Podpisany przez prezydenta Joego Bidena akt prawny ma lepiej chronić prywatność Europejczyków. Już teraz jednak słychać głosy, że gwarancje są niewystarczające.

W ostatni piątek prezydent USA podpisał rozporządzenie wykonawcze mające wdrażać zawarte w marcu porozumienie z Unią Europejską w sprawie transferu danych. Ma to załatać lukę prawną, która istnieje od 2020 r., kiedy Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność wcześniejszego porozumienia „Privacy Shield” (Tarcza Prywatności). Od tego czasu, choć dane wciąż są wysyłane do USA, to legalność tych transferów jest co najmniej wątpliwa i zresztą kwestionowana przed organami ochrony danych wielu państw UE.
W czym problem? Chodzi o nieskrępowany dostęp, jaki na podstawie amerykańskiego prawa mają tamtejsze służby, do danych osobowych obcokrajowców. Nikogo nie muszą pytać o zgodę, wystarczy, że zażądają od amerykańskiej firmy dostępu do jej serwerów i muszą go otrzymać. Właśnie to zostało dwukrotnie zakwestionowane przez TSUE. Nowe rozporządzenie wykonawcze ma nakładać na służby pewne ograniczenia. Istotny jest też sam fakt podpisania go przez prezydenta Joego Bidena.
- Patrząc historycznie, można zaobserwować tendencję do zwiększania formalnej rangi zapewnień rządu federalnego USA dotyczących kwestii działań służb amerykańskich w ramach porozumień z Unią - na etapie pierwszego z nich: „Safe Harbor” nie było to w żaden sposób poruszone, „Privacy Shield” towarzyszyła jednostronna deklaracja podpisana przez jednego z urzędników rządu federalnego, teraz natomiast mamy rozporządzenie wykonawcze podpisane przez prezydenta - zwraca uwagę dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Kluczowe są dwa użyte w nim określenia - pozyskiwanie danych przez służby ma być „niezbędne” i „proporcjonalne”. Po pierwsze, więc takie działania mają być prowadzone tylko wówczas, gdy jest to niezbędne w ramach zdefiniowanych celów bezpieczeństwa narodowego, po drugie, ma się to odbywać proporcjonalnie do tych celów.
Drugi ważny element nowego aktu to powołanie specjalnego sądu, do którego będą mogli skarżyć się Europejczycy, jeśli uznają, że ich dane zostały przez amerykańskie agencje pozyskane bezprawnie, i żądać zadośćuczynienia.
- To porozumienie dużo zmienia. Jest kompleksowe, wprowadza ścieżkę odwoławczą, proces nadzoru i zaawansowany proces na poziomie Departamentu Sprawiedliwości, który jest już wdrażany. Wiemy, że w ustalaniu tego wszystkiego zaangażowana była KE, a być może do pewnego stopnia również europejski inspektor ochrony danych. Stąd chcielibyśmy wszyscy wierzyć, że w obecnych niespokojnych czasach to porozumienie będzie dawać solidne gwarancje. Bo dwa poprzednie z dzisiejszej perspektywy można odbierać w charakterze żartu i zamiecenia pod dywan gwarancji prywatności i ochrony danych - komentuje dr Łukasz Olejnik, niezależny badacz i doradca prywatności, autor „Filozofii cyberbezpieczeństwa”.

Nowy akt, te same zastrzeżenia

Już teraz słychać jednak głosy, że zobowiązania przyjęte w rozporządzeniu wykonawczym mogą nie spełniać niezbędnych warunków wskazanych w orzecznictwie TSUE. Podnosi je m.in. Max Schrems, którego skargi doprowadziły do stwierdzenia nieważności dwóch wcześniejszych porozumień (patrz: grafika) oraz założona przez niego organizacja NOYB - European Center for Digital Rights (jej nazwa to skrót od „none of your business” - „nie twój interes”). Ich zdaniem mimo używania tych samych określeń, które znajdują się w RODO, są one inaczej rozumiane przez stronę amerykańską i europejską. Przede wszystkim zaś nie gwarantują rezygnacji przez USA z systemu masowego nadzoru.
- Komisja Europejska ponownie przymyka oko na prawo amerykańskie, aby umożliwić dalsze szpiegowanie Europejczyków - stwierdził Max Schrems. Kwestionuje też skuteczność planowanego sądu. Przede wszystkim dlatego, że Europejczycy nie będą wiedzieć, czy znajdowali się pod obserwacją amerykańskich służb.
Czy te komentarze oznaczają, że należy spodziewać się kolejnej sprawy przed TSUE kwestionującej kolejne porozumienie, którą już dzisiaj można umownie nazwać Schrems III?
- Tego właśnie się spodziewam, czytając, że zmiana terminologii nic nie zmieni, ponieważ zapewne konieczność i proporcjonalność będą w USA rozumiane inaczej niż w Europie, a sąd tak naprawdę nie jest sądem, ale elementem władzy wykonawczej - mówi dr Paweł Litwiński.

Konieczna decyzja KE

Doktor Łukasz Olejnik nie podejmuje się przewidywań, jakiego rozstrzygnięcia można by oczekiwać, gdyby sprawa znów trafiła do TSUE.
- Choć obecne ustalenia są bardzo odmienne do tego, co proponowano dawniej. Wydaje się, że uznanie adekwatności - jako wyniku procesu politycznego - będzie tylko formalnością, a Europejska Rada Ochrony Danych też nie sprawi problemu - zaznacza.
Podpisanie rozporządzenia wykonawczego nie oznacza, że porozumienie UE-USA już teraz może stanowić podstawę do przesyłania danych za Atlantyk. Wcześniej Komisja Europejska musi wydać decyzję stwierdzającą, że USA zapewniają odpowiednią ochronę zgodnie z art. 45 RODO. W trakcie tej procedury będzie musiała wysłuchać opinii EROD oraz państw członkowskich, ale nie będzie związana ich zaleceniami. W praktyce wydanie tej decyzji zajmie co najmniej kilka miesięcy, więc można jej się spodziewać w 2023 r.
Do tego czasu ewentualny transfer danych można opierać na standardowych klauzulach umownych. Eksperci ostrzegają jednak, że w praktyce zgodność z RODO zapewnia jedynie szyfrowanie danych, tak aby nie były możliwe do odczytania przez amerykańskie służby.
Programy uchylone przez TSUE / Dziennik Gazeta Prawna - wydanie cyfrowe