Czy polityka Trumpa pogrzebie EU-US Data Privacy Framework?

Działania podejmowane w ostatnich miesiącach przez amerykańską administrację wywołują kolejne pytania o to, czy Stany Zjednoczone rzeczywiście zapewniają odpowiedni poziom ochrony danych osobowych. Funkcjonowanie Data Privacy Framework budzi coraz więcej kontrowersji.

Decyzja Komisji Europejskiej o uznaniu adekwatności ochrony w Stanach Zjednoczonych w ramach Data Privacy Framework od samego początku budziła wiele wątpliwości. Kompromis wypracowany z administracją Joego Bidena nigdy nie był idealny, a kilka tygodni po pojawieniu się decyzji do Trybunału Sprawiedliwości Unii Europejskiej wpłynęły pierwsze wnioski o jej zbadanie.

Data Privacy Framework, czyli większa ochrona danych

Data Privacy Framework opierał się na ewolucji procesu przetwarzania danych osobowych w prowadzonych przez Stany Zjednoczone działaniach operacyjnych. Główne zmiany koncentrowały się wokół rozporządzenia wykonawczego w sprawie wzmocnienia zabezpieczeń dla działań wywiadowczych Stanów Zjednoczonych z 7 października 2022 r.

Zmiany dotyczyły m.in. zwiększenia gwarancji dla prywatności i innych swobód obywatelskich w ramach działalności wywiadowczej oraz ograniczenia działań wywiadowczych tylko do tego, co konieczne i proporcjonalne, oraz służyły wyłącznie do realizacji 12 określonych, uzasadnionych celów w zakresie bezpieczeństwa narodowego. Masowe gromadzenie danych wywiadowczych wciąż jest dozwolone, ale znacznie ograniczono zakres danych, które można w tym zakresie przetwarzać.

Niezależny organ nadzorczy wybierany przez organy polityczne

Jednocześnie podstawą funkcjonowania Data Privacy Framework było ustanowienie i funkcjonowanie niezależnego organu, który miał za zadanie rozpatrywać skargi (obywateli Unii Europejskiej) w zakresie ewentualnych naruszeń w przetwarzaniu ich danych. Ustanowienie takiego organu od początku budziło sporo wątpliwości w zakresie jego niezależności, biorąc pod uwagę, że był on wybierany przez organy polityczne. W świetle sposobu, w jaki wybierane są europejskie organy ochrony danych (również przez gremia polityczne), nie zawsze można było je uznać za uzasadnione.

Warto jednak pamiętać, że w Stanach Zjednoczonych funkcjonuje rozproszona kontrola w tym zakresie – skargami z tytułu naruszeń ochrony danych zajmuje się zarówno Federalna Komisja Handlu, Departament Zdrowia, Departament Sprawiedliwości, Departament Bezpieczeństwa Wewnętrznego, wyspecjalizowany sąd do spraw wywiadowczych (FISC), jak i Rada ds. Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB). To właśnie tej ostatniej instytucji dotyczą zmiany, które nowa administracja wprowadziła na początku 2025 r.

Trzech demokratycznych członków PCLOB zwolniono

Prezydent Trump zwolnił wszystkich trzech demokratycznych członków PCLOB, zmniejszając pięcioosobową radę poniżej kworum i skutecznie uniemożliwiając jej działalność. Posunięcie to było częścią restrukturyzacji federalnych organów nadzoru, w tym likwidacji Rady ds. Przeglądu Cyberbezpieczeństwa (Cyber Safety Review Board). Zwolnieni członkowie zakwestionowali swoje usunięcie w sądzie, argumentując, że naruszyło to ustawową niezależność urzędu.

W maju 2025 r. sąd federalny orzekł, że zwolnienia były niezgodne z prawem i przywrócił dwóch członków rady. Decyzja ta podkreśliła prawne granice władzy wykonawczej nad niezależnymi organami nadzoru. Tymczasowe braki w obsadzeniu PCLOB utrudniły zdolność rady do kontrolowania rządowych programów nadzoru i ochrony swobód obywatelskich. Dodatkowo, dysfunkcja rady wzbudziła obawy o rzeczywistą niezależność organów nadzorczych w Stanach Zjednoczonych, a co za tym idzie – zasadność funkcjonowania Data Privacy Framework.

Monitorowanie social mediów imigrantów

Już podczas swojej pierwszej kadencji – w 2017 r. – prezydent Trump wprowadził „ekstremalną weryfikację”, czyli zintensyfikowaną kontrolę wniosków wizowych, w tym dokładniejsze badanie mediów społecznościowych wnioskodawców. We wrześniu 2017 r. Departament Bezpieczeństwa Wewnętrznego wydał opublikowane w Rejestrze Federalnym zawiadomienie wskazujące, że będzie gromadzić i przechowywać informacje z mediów społecznościowych na temat wszystkich osób przechodzących przez amerykański system imigracyjny.

Od 2019 r. formularze wizowe DS-160 oraz DS-260 wymagają ujawnienia w nich wykorzystywanych przez aplikującego kont w portalach społecznościowych. Ostatnie zmiany wprowadzone rozporządzeniem wykonawczym 14161 rozszerzają katalog formularzy wizowych, które wymagają podania kont w portalach społecznościowych, o kolejne dziewięć kategorii migrantów.

Jednym z największych powodów do niepokoju jest to, że nawet naturalizowani obywatele USA mogą podlegać ciągłemu nadzorowi rządowemu. Departament Bezpieczeństwa Wewnętrznego temu zaprzeczył, ale stwierdził, że zachowa wszelkie informacje z mediów społecznościowych zebrane przed uzyskaniem przez daną osobę obywatelstwa USA. Oznacza to, że wiedza pochodząca z social mediów na temat osób, które stosunkowo niedawno uzyskały obywatelstwo, wciąż będzie przechowywana w aktach przez ten departament.

Śledzeni są nie tylko nowi

Warto zauważyć, że kontrola mediów społecznościowych nie dotyczy tylko tych, którzy dopiero starają się w legalny sposób dostać do Stanów Zjednoczonych. Intensywna weryfikacja odbywa się również wobec osób (szczególnie studentów i naukowców), które już zostały wpuszczone do kraju, ale głoszą poglądy niewygodne dla władzy bądź sprzeczne z oficjalnym stanowiskiem rządu.

Administracja skoncentrowała swoje wysiłki w ramach programu „catch and revoke” na zagranicznych studentach, którzy zaangażowali się w działania propalestyńskie, określając ich jako „pro-Hamas”. Rząd planuje wykorzystać program Student and Exchange Visitor Program do przeglądu instytucji szkolnictwa wyższego, które zezwalały na manifestacje solidarności z Palestyną, sugerując, że może odebrać tym instytucjom certyfikaty uniemożliwiające im przyjmowanie posiadaczy wiz studenckich.

Rodzi to oczywiste pytania o suwerenność uczelni wyższych, wolność słowa i prowadzenia badań naukowych. Warto o tym pamiętać, szczególnie że w świetle art. 45 RODO decyzja o uznaniu adekwatności ochrony powinna się opierać również na analizie przestrzegania podstawowych praw i wolności w państwie, którego dotyczy.

Centralizacja danych osobowych

Jedną z instytucji powołanych przez administrację prezydenta Trumpa, które budzą najwięcej kontrowersji, jest Departament Efektywności Rządowej (DOGE). Oprócz cięć budżetowych oraz przeglądu „istotności” niektórych z istniejących instytucji DOGE zajął się również kwestią centralizacji danych osobowych.

Jak donosi „The Washington Post” w tekście „DOGE aims to pool federal data, putting personal information at risk”, do niedawna nadzorowany przez Elona Muska zespół zbierał dane z całego rządu, często z pominięciem oficjalnych procedur. Intensyfikacja wysiłków na rzecz ujednolicenia systemów w jeden centralny ośrodek miała na celu przyspieszenie wielu priorytetów administracji Trumpa, w tym znalezienie i deportację nieudokumentowanych imigrantów oraz wykorzenienie oszustw w płatnościach rządowych. Wynika to z marcowego zarządzenia wykonawczego mającego na celu wyeliminowanie „silosów informa cyjnych”.

Urzędnicy DOGE starali się połączyć bazy danych, które od dawna były przechowywane oddzielnie, przetwarzać wspólnie zarówno wyjątkowo chronione w Stanach Zjednoczonych numery SSN (odpowiednik polskiego PESEL), jak i dane dotyczące zdrowia, informacje pozyskane w procesie wydawania wiz, informacje dotyczące historii zatrudnienia, informacje dotyczące niepełnosprawności. Co więcej, dotychczas stosowane w osobnych rejestrach zabezpieczenia były masowo usuwane.

Chociaż prawnicy zajmujący się ochroną danych osobowych, dziennikarze i aktywiści alarmowali i wskazywali na ryzyka związane z przechowywaniem wszystkich danych w jednej bazie oraz słabe zabezpieczenia techniczne, administracja wciąż nie dostrzega tych problemów.

Czy Data Privacy Framework się utrzyma?

Ostatnie działania podejmowane przez administrację prezydenta Trumpa budzą uzasadnione wątpliwości. Jak już dwukrotnie podkreślał TSUE, badając transfer danych osobowych do państwa trzeciego (w tym Stanów Zjednoczonych), sąd ma brać pod uwagę rzeczywisty poziom ochrony, a nie ten deklarowany przez władze danego kraju.

W związku z działaniami związanymi z osłabieniem niezależności organu konsultacyjnego i nadzorczego w sprawach dotyczących danych osobowych, szeroko pojętą inwigilacją osób, których poglądy nie są zgodne z linią amerykańskiego rządu, oraz działaniami nastawionymi na scentralizowanie baz danych (a przy tym osłabienie ich odporności na zewnętrzne ataki) europejscy administratorzy, którzy przekazują dane osobowe do Stanów Zjednoczonych na podstawie Data Privacy Framework, powinni się przygotować na zmiany i rozpocząć wdrażanie w swoich organizacjach innych mechanizmów transferu.

Wydaje się, że wynik rozpatrywanej obecnie przez TSUE sprawy o unieważnienie decyzji w sprawie Data Privacy Framework może mieć tylko jedno rozstrzygnięcie – i to nie to preferowane przez Komisję Europejską. ©℗

Tekst powstał w ramach badań finansowanych przez Narodowe Centrum Nauki (numer rejestracyjny 2021/41/N/HS5/03225)

dr Dominika Kuźnicka-Błaszkowska

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję

Źródło: Dziennik Gazeta Prawna

dr Dominika Kuźnicka-Błaszkowska

prawniczka i badaczka specjalizująca się w prawie nowych technologii, ochronie danych osobowych oraz regulacjach dotyczących deepfake. Digital Justice Center, Uniwersytet Wrocławski, fot. Materiały prasowe

Zobacz wszystkie artykuły tego autora

Czy polityka Trumpa pogrzebie EU-US Data Privacy Framework? »

Tematy: Data Privacy Framework ochrona danych osobowych Komisja Europejska

Newsletter

Drukuj

Skopiuj link

Zgłoś błąd na stronie

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

Jest nieaktualna

Jest niedokładna

Nie dotyczy informacji, których szukam

Inny powód

Reklama