Czy nadszedł czas na blef dotyczący prywatności danych w USA?

Jury zastanawia się, czy rozporządzenie podpisane przez prezydenta Bidena w dniu 7 października może rozwiązać problemy prawne podkreślone w sprawie Schrems II i przywrócić „zaufanie i stabilność” transatlantyckim przepływom danych, pisze Dick Roche, były irlandzki minister ds. europejskich, który odegrał kluczową rolę w irlandzkim referendum ratyfikującym traktat lizboński uznający ochronę danych osobowych za prawo podstawowe.

Unijne przepisy dotyczące ochrony danych są powszechnie uznawane za złoty standard regulacji danych i ochrony praw do prywatności poszczególnych obywateli.

Kiedy internet był w powijakach, w 1995 r. UE wkroczyła na nowy grunt, ustanawiając zasady regulujące przepływ i przetwarzanie danych osobowych w europejskiej dyrektywie o ochronie danych.

Na mocy traktatu lizbońskiego z 2007 r. ochrona danych osobowych stała się prawem podstawowym. Traktat o funkcjonowaniu Unii Europejskiej i Karta praw podstawowych UE, które weszły w życie w 2009 r., chronią to prawo.

W 2012 r. Komisja Europejska zaproponowała ogólne rozporządzenie o ochronie danych (RODO) określające kompleksowy zestaw reform mających na celu ożywienie europejskiej gospodarki cyfrowej i wzmocnienie bezpieczeństwa obywateli w Internecie.

W marcu 2014 r. Parlament Europejski odnotował przytłaczające poparcie dla RODO, gdy 621 posłów z różnych środowisk politycznych głosowało za tymi propozycjami. Tylko 10 posłów głosowało przeciw, a 22 wstrzymało się od głosu. 

RODO stało się globalnym modelem prawa ochrony danych.  

reklama

Prawodawcy w USA nie poszli tą samą drogą co Europa. W Stanach Zjednoczonych prawa do ochrony danych w sektorze organów ścigania są ograniczone: istnieje tendencja do uprzywilejowania organów ścigania i interesów bezpieczeństwa narodowego.

Dwie próby wypełnienia luki między podejściem UE i USA oraz stworzenia mechanizmu przepływu danych nie powiodły się, gdy Trybunał Sprawiedliwości UE uznał, że dość fantazyjnie nazwane ustalenia dotyczące Safe Harbor i Tarczy Prywatności są niezadowalające.  

Powstaje pytanie, czy nowe ustalenia dotyczące ram ochrony prywatności danych UE-USA określone w rozporządzeniu wykonawczym „Wzmocnienie zabezpieczeń dla działań wywiadowczych dotyczących sygnałów w Stanach Zjednoczonych” podpisanym przez prezydenta Bidena w dniu 7^th Październik odniesie sukces tam, gdzie zawiodły Safe Harbor i Privacy Shield. Istnieje wiele powodów, aby wątpić, że tak się stanie.

Schrems II ustawił wysoko poprzeczkę

W lipcu 2020 r. w sprawie Schrems II TSUE orzekł, że prawo amerykańskie nie spełnia wymogów w zakresie dostępu i wykorzystywania danych osobowych określonych w prawie UE.

Trybunał wskazał na utrzymującą się obawę, że wykorzystanie danych UE i dostęp do nich przez agencje amerykańskie nie są ograniczone zasadą proporcjonalności. Uznał, że „nie można wyciągnąć wniosku”, że porozumienie w sprawie Tarczy Prywatności UE-USA jest wystarczające, aby zapewnić obywatelom UE poziom ochrony równoważny temu gwarantowanemu przez RODO, i orzekł, że mechanizm Rzecznika utworzony w ramach Tarczy Prywatności jest niewystarczające i nie można zagwarantować jego niezależności.  

Propozycje przewodniczącego Bidena i aprobata Komisji Europejskiej

Na 7^th Październikowy prezydent Biden podpisał dekret wykonawczy (EO) „Wzmocnienie zabezpieczeń dla działań wywiadowczych dotyczących sygnałów w Stanach Zjednoczonych”.

Oprócz aktualizacji rozporządzenia wykonawczego z czasów Obamy w sprawie sposobu, w jaki działa ochrona danych w USA, rozporządzenie określa nowe ramy ochrony danych UE-USA.

Powiadomienie Białego Domu na temat EO charakteryzuje Framework jako przywracanie „zaufania i stabilności” transatlantyckim przepływom danych, które opisuje jako „kluczowe dla umożliwienia nawiązania stosunków gospodarczych między UE a USA o wartości 7.1 biliona dolarów” – jest to raczej przesadne twierdzenie.

W briefingu opisano nowe ustalenia jako wzmacniające „już rygorystyczny wachlarz zabezpieczeń prywatności i swobód obywatelskich dla działań wywiadowczych USA związanych z sygnałami”.

Twierdzi, że nowe ustalenia zapewnią, że amerykańskie działania wywiadowcze będą prowadzone wyłącznie w dążeniu do określonych celów bezpieczeństwa narodowego USA i będą ograniczone do tego, co jest „konieczne i proporcjonalne” – ukłon w stronę wyroku Schrems II.  

W briefingu określono również „wielowarstwowy mechanizm”, który umożliwi osobom poszkodowanym w wyniku działań wywiadu USA „uzyskanie () niezależnego i wiążącego przeglądu i dochodzenia roszczeń”.

Komisja Europejska zatwierdziła zarządzenie prezydenta Bidena, które entuzjastycznie przedstawia je jako zapewnienie Europejczykom, których dane osobowe są przekazywane do Stanów Zjednoczonych, „wiążących zabezpieczeń, które ograniczają dostęp do danych amerykańskich organów wywiadowczych do tego, co jest konieczne i proporcjonalne do ochrony bezpieczeństwa narodowego”. Bez wsparcia analizy, charakteryzuje on postanowienia Zakonu i Sądu dotyczące dochodzenia roszczeń jako „niezależne i bezstronne” mechanizmy „dochodzenia i rozstrzygania skarg dotyczących dostępu do danych (Europejczyków) przez krajowe organy bezpieczeństwa USA”.

Kilka poważnych pytań

W prezentacjach Białego Domu i Komisji jest wiele do zakwestionowania.

Wielu kwestionuje pogląd, że amerykańskie agencje wywiadowcze podlegają „rygorystycznemu szeregowi prywatności i swobód obywatelskich”. 

Pojawia się poważny problem dotyczący instrumentu prawnego wykorzystywanego przez USA do wprowadzania zmian. Nakazy wykonawcze to elastyczne instrumenty wykonawcze, które mogą być zmieniane w dowolnym momencie przez urzędującego prezydenta USA. Zmiana w Białym Domu może spowodować, że uzgodnione uzgodnienia trafią do kosza na śmieci, jak to miało miejsce, gdy prezydent Trump odszedł od żmudnie negocjowanego porozumienia o ograniczeniu programu nuklearnego Iranu w zamian za złagodzenie sankcji.

Pojawiają się również pytania, w jaki sposób słowa „niezbędny" i "procentowy”, które pojawiają się w Białym Domu, a oświadczenia Komisji mają zostać zdefiniowane. Interpretacja tych słów kluczowych może się znacznie różnić po obu stronach Atlantyku. 

Europejskie Centrum Praw Cyfrowych, organizacja założona przez Maxa Schremsa, zwraca uwagę, podczas gdy administracja USA i Komisja UE skopiowały słowa „niezbędny"I"procentowyz wyroku w sprawie Schrems II nie są one ad idem co do ich prawnego znaczenia. Aby obie strony były po tej samej stronie, Stany Zjednoczone musiałyby zasadniczo ograniczyć swoje systemy masowego nadzoru, aby dostosować je do unijnego rozumienia „proporcjonalnego” nadzoru i tak się nie stanie: masowy nadzór ze strony amerykańskich agencji wywiadowczych będzie kontynuowany zgodnie z nowymi ustaleniami.

Szczególnie poważne obawy budzi mechanizm dochodzenia roszczeń. Mechanizm stworzony przez EO prezydenta Bidena jest złożony, ograniczony i daleki od niezależności.

Ustalenia dotyczące zadośćuczynienia wymagają, aby skargi były najpierw składane do funkcjonariuszy ochrony wolności obywatelskich wyznaczonych przez amerykańskie agencje wywiadowcze w celu zapewnienia zgodności agencji z prywatnością i prawami podstawowymi – układ kłusownika, który stał się gajowym.  

Od decyzji tych funkcjonariuszy można się odwołać do nowo utworzonego Sądu Rewizyjnego Ochrony Danych (DPRC). Ten „Sąd” będzie „składał się z członków wybranych spoza rządu USA”.

Wątpliwe jest użycie słowa „sąd” do opisania tego organu. Europejskie Centrum Praw Cyfrowych odrzuca pogląd, że organ ten mieści się w normalnym rozumieniu art. 47 Karty praw podstawowych UE.

Jej „sędziowie”, którzy muszą posiadać „wymagane (amerykańskie) poświadczenie bezpieczeństwa”, zostaną wyznaczeni przez amerykańskiego prokuratora generalnego w porozumieniu z amerykańskim sekretarzem handlu.

Dalecy od bycia „poza rządem Stanów Zjednoczonych”, raz mianowani członkowie Trybunału stają się częścią machiny rządu USA.

W przypadku wniesienia odwołania do Trybunału przez skarżącego lub przez „element Wspólnoty Wywiadowczej”, panel złożony z trzech sędziów zbierze się w celu rozpatrzenia skargi. Panel ten ponownie wybiera specjalnego adwokata z „wymaganym poświadczeniem bezpieczeństwa” USA, który będzie reprezentował „interesy skarżącego w tej sprawie”.

W kwestii dostępu skarżący z UE muszą wnieść sprawę do odpowiedniej agencji w UE. Agencja przekazuje skargę do USA. Po rozpatrzeniu sprawy skarżący jest informowany „za pośrednictwem odpowiedniego organu w kwalifikującym się stanie” o wyniku „bez potwierdzania lub zaprzeczenia, że ​​skarżący był przedmiotem działań związanych z sygnałami Stanów Zjednoczonych”. Skarżący zostaną poinformowani jedynie, że „w przeglądzie nie stwierdzono żadnych naruszeń objętych niniejszą Umową” lub że wydano „orzeczenie wymagające odpowiednich środków zaradczych”. Trudno zrozumieć, w jaki sposób rozwiązania te spełniają test niezależności, którego nie powiodły propozycje Rzecznika w ramach Tarczy Prywatności. 

Ogólnie rzecz biorąc, ustalenia Sądu Rewizyjnego Ochrony Danych mają więcej niż powiew bardzo znienawidzonego Sądu FISA w USA, który jest powszechnie postrzegany jako niewiele więcej niż pieczątka dla amerykańskich służb wywiadowczych.

Co dalej?

Po przyjęciu nakazu wykonawczego USA akcja wraca do Komisji Europejskiej, która zaproponuje projekt decyzji stwierdzającej odpowiedni stopień ochrony i uruchomi procedury adopcyjne.

Procedura przyjmowania wymaga od Komisji uzyskania niewiążącej opinii Europejskiego Urzędu Ochrony Danych. Komisja musi również uzyskać zgodę komitetu złożonego z przedstawicieli państw członkowskich UE.

Parlament Europejski i Rada mają prawo zwrócić się do Komisji Europejskiej o zmianę lub cofnięcie decyzji stwierdzającej odpowiedni stopień adekwatności z uwagi na to, że jej treść wykracza poza uprawnienia wykonawcze przewidziane w rozporządzeniu RODO z 2016 r.

Jako organ bezpośrednio reprezentujący obywateli Europy i organ, który w tak zdecydowany sposób poparł zasady określone w RODO, Parlament Europejski ma obowiązek przyjrzeć się uważnie temu, co jest na stole, i mieć jasne spojrzenie na zakres, w jakim propozycje są zgodne z zasadami ustanowionymi w RODO z oczekiwaniami Europejczyków co do poszanowania ich praw do prywatności.

Jest bardzo mało prawdopodobne, aby fundamentalne różnice między UE a USA w zakresie ochrony praw do prywatności poszczególnych obywateli zostały zniwelowane przez zarządzenie prezydenta Bidena: kontrowersje wciąż mają swój bieg.

Udostępnij ten artykuł: