Wpływ technologii na unieważnienie Tarczy Prywatności - nakaz lokalizacji danych w UE?

Umowa o wdzięcznej nazwie Tarcza Prywatności ("Privacy Shield") umożliwiała stosunkowo proste zasady dla przenoszenia danych z Unii Europejskiej do USA. Dziś powoli osiada kurz po wieściach o unieważnieniu Tarczy Prywatności w wyniku wyroku Europejskiego Trybunału Sprawiedliwości (ETS). To kwestia prawna, a samo uzasadnienie decyzji jest dość złożone. Zrozumienie wpływu tej decyzji na technologię jest jednak całkiem fascynujące. Nawet jeśli konsekwencje mogą być nieco kontrowersyjne.

Przeczytałem cały ten dokument o dosyć zawiłym tytule by móc skupić się na praktycznych konsekwencjach technicznych. Czyli to co się tu liczy najbardziej. W tej analizie postaram się przedstawić kilka wstępnych ocen oraz potencjalnych widoków na możliwości rozwiązań. Najpierw wyjaśnijmy jednak pewien drobiazg. Ten werdykt nie ogranicza się do zasad przekazywania danych do USA, na co skupiono się w różnego rodzaju przekazach. Wyrok Trybunału dotyczy transferów danych UE do jakiegokolwiek kraju trzeciego w ogóle (np. Indii, Wielkiej Brytanii, Korei Południowej, Chin, itd.).  

Oto kluczowe stwierdzenie werdyktu:

105 W związku z tym na pytania drugie, trzecie i szóste należy odpowiedzieć, że art. 46 ust. 1 i art. 46 ust. 2 lit. c) RODO należy interpretować w ten sposób, że wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie, interpretowane w świetle karty. W tym celu w ramach oceny stopnia ochrony zapewnianego w kontekście takiego przekazywania należy w szczególności uwzględniać zarówno postanowienia umowne uzgodnione między mającymi siedzibę w Unii administratorem danych lub podmiotem przetwarzającym a podmiotem odbierającym dane mającym siedzibę w danym państwie trzecim, jak i, w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazywanych w ten sposób danych osobowych, istotne elementy składające się na jego system prawny, w szczególności te wymienione w art. 45 ust. 2 wspomnianego rozporządzenia.

Tarcza Prywatności nie gwarantowała takiego poziomu ochrony, ponieważ decyzje na szczeblu federalnym w USA są poza zasięgiem firm, które miałyby dane przetwarzać.

I co teraz?

To doprowadza do dwóch możliwości:

  1. Albo państwo trzecie gwarantuje ten sam poziom ochrony danych co UE, albo
  2. Danych takich nie można „tak po prostu” przekazać do takiego państwa trzeciego, chyba że można ochronę w jakiś sposób jednak zagwarantować.

Gwarancje te można osiągnąć za pomocą środków prawnych, ale być może także środków organizacyjnych lub środków technicznych (jak już zresztą szczęśliwie zdążyła zauważyć Europejska Rada Ochrony Danych „ analizując orzeczenie Trybunału w celu określenia rodzaju dodatkowych środków, które można zastosować oprócz ..., czy to środki prawne, techniczne czy organizacyjne” - więcej szczegółów nie podano, pomimo pandemii jest przecież okres wakacyjny ;-) ). Część prawną odłóżmy na bok (w czym zresztą 'pomaga' sam wyrok ETS, który do kwestii prawnej się odnosił). Co jednak z „ technologią ” i „ organizacją” (tj. np. projektowaniem odpowiednich procesów lub procedur)?

Po pierwsze, należy pamiętać, że taka ocena i dobór środków to kwestia indywidualna, dla każdego przypadku rozważana osobno. Ale być może w pewnych sytuacjach może też pomóc dobre współgranie między rozwiązaniami technoczno-organizacyjnymi. Bo wydaje się, że po werdykcie ETS mamy zasadniczo dwie możliwości. Tak się składa że wszystkie z dość poważnymi konsekwencjami dla myślenia o „cyber-suwerenności” (suwerenności cyfowej, itd.). Ale także, no cóż, współczesnej kryptografii. Czyli technologii.

Część opcji na stole

To punkt widzenia „ cyber-suwerenności” ("cyber-suwerenistów"?). „Najprostszą” możliwością jest potraktowanie wyroku jako zakazu (a organy ochrony danych - w Polsce UODO -  zresztą prawdopodobnie będą musiały wkrótce zinterpretować go jako zakaz, w niektórych sytuacjach?). Tak więc „najprostszym” (również do pewnego stopnia: skrajnym) rozwiązaniem jest nieprzekazywanie jakichkolwiek danych poza terytorium Unii Europejskiej i traktowanie orzeczenia jako tzw. regulacji o lokalizacji danych (regulacji zabraniającej przekazywania danych poza terytorium UE; w pewnym stopniu takie akty istnieją na przykład w Rosji, Chinach, Indiach itp.). Wystarczy wtedy takie dane przechowywać w Unii Europejskiej i tyle? No nie do końca.

Przechowywanie danych w UE - lokalizacja danych

W praktyce taka interpretacja wpływu wyroku ETS może sprzyjać pozycji dużych platform chmurowych z centrami danych w Europie (np. Amazon, Google czy Microsoft?). Przetwarzający dane musi tylko tak zaprojektować przetwarzanie, aby dane z UE nigdy nie opuszczały UE - przetwarzając je więc lokalnie, korzystającz odpowiednich "stref". Z pewnością wymagałoby to przebudowy niektórych systemów. Ale tam gdzie można to zrobić - można to zrobić stosunkowo łatwo (co nie znaczy: bezkosztowo). A więc mielibyśmy rozwiązania technologiczne / organizacyjne: chmura, z wykorzystaniem odpowiednich stref i projektem systemu. Oczywiście należy również wziąć pod uwagę takie rzeczy jak wesołe konsekwencje jurysdykcji USA  a nawet aspekty, takie jak tzw. CLOUD Act („zezwalanie federalnym organom ścigania na zmuszanie firm technologicznych z siedzibą w USA w drodze nakazu lub wezwania do dostarczenia żądanych danych przechowywanych na serwerach, niezależnie od tego, czy dane są przechowywane w USA, czy na obcej ziemi”). Niektóre firmy zajmujące się przechowywaniem danych w chmurze, takie które mają centra danych w niektórych krajach (np. w Chinach)  już jakiś czas temu musiały podobne problemy z izolacją jurysdykcji rozwiązać.

Rozwiązania technologiczne, takie jak nowoczesna kryptografia

Innym sposobem "na wyrok"  ETS jest wykorzystanie w większym stopniu tego co oferuje dziś technologia . W szczególności - nowoczesna kryptografia, nie chodzi tu o samo szyfrowanie. Systemy mogą być projektowane i konstruowane w sposób umożliwiający przesyłanie już zaszyfrowanych danych do kraju trzeciego, a nawet przetwarzanie danych w postaci zaszyfrowanej. Jedyne, co trzeba by jednak zagwarantować, to to, że klucze deszyfrujące nigdy nie opuszczają UE. Tak jakby nigdy nie znalazły się w zasięgu organów ścigania państw trzecich. Chodzi o wdrożenie tego na poziomie procesu.

Wymaga to oczywiście istotnych modyfikacji technologicznych, a także organizacyjnych (np. Europejska centrala / oddział musi chronić niektóre dane „przed” centralą / oddziałem w państwie trzecim). W niektórych zastosowaniach może się to oczywiście okazać niemożliwe (np. tam gdzie by dane były użyteczne, powinny być jednak dostępne w formacie niezaszyfrowanym). W innych sytuacjach może to jednak być wykonalne.

Tak więc technologiczny wpływ wyroku ETS jest taki, że jest bardzo prawdopodobne, że można go jednak uszanować przy użyciu technologii i odpowiedniej konfiguracji organizacyjnej, przynajmniej w niektórych przypadkach. Można to zrobić za pomocą przetwarzania w chmurze (co być może dla niektórych byłoby pyrrusowym zwycięstwem, ponieważ zwiększyłoby to jednak popularność dużych dostawców chmurowych; dużych tj. amerykańskich, a tu zwycięzcami byliby ci, którzy już mają ugruntowaną pozycję, wzmacniając ją jeszcze bardziej?). W innych przypadkach można to zrobić za pomocą specjalnie zaprojektowanego systemu w warstwie technologii. W każdym razie firmy mogą chcieć móc udowodnić, co gwarantują ich systemy. I że w ogóle to gwarantują. Dowody takie mogą być "na papierze" (papierologia, machanie rękoma) lub mieć faktycznie charakter systemowy (tj. wbudowane w systemy i wtedy z sensownym opisem). Prawdopodobnie druga opcja jest lepsza.

Na marginesie warto się też zastanowić, w jakim stopniu wyrok ETS może spowodować pewne wyzwania dla niektórych platform rozproszonych, w tym opartych na blockchain . To jednak inna historia.

Podsumowanie

Werdykt jest bardziej kwestią interpretacji prawnej. Niemniej jednak ma realne konsekwencje dla technologii. Zakładając, że nie uda się szybko osiągnąć nowego porozumienia, może zajść potrzeba przeprojektowania systemów.

Mowa tu o zmianach technologicznych, ale także o odpowiednim projektowaniu systemów i procedur organizacyjnych.

Podobała Ci się ocena i analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com