażone są na bolesne kary pieniężne, dlatego też teksty stron internetowych, materiały reklamowe i oświadczenia o ochronie danych powinny być jak najszybciej dostosowane. Ponadto należy sprawdzić bieżące transfery danych. Należy wyjaśnić zastosowanie wiążących reguł korporacyjnych i standardowych klauzul umownych UE. Każdy, kto nie może obejść się bez przekazania danych do USA, powinien skorzystać ze standardowych klauzul umownych UE, dzięki którym ryzyko kary pieniężnej może zostać znacznie zminimalizowane, przynajmniej w większości przypadków. Jest absolutnie konieczne, aby metody szyfrowania były sprawdzane i stosowane. Jeżeli możliwe jest uzyskanie zgody, należy zwrócić się do DSK z zapytaniem, czy taka legitymacja jest dopuszczalna w przypadku przekazywania danych. Jeżeli możliwe jest uzyskanie zgody, należy wyraźnie zaznaczyć, że ma miejsce transfer danych do USA. Ponadto należy wymienić możliwe konsekwencje. Zgoda taka nie może być realizowana w przypadku stałego i masowego przekazywania danych, np. danych klientów. W celu osiągnięcia najlepszej możliwej ochrony prawnej, kwestie prawne powinny być analizowane indywidualnie dla każdego przypadku. Środki techniczne i organizacyjne mogą znacznie ograniczyć ryzyko naruszenia prawa.