W związku z olbrzymim wzrostem wykorzystania platform do webinarów i wideokonferencji po wybuchu pandemii (jak przedstawiamy w naszym raporcie, w Polsce odnotowaliśmy skok o aż 1156%), niezwykle ważnym aspektem dla firm, instytucji edukacyjnych, służby zdrowia czy pozarządowych stały się kwestie bezpieczeństwa wydarzeń online.
Lipcowy wyrok Trybunału Sprawiedliwości UE każe nam również zwrócić szczególną uwagę na bezpieczeństwo, transfer i przetwarzanie danych osób, które biorą udział w tych wydarzeniach. Ale po kolei.
Zobacz również
Czym jest Tarcza Prywatności?
Privacy Shield, czyli Tarcza Prywatności, jest jednym z mechanizmów sankcjonujących przesyłanie danych osobowych obywateli Unii Europejskiej oraz osób przebywających na terenie UE, czyli osób, których dane przetwarzane są na podstawie zasad GDPR/RODO.
W praktyce Tarcza pozwala firmom działającym na terenie Unii na transfer danych (i dalsze ich przetwarzanie) klientów europejskich do USA. Według Reutersa setki tysięcy firm, w tym gigantów technologicznych pokroju Facebooka, ale również innych dużych graczy przemysłowych, przesyłają w ten sposób dane przez ocean i dalej procesują je na terenie USA, gdzie reżim prawny dotyczący ochrony danych jest łagodniejszy niż w krajach unijnych. Wszystkie największe spółki technologiczne posiadają swoje siedziby w USA i właśnie tam znajdują się ich centra biznesowo-technologiczne.
Co doprowadziło do jej końca?
Temat ochrony danych osobowych, inwigilacji oraz nieetycznego ich wykorzystywania budzi silne emocje od czasu, kiedy świat usłyszał o Edwardzie Snowdenie w 2013 roku. Z kolei aferę z Cambridge Analytica z 2018 roku, słynna pisarka J.K. Rowling okrzyknęła wówczas na Twitterze jako „story of the decade”.
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
Kolejnym rozdziałem w historii walki o ochronę danych jest najnowszy wyrok z TSUE, który kładzie kres Tarczy. Jest on zwieńczeniem kilkuletniej batalii austriackiego aktywisty Maximiliana Schremsa, który skarżył Facebooka za przekazywanie danych Europejczyków amerykańskim służbom i próbował udowodnić, że Tarcza nie daje obywatelom UE gwarancji ochrony przed takimi praktykami. Trybunał przyznał Schremsowi rację, co przekłada się na upadek tej metody.
Słuchaj podcastu NowyMarketing
Jakie są skutki wyroku TSUE?
Unieważnienie przez Trybunał porozumienia między USA a UE dotyczącego Tarczy Prywatności idzie w parze z tym, że zarówno administratorzy danych osobowych, podmioty przetwarzające dane osobowe im powierzone, jak również krajowe organy zajmujące się ochroną danych muszą teraz ocenić czy standardowe klauzule umowne mogą być dalej mechanizmem regulującym przesyłanie danych przez Atlantyk. Na podstawie uzasadnienia wyroku TSUE można wnioskować, że konieczne stanie się uzupełnienie systemu zabezpieczeń zawartych w standardowych klauzulach ochrony danych.
Firmy, które działają na terenie Unii, są oczywiście zobligowane do przestrzegania RODO/GDPR. Jeżeli zaś dokonują transferu danych swoich klientów do USA i tam je przetwarzają, muszą znaleźć do tego podstawę prawną. W sytuacji, gdy TSUE roztrzaskał Tarczę, firmy te muszą mieć alternatywną przesłankę legalizującą operowanie tymi danymi.
Może się jednak okazać, że unijna bądź krajowa instytucja, która stoi na staży ochrony danych, uzna taką przesłankę jako niewystarczającą.
Co to oznacza w dalszej perspektywie?
– Zarówno firmy, które do realizacji swoich usług korzystają z innych firm działających na terenie USA, jak i te firmy, które posiadają tam swoją infrastrukturę przetwarzania danych, staną przed ryzykiem wysokich kar nałożonych przez organy ochrony danych w sytuacji, gdy organ taki uzna, iż zastosowane przesłanki legalizujące transfer i przetwarzanie danych są niewłaściwe lub unieważnione. Firmy te będą musiały zatem szukać alternatywnych rozwiązań, które umożliwią unikanie ryzyka związanego z decyzjami w zakresie transferu i przetwarzania danych w USA, w tym takich, dla których nie dochodzi w ogóle do transferu danych do USA – twierdzi Łukasz Kołodziejczyk, Inspektor Ochrony Danych w ClickMeeting.
Koniec Tarczy a webinaria i wideokonferencje
Ta radykalna zmiana prawna ma duże przełożenie na branżę technologiczną, która działa w modelu SaaS (software as a service), gdzie dostawcy rozwiązań operują danymi swoich klientów (oraz ich klientów) i opierają swoje działanie na rozbudowanych infrastrukturach serwerowych.
Nie inaczej jest w przypadku platform do organizacji i prowadzenia webinarów, spotkań online czy wideokonferencji.
Dlaczego jest to tak ważne? Ponieważ wybuch pandemii sprawił, że te narzędzia stały się fundamentalnym aspektem do zdalnej komunikacji nauczycieli z uczniami, wykładowców (i szerzej – uczelni) ze studentami, organizatorów kursów z ich uczestnikami, managerów z pracownikami, dostawców produktów i usług z klientami czy inwestorami, etc. Dlatego też troska o bezpieczeństwo danych wszystkich ze stron biorących codzienny udział w tej komunikacji jest jednym z najwyższych priorytetów.
Rynek dostawców oprogramowania do webinariów i wideokonferencji jest zdominowany przez firmy z USA, co oznacza, że ich serwery znajdują się właśnie na terenie Stanów Zjednoczonych. Sprowadza się do tego, że dane ich klientów pochodzących z Europy trafiają właśnie tam, czyli poza zasięg norm GDPR.
– Z jednej strony prawo amerykańskie nie przewiduje niezbędnych ograniczeń i zabezpieczeń w odniesieniu do dozwolonych przepisami krajowymi ingerencji w prawo do prywatności i prawo do ochrony danych osobowych, z drugiej zaś strony nie zapewnia skutecznej ochrony sądowej przed tego rodzaju ingerencjami. Obywatele Unii nie mają dostępu do tych samych sądowych środków prawnych, którymi mogą posłużyć się obywatele amerykańscy w obronie przeciwko przetwarzaniu danych osobowych przez władze amerykańskie, a w niektórych przypadkach wręcz takich uprawnień nie mają w ogóle. Na tym właśnie opierają się zastrzeżenia dotyczące transferu danych z Unii do USA – twierdzi Karolina Nazarewicz, manager działu prawnego w ClickMeeting.
Rozwiązanie? Dane i serwery w Europie
Jeśli podchodzimy rozsądnie i odpowiedzialnie do ochrony danych, najpewniejszym, ale też najprostszym sposobem będzie niekorzystanie z platform do webinariów i spotkań online, które są spoza Europy i które przetwarzają dane na serwerach poza EOG.
ClickMeeting, jako polski dostawca takiego oprogramowania, działający zgodnie z przepisami RODO, nasuwa się tutaj jako naturalne rozwiązanie.
– Zarówno dane, które nasi klienci powierzają nam do przetwarzania, jak przede wszystkim serwery aplikacji służące do przechowywania danych, a co za tym idzie dane klientów w aplikacji, przetwarzane są na terenie Europejskiego Obszaru Gospodarczego, a dokładnie w Niemczech i we Francji – zaznacza Łukasz Kołodziejczyk.
Ponadto, wyrok TSUE dotyczący Tarczy wywołał niezadowolenie po drugiej stronie Atlantyku i wprowadza element niepewności w relacjach USA-UE. Tym bardziej korzystanie z europejskiego dostawcy, sprawia, że organizatorzy wydarzeń online nie muszą nerwowo oglądać się na polityczne przetasowania i decyzje w sprawie transferu i transatlantyckiego przetwarzania danych.
Prowadząc webinaria i wideokonferencje za pomocą ClickMeeting, firmy, szkoły, uczelnie oraz inne instytucje mają gwarancję:
- Standardów bezpieczeństwa przetwarzanych danych osobowych, czyli stosowanie się do reguł ustanowionych przez RODO;
- Prawnej ochrony przed inwigilacją ze strony organów państwowych;
- Dostępności skutecznych środków prawnych zapewnianych przez unijne przepisy i regulatorów w przypadku naruszenia danych osobowych.