Chmura obliczeniowa
Sytuacja pandemii Covid-19, zamknięcie całych sektorów gospodarki, przeniesienie pracy do trybu zdalnego i paląca konieczność uelastycznienia prowadzonego biznesu pokazały, że jedną z kluczowych technologii dla przetrwania w tych trudnych czasach jest szeroko rozumiana technologia chmurowa. Dla prawnika jednak chmura obliczeniowa to przede wszystkim przetwarzanie danych osobowych. Przy korzystaniu z usług chmurowych kluczowe jest zapewnienie odpowiedniego poziomu ochrony danych osobowych, które będą przekazywane i przetwarzane u dostawcy chmurowego. Ponieważ najwięksi dostawcy chmurowi często korzystają z centrów danych zlokalizowanych poza EOG, w tym przede wszystkim w Stanach Zjednoczonych, warto zastanowić się, jaki wpływ na przetwarzanie danych w chmurze będzie miał nowy wyrok Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 roku w sprawie Schrems II? Czy wyrok przełoży się na inwestycje w centra danych w Europie i Polsce?
Aktywista Maks Schrems w starciu z gigantem
Za wyrokiem TSUE z 16 lipca 2020 roku stoi austriacki aktywista Maximilian Schrems, który już po raz drugi w Europejskim Trybunale wygrał z Facebookiem. Transfer danych europejskich użytkowników do USA okazał się niezgodny z europejskimi przepisami. Trybunał Sprawiedliwości UE unieważnił decyzję wykonawczą Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (dalej jako „Tarcza Prywatności”), uznając, że prawo USA daje właściwym służbom wywiadowczym USA szeroki dostęp do danych osobowych osób niebędących obywatelami USA, natomiast nie zapewnia im odpowiedniej ochrony prawnej, w tym prawa do sądu. W wyroku nie został przewidziany żaden okres odroczenia jego skutków, dlatego jest stosowany od 16 lipca 2020 r.
Zobacz również
Maximilian Schrems, który stoi na radykalnym stanowisku, że przekazywanie danych do USA nie jest dopuszczalne ani na podstawie Tarczy Prywatności (unieważnionej na mocy ww. wyroku), ani na podstawie tzw. Standardowych Klauzul Umownych (dalej jako „SCC”) dąży do całkowitego powstrzymania przekazywania danych osobowych z terenu EOG do USA.
Dotychczas przesyłanie danych osobowych pomiędzy UE a Stanami Zjednoczonymi następowało na podstawie jednej z dwóch metod, które gwarantowały odpowiednie zabezpieczenia. Była to Tarcza Prywatności, czyli program, w ramach którego Komisja Europejska kontroluje adekwatność zabezpieczeń, bądź Standardowe Klauzule Umowne tzw. SCC, czyli klauzule przyjęte przez Komisję Europejską, które powinny zostać zawarte w umowie z odbiorcą danych. W praktyce stanowią one przeważnie element innej umowy, np. umowy o świadczenie usług chmurowych.
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej stwierdził jednak nieważność Tarczy Prywatności. Warto zaznaczyć, że podobna sytuacja, również za sprawą austriackiego aktywisty Maxa Schremsa, miała miejsce już 2015 r., kiedy unieważniono poprzednika Tarczy Prywatności, czyli program Bezpieczna Przystań. Być może dlatego część firm, pamiętając rok 2015, decyduje się obecnie na dodatkową podstawę transferu danych w postaci SCC.
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
Co wynika z wyroku TSUE w sprawie Schrems II dla dostawców chmurowych?
Z wyroku TSUE wynikają dwie podstawowe kwestie:
Słuchaj podcastu NowyMarketing
- Trybunał unieważnił stosowanie Tarczy Prywatności jako niezapewniającej odpowiedniego poziomu zabezpieczenia podczas przesyłania danych osobowych poza EOG do Stanów Zjednoczonych – głównie z powodu potencjalnego nieograniczonego dostępu rządu USA do danych osobowych europejskich obywateli i tym samym naruszenia Karty praw podstawowych Unii Europejskiej.
- Dodatkowo stwierdzono, że SCC stanowią odpowiednie zabezpieczenie przy przekazywaniu danych osobowych poza EOG stronom trzecim, w związku z czym nie zostały unieważnione jako podstawa transferu. Wskazano jednak przy tym, że korzystanie z SCC powinno podlegać dokładniej ocenie, czy konkretny transfer danych gwarantuje odpowiednie zabezpieczenia. Oceny tej powinien dokonywać przede wszystkim podmiot eksportujący dane, ale również odbiorca danych. Do tej pory praktyka biznesowa stosowania SCC wyglądała tak, że ich podpisanie gwarantowało zgodny z prawem transfer danych i nie przeprowadzano dodatkowej analizy w tym zakresie. Takie podejście, zgodnie z powołanym orzeczeniem, powinno ulec zmianie. Poza podpisaniem SCC należy również ocenić stopień ochrony zapewniany przy danym transferze, w tym wziąć pod uwagę ewentualny dostęp do danych organów państwa trzeciego. Biorąc pod uwagę fakt, że zgodnie w wyrokiem TSUE mechanizmy i prawo USA nie gwarantuje ochrony praw obywatelom UE, można poddać w wątpliwość możliwość wykorzystania SCC jako podstawy transferu danych osobowych.
W następnych tygodniach i miesiącach bez wątpienia będziemy obserwowali dalszy rozwój tej sprawy, w tym oświadczenia i / lub wytyczne Komisji Europejskiej, Europejskiej Rady Ochrony Danych i krajowych organów nadzoru, które dostarczą więcej wskazówek na temat ich oczekiwań, dalszych wytycznych dla przedsiębiorstw i ram czasowych ich implementacji. Wytyczne europejskich organów stają się coraz bardziej konieczne w obliczu działań podjętych przez organizację NOYB, założoną przez Maxa Schremsa. 17 sierpnia 2020 r. organizacja złożyła 101 skarg skierowanych do organów w 30 różnych krajach UE, zarzucając im bezprawny transfer danych do Stanów Zjednoczonych. Dzisiaj trudno przewidzieć jak wyrok w sprawie Schrems II i dalsze działania organizacji NOYB wpłyną na rynek usług chmurowych w Europie. Eksperci są jednak zdania, że transferu danych dzisiaj nie da się zatrzymać i konieczne będzie wypracowanie nowych mechanizmów, które umożliwiłyby bezpieczne i zgodne z prawem przesyłanie danych osobowych obywateli europejskich.
Z pewnością wielu dostawców chmurowych, którzy posiadają swoje centra danych w USA będzie musiało znaleźć rozwiązanie zapewniające legalność transferu danych obywateli europejskich.
Lokalizacja danych według KNF
Kwestia lokalizacji centrów przetwarzania danych w Stanach Zjednoczonych jest dodatkowo istotna dla podmiotów działających na polskim rynku finansowym. Oprócz przepisów w zakresie ochrony danych osobowych, przy wykorzystywaniu usług chmurowych podmioty nadzorowane muszą dodatkowo spełniać wytyczne nadzorcy oraz sektorowe przepisy prawa. Kwestia lokalizacji centrum przetwarzania danych została podniesiona przez KNF już w Komunikacie Chmurowym opublikowanym w styczniu 2020 r.
KNF nakazuje, aby w sposób niebudzący wątpliwości wskazać w umowie chmurowej, gdzie będą przetwarzane dane w chmurze (zasadniczo gdzie znajduje się centrum przetwarzania danych – „CPD”). Może się to również odbywać poprzez odniesienie do odpowiednich dokumentów czy narzędzi (w praktyce takiego wyboru będzie można dokonać z poziomu konsoli administratora, gdzie samodzielnie dokonuje się wyboru lokalizacji przetwarzania danych). Ze względów bezpieczeństwa, KNF dopuszcza jako minimum wskazanie „strefy dostępu” lub regionu, np. wskazanie określonej części państwa członkowskiego. KNF rekomenduje jednak w Komunikacie Chmurowym, aby serwery obsługujące chmurę były zlokalizowanych na terenie państw należących do EOG (dla podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa powinien być to jednak terytorium Polski). Dodatkowo, dla podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa („KSC”) nadzorca wskazuje jako preferowane, CPD zlokalizowane na terytorium Polski. Przypomnijmy tutaj, że KSC będzie obejmowało swoim zakresem m.in. banki. W obliczu niepewności związanej z możliwością transferu danych poza EOG KNF może bardziej niż wcześniej naciskać na wybór CPD na terytorium EOG czy Polski. Takie oczekiwania KNF na dzień dzisiejszy mogą być problematyczne ze względu na brak CPD dużych dostawców na terytorium Polski. Nadzieję na rozwiązanie tego praktycznego problemu dają nowe, miliardowe inwestycje bigtechów w naszym kraju.
Polska Dolina Cyfrowa panaceum na Schrems II
Odpowiedzią na niejasną sytuację z transferem danych poza EOG oraz dość stanowcze oczekiwanie KNF co do lokalizacji CPD dla podmiotów regulowanych, mogą być nowe inwestycje w ogromne centra danych największych dostawców chmurowych w kraju nad Wisłą. Polska Dolina Cyfrowa to projekt skupiający liczne polskie przedsiębiorstwa, instytucje państwowe i uczelnie, mający na celu doprowadzenie do rozwoju w naszym kraju nowoczesnych technologii z dużym potencjałem i zbudowanie pozycji lidera technologicznego w Europie Środkowo-Wschodniej. Mając na względzie, że popyt na usługi związane z chmurą w Europie rośnie w ogromnym tempie, nie tylko Microsoft, ale też Google niedawno ogłosili budowę centrów danych w Polsce. Google i Microsoft zadeklarowały, że w najbliższych latach zainwestują w Polsce w sumie 3 mld dolarów. Na początku przyszłego roku w okolicach Warszawy ma wystartować najpierw warta 1,5–2 mld dol. inwestycja w Google Cloud, dzięki której powstanie kilka tysięcy nowych miejsc pracy. Z kolei Microsoft w maju podpisał z operatorem Chmury Krajowej porozumienie, na mocy którego utworzy w Polsce wart około 1 mld dol. regionalny hub technologiczny, czyli pierwszy region przetwarzania danych tej firmy w Europie Środkowo-Wschodniej. Oba projekty mają znacząco napędzić krajową gospodarkę i uczynić z Polski główny, cyfrowy hub w tym regionie Europy. Być może nowe inwestycje w polskie centra danych będą lekarstwem na, jak widać powracające problemy związane z legalnością transferu danych osobowych poza EOG. Oczywiście nie możemy już dzisiaj zakładać, że Google czy Microsoft będą świadczyć swoje usługi przetwarzania danych w chmurze wyłącznie z terytorium Polski, bo już wiemy, że w przypadku niektórych usług czy procesów jest to niemożliwe. Niemniej jednak nowe inwestycje w naszym kraju z pewnością przyczynią się do rozwoju usług chmurowych w rejonie i należy mieć nadzieję, że w perspektywie czasu staną się odpowiedzią na wymogi regulacyjne.
Autorki:
Justyna Wilczyńska-Baraniak, adwokat, kierownik i wykładowca studiów Prawo w biznesie nowych technologii realizowanych w Centrum Kształcenia Podyplomowego Uczelni Łazarskiego. Associate Partner, adwokat i Lider Zespołu Prawa Własności Intelektualnej, Technologii oraz Danych osobowych w EY Law. Posiada ponad kilkunastoletnie doświadczenie w zakresie strategicznego doradztwa na rzecz multi-jurysdykcyjnych klientów w sprawach związanych z własnością intelektualną, transferem technologii, licencjonowaniem oraz wdrażaniem systemów informatycznych. Brała udział w pracach grupy roboczej ds. IOT w Ministerstwie Cyfryzacji oraz IP Box w Ministerstwie Finansów. Doradza w zakresie prawnych aspektów technologii 5 G, w tym min. doradzała w projekcie realizowanym dla konsorcjum, którego liderem było Ministerstwo Cyfryzacji z udziałem Instytutu Łączności oraz Politechniki Warszawskiej. Prowadziła szkolenia w zakresie nowego komunikatu chmurowego dla sektora finansowego, w szczególności prowadziła szkolenie dla sektora ubezpieczeniowego wraz z dostawcą technologii Microsoft. Rekomendowana w globalnych rankingach Chambers Global i Chambers Europe (2017, 2018, 2019, 2020) za doskonałą reprezentację klientów.
Joanna Gałajda, LLM wykładowca studiów Prawo w biznesie nowych technologii realizowanych w Centrum Kształcenia Podyplomowego Uczelni Łazarskiego. Prawnik IT w kancelarii EY Law. Joanna specjalizuje się w prawie nowych technologii, w tym w szczególności w kontraktach IT oraz wdrożeniach informatycznych. Główny obszar jej zainteresowań zawodowych stanowią zagadnienie związane z cloud computingiem, cyberbezpieczeństwem oraz sztuczna inteligencją. Joanna pracowała przy dużych projektach wdrożeniowych w sektorze bankowym oraz uczestniczyła w dużych sporach informatycznych dotyczących wdrożeń IT. Joanna posiada bardzo duże doświadczenie w przygotowywaniu i negocjowaniu wszelkiego rodzaju umów IT, w tym umów wdrożeniowych, utrzymaniowych, serwisowych, outsourcingowych oraz umów na usługi chmurowe. Joanna regularnie doradza klientom zarówno polskim jak i zagranicznym, w tym klientom z sektora IT jak i klientom operującym na rynku regulowanym. Joanna jest częstym prelegentem na konferencjach poświęconym nowym technologiom jak również jest autorem publikacji z tej tematyki. Joanna jest absolwentką Uniwersytetu Wrocławskiego. Zdobyła również tytuł LL.M. amerykańskiej uczelni Chicago-Kent College of Law (Illinois Institute of Technology).