W połowie zeszłego roku TSUE (Trybunał Sprawiedliwości Unii Europejskiej) orzekał [źródła 1 i 2] w sprawie przeciwko Facebook Ireland Ltd (już po raz drugi zresztą), że amerykańskie przepisy dotyczące ochrony informacji osobowych nie są wystarczające, aby bezpiecznie transferować dane osobowe z krajów członkowskich Unii Europejskie do Stanów Zjednoczonych. Pomimo tego wyroku korporacja Google nadal ignoruje decyzję TSUE, dlatego prawnicy będą mieli szansę przedstawić argumenty spółki Google Ireland Ltd. przed Austriackim Urzędem Ochrony Danych Osobowych (www.dsb.gv.at). Firmie Google grozi kara nawet do 4% ich obrotów rocznych (dotyczy przedsiębiorstw), czyli (zaledwie jak na Google) 6 miliardów euro.
W wyroku z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w wyroku w sprawie C-311/18 unieważnił decyzję Komisji Europejskiej, zgodnie z którą Tarcza Prywatności UE-USA zapewniała adekwatną ochronę dany osobowych i która to decyzja stanowiła podstawę do przekazywania danych osobowych poza Obszar UE.
Podaje Sawaryn i Partnerzy – Kancelaria Prawna [3].
Transfer danych osobowych z Europy do USA
Transfer danych osobowych z centrum danych w Europie do USA nie jest obecnie czynnością w pełni bezpieczną, jeżeli chodzi o zgodność z rozporządzeniem o ochronie danych osobowych (RODO).
Istnieje spore ryzyko, że ta forma przetwarzania w konkretnym przypadku zostanie uznana przez właściwy organ nadzorczy za niezgodną z przepisami RODO. Decydując się na taki transfer, dany podmiot przyjmuje zatem na siebie „ryzyko”, przy czym może się starać je minimalizować.
Austriacka organizacja non-profit NOYB (My Privacy is None of Your Business) alarmuje, że irlandzka spółka Google nadal przesyła dane z unijnych terenów do USA pomimo dwóch wyroków TSUE. Austriacki Urząd Ochrony Danych Osobowych może ukarać Google grzywną w wysokości do 6 miliardów euro.
Zaangażowana w wyrok Europejska Rada Ochrony Danych ma wątpliwości co do należytej ochrony danych osobowych w odniesieniu do aktu prawnego FISA (Foreign Intelligence Surveillance Act).
Google twierdzi, że stosuje „techniczne środki uzupełniające”, które mają pomóc przeciwdziałać inwigilacji w odniesieniu do ustawy FISA (techniczny opis zabezpieczeń na stronach od 23 do 26). Podczas transferu danych z Europy do USA używane są:
- Protokół HTTPS + ALTS jako rozwinięcie SSL-TLS opracowany przez Google do wymiany informacji pomiędzy centrami danych Google.
- Szyfrowanie danych osobowych algorytmem AES-256 bitów.
Organizacja NYOB ma wątpliwości co do przekazywania danych osobowych amerykańskim służbom National Security Agency (NSA), ponieważ bez względu na szyfrowanie i zabezpieczenie transferu danych, te środków nie mają znaczenia w odniesieniu do inwigilacji wymuszonej przez akt FISA.
Google w 2019 roku z powodu FISA musiało odpowiedzieć rządowi USA na ponad 210 tysięcy wniosków.
Google musi przekazać wszystkie dane zgodnie z amerykańskim prawem. Groteskowe jest to, że argumentują to posiadaniem płotów i znaków przy centrum danych – amerykańskie przepisy dotyczące inwigilacji obowiązują również za płotami. Standardowe szyfrowanie też nie pomaga, bo Google ma obowiązek przekazania kluczy szyfrujących. Tylko w 2019 roku ponad 201 tys. razy przekazali rządowi USA dane o obcokrajowcach.
Max Schrems, honorowy przewodniczący noyb.eu.
Czym jest ustawa FISA?
Foreign Intelligence Surveillance Act [4] „to akt prawny przyjęty przez amerykański Kongres w 1978 r. w odpowiedzi na nieprawidłowości, jakich dopuszczały się amerykańskie służby wywiadowcze. […]
Do pozyskania danych na podstawie sekcji 1881a FISA nie jest potrzebny nakaz sądowy. Rząd, działając za pośrednictwem Prokuratora Generalnego USA i Szefa Wywiadu (Director of National Intelligence), zwraca się do specjalnego, tajnego sądu – Foreign Intelligence Surveillance Court – z wnioskiem o „autoryzację” planowanej inwigilacji.
Autoryzacja nie dotyczy konkretnej sprawy; jest przyznawana na okres do 12 miesięcy i może być przedłużona o kolejne lata. W swoim wniosku rząd bardzo ogólnie określa cele inwigilacji i zapewnia, że nie będzie ona wymierzona w obywateli USA. W pilnych sprawach może też działać, nie czekając na sąd.”
Czwarta poprawka, zgodnie z orzeczeniem Sądu Najwyższego USA, nie chroni obywateli innych państw przed FISA [5]
Dowolny podmiot Stanów Zjednoczonych z uwagi na bezpieczeństwo narodowe może zażądać od Google ujawnienia informacji o użytkownikach:
Żądanie na podstawie ustawy FISA może dotyczyć niestanowiących treści metadanych, np. zawartości pól „od” i „do” w nagłówku e-maila czy adresów IP powiązanych z danym kontem, materiałów użytkownika, np. wiadomości w Gmailu, dokumentów, zdjęć i filmów.
FBI może żądać danych subskrybenta przewodowej lub elektronicznej usługi komunikacyjnej: „imienia i nazwiska, adresu, okresu korzystania z usługi oraz bilingu rozmów lokalnych i międzymiastowych”. FBI nie może użyć nakazu NSL, aby uzyskać od Google jakiekolwiek inne dane, np. treści z Gmaila, wyszukiwane hasła, filmy z YouTube czy adresy IP użytkowników.
Na podstawie źródeł:
[1] https://uodo.gov.pl/pl/138/1614
[2] https://www.lex.pl/wyrok-tsue-schrems-ii-transfer-danych-osobowych-do-usa,12642.html
[3] https://sawaryn.com/publikacje/wyrok-tsue-tarcza-prywatnosci-ue-usa-google/
[4] https://panoptykon.org/wiadomosc/fisa-podstawa-prawna-prism-w-pytaniach-i-odpowiedziach
[5] https://transparencyreport.google.com/user-data/us-national-security?hl=pl
