Nie ulega wątpliwości, że w świecie ochrony danych osobowych, zaszły ogromne zmiany od czasu, kiedy to w 2001 r. Komisja Europejska uznała „adekwatność” kanadyjskich standardów ochrony danych zawartych w akcie PIPEDA (ang. the Personal Information Protection and Electronic Documents Act – ustawie o danych osobowych i dokumentach elektronicznych). Standardy te zapewniały bezpieczeństwo danych przesyłanych z UE do Kanady. Jednak zmiany prawne zachodzące we Wspólnocie oraz intensywna współpraca gospodarcza Kanady z Unią, zmuszają Kraj Klonowego Liścia do zapewnienia swoim firmom zgodności z GDPR. Jak wyglądają zatem kanadyjskie starania w tym kierunku?
Kanada krok za innymi
W swoich transatlantyckich relacjach w obszarze ochrony danych prawodawca kanadyjski wypełnia niezmienione od lat standardy PIPEDA, co powoduje, że krajowe regulacje zaczęły widocznie odstawać od standardów europejskich. Od ostatniego sprawdzenia poziomu adekwatności stosowanej przez Kanadę regulacji minęło już prawie 16 lat. Pojawiają się zatem obawy, czy akt w dalszym ciągu wyznacza adekwatne standardy ochrony danych w świetle GDPR, który obowiązuje od kwietnia 2016 r., a zacznie być stosowany w maju 2018 r. i pośrednio będzie dotyczył również Kanady.
Sprawdzenie poziomu adekwatności ochrony
Komisja Europejska odpowiedzialna jest za badanie poziomu adekwatności ochrony danych osobowych w państwach trzecich spoza Europejskiego Obszaru Gospodarczego, do których transferowane są dane obywateli UE. W tym celu KE analizuje regulacje prawne obowiązujące w danym kraju, do którego mają być wysyłane dane Europejczyków, a następnie wydaje decyzję. Parlament Europejski może zwrócić się do KE o utrzymanie, zmianę lub cofnięcie wyrażonego stanowiska, jeżeli uzna to za konieczne.
Kanadyjczycy na cenzurowanym
Eksperci przewidują, że Kanada może stracić swój dotychczasowy status, jeżeli UE zdecyduje się ponowić przegląd. Otwartym pozostaje pytanie, czy Komisja zdecyduje się nań w najbliższym czasie. Niewątpliwie, negatywna ocena wywrze duży wpływ na interesy kanadyjskich przedsiębiorców.
Już w opinii wydanej w grudniu 2001 roku, Komisja bardzo wstrzemięźliwie odnosiła się do pozytywnej oceny kanadyjskich standardów ochrony. Gdy reszta świata dostosowywała prawo do najnowszych wyzwań ochrony prywatności, Kanada nie czyniła nic. Taka legislacyjna stagnacja, spowodowała, że kraj jest dziś daleko w tyle. Porównując kanadyjskie standardy ochrony danych z wymogami GDPR, uwidaczniają się tak istotne różnice, że mało prawdopodobnym jest, aby Komisja po raz kolejny wydała pozytywną decyzję.
Obawy takie podziela również Michael Geist, profesor prawa na Uniwersytecie w Ottawie. Wskazuje on również na udział Kanady w programie wymiany informacji wywiadowczych „Five Eyes”, w którym uczestniczą Stany Zjednoczone, Wielka Brytania, Australia i Nowa Zelandia. Tajemnicą Poliszynela jest, że UE ma nieprzychylny stosunek do tego tajnego sojuszu, w ramach którego pozyskiwano informacje przekazywane sobie przez głowy państw europejskich.
Problemy z USA, szansą dla Kanady
Jeżeli nawet okazałoby się, że Kanada nie zapewnia odpowiedniego poziomu ochrony i mogłaby utracić swój status, nie stanie się to szybko, bo nic nie zapowiada kontroli w najbliższym czasie – brak adekwatności zatem nie zostanie oficjalnie stwierdzony. Ponadto, niedawno, podpisano kompleksową umowę gospodarczo-handlową pomiędzy Kanadą, a Unią (CETA). Jeżeli UE, byłaby zaniepokojona kanadyjskim poziomem ochrony, zaznaczyłaby to w trakcie negocjacji porozumienia.
Kanada i tak jest w komfortowej sytuacji, ponieważ udało jej się uniknąć szumu medialnego, który dotknął Stany w związku z problemami z ochroną danych Amerykanów. To, że oczy całego świata skierowane są teraz na USA, paradoksalnie daje szansę na opóźnienie weryfikacji przez Komisje kanadyjskiego prawa ochrony prywatności. Zdaniem Kanadyjczyków, to właśnie Stany, na czele z Donaldem Trump’em, będą teraz w centrum zainteresowania europejskich władz.
Poziom adekwatności ochrony danych sprawdzany jest na dwa sposoby. Jednym z nich jest postępowanie przed sądem. W tym przypadku, oczywistym jest, że to Stany Zjednoczone są największym celem dlatego, że to właśnie tam znajduje się tak wiele podmiotów świadczących usługi Europejczykom. W Kanadzie nie ma zbyt wielu, dużych firm takich jak Google czy Facebook, które gromadzą dane osobowe na tak dużą skalę i mogłyby znaleźć się na celowniku Unii.
A może reformy?
Kanadyjscy eksperci ochrony danych, powinni pracować nad stworzeniem spójnego systemu prawnego, na przykład w dziedzinie prawa antyspamowego. Kanadyjski rząd ostatnimi laty nie zrobił nic, aby znowelizować prawo chroniące prywatność. Niemniej jednak władze przeanalizowały tej wiosny PIPEDA pod kątem zgodności z GDPR, a krajowy organ ochrony danych poparł propozycję aktualizacji aktu. Nie należy się jej jednak spodziewać przed wyborami parlamentarnymi w 2019 roku. Pytaniem otwartym jest, czy Kanada jest w stanie stawić czoła takiemu wyzwaniu?
Źródła:
