Zagadnienie transferu danych do USA budzi duże emocje od roku 2015. Wskutek wyroku Trybunału Sprawiedliwości UE w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schremsowi (Schrems II) z 16 lipca 2020 r., uchylona została decyzja o adekwatności podmiotów certyfikowanych w ramach programu Privacy Shield. Od tego czasu trwają próby utworzenia nowego rozwiązania pozwalającego na taki transfer i uproszczenie zasad transferu danych pomiędzy państwami Unii Europejskiej a USA.
Transfer danych do USA – Prace nad projektem
W grudniu ubiegłego roku Komisja Europejska i rząd USA doszły do wstępnego porozumienia dotyczącego transferu danych z USA. Jego podstawowe założenia oparte były o prezydencki dekret Joe Bidena (14086), który utworzył mechanizm odwołań chroniących obywateli UE oraz wprowadził zasady proporcjonalności i niezbędności do działania służb USA w zakresie instalowania podsłuchów. Projekt decyzji w przypadku jego przyjęcia w niezmienionej formie wstępnie zezwala na transfer danych do USA w systemie przypominającym wcześniejsze privacy shield.
Maximillian Schrems, inicjator postępowań dotyczących dwóch poprzednich ram transferu danych do USA poinformował że nie miał możliwości szczegółowego zapoznania się z treścią nowej decyzji, ale wyraził sceptycyzm dotyczący jej skuteczności w dłuższej perspektywie czasu, w związku z oparciem o rozwiązania zapisane w Dekrecie Prezydenckim, a nie ustawie. W jego ocenie „Komisja Europejska przyjmuje wciąż podobne i podobne decyzje, w oczywistym naruszeniu naszych podstawowych wolności”. W przypadku przyjęcia decyzji, postępowanie w sprawie Schrems III bądź IV wydaje się być wysoce prawdopodobne.
Transfer danych z USA – wstępne porozumienie
Projekt na początku marca był przedmiotem analizy Europejskiej Rady Ochrony Danych, a następnie Parlamentu Europejskiego. EROD wypowiedziała się pozytywnie, choć miała pewne zastrzeżenia. Według Rady należy poprawić kwestie praw osób, których dane są przetwarzane oraz kontrolę nad przestrzeganiem decyzji i systemu skarg. EROD miała wątpliwości co do odstępstw od prawa dostępu, braku definicji, niejasności w stosowaniu zasad i szerokich odstępstw od prawa dostępu do informacji publicznie dostępnych oraz braku szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji i profilowania. Podkreślała, że stopień ochrony nie może być podważany przez przekazywanie danych.
Europejska Rada Ochrony Danych zaproponowała regularne przeglądanie decyzji o adekwatności co najmniej raz na trzy lata oraz przestrzeganie ich ze strony USA, aby nowe porozumienie było trwalsze niż poprzednie.
Negatywna opinia Komisji Wolności i Praw Obywatelskich Parlamentu Europejskiego
12 kwietnia Komisja Wolności i Praw Obywatelskich Parlamentu Europejskiego wydała negatywną opinię w sprawie nowego mechanizmu. O ile poprzednia wersja decyzji dla transferu danych – Tarcza Prywatności, została przyjęta stosunkowo szybko (już 5 miesięcy po rozpoczęciu prac) to tym razem organy unijne będą o wiele ostrożniejsze przy zawieraniu porozumienia. W celu zrozumienia przyczyn tego stanu rzeczy oraz sytuacji aktualnych prac należy odwołać się do źródeł postępowania.
Poprzednie postanowienie dotyczące przekazywania danych do USA było bardzo nietrwałe i już po 3 latach od jego zawarcia zostało uchylone. Główną przyczyną była tutaj nieskuteczność istniejących gwarancji oraz fakt, że organy USA nie były szczególnie zainteresowane jego praktycznym przestrzeganiem. Trybunał Sprawiedliwości UE w rozstrzygnięciu w sprawie Schrems II wielokrotnie wskazywał, że w celu skutecznego funkcjonowania mechanizmu transferu danych musi istnieć skuteczny sposób ich ochrony w systemie prawnym państwa docelowego (USA). Dopóki nie ma takiego systemu, nie ma możliwości uznania USA za państwo dające należyte gwarancje i standardy ochrony danych.
Służby specjalne USA a dane osobowe
Największymi wskazanymi bezpośrednio przez TSUE przeszkodami były konkretne uprawnienia służb USA do dostępu do danych oraz brak efektywnej kontroli nad takim dostępem, w tym brak kontroli sądowej. Należy w tym miejscu przypomnieć, że o ile amerykańskie gwarancje ochrony praw człowieka stosują się do wszystkich osób na terenie USA, to ich zastosowanie do osób poza terytorium kraju jest mocno ograniczone.
W przeszłości oczywiście miało to mniejsze znaczenie, ale np. gwarancje zakazujące bezpodstawnego przeszukania (czwarta poprawka) nie znajdują zastosowania do danych osób fizycznych niezamieszkujących Stanów Zjednoczonych, a przekazywanych do USA. Powołany Rzecznik ds. Tarczy Prywatności nie funkcjonował jako organ sądowy, ale był jedynie funkcjonariuszem administracji całkowicie zależnym od Sekretarza Stanu.
W oczywisty sposób tworzy to poważne zagrożenie dla osób, których dane są przesyłane do USA. Nowy dekret prezydencki (14086) miał stworzyć ogólne ramy ochrony obywateli Unii. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych zwraca jednak uwagę na fakt, że środki te nie są w pełni wystarczające. Dalej możliwe jest zbieranie danych w dużych ilościach, a także brak jest w pełni czytelnych zasad przechowywania danych. Mimo że powołany został Sąd Danych Osobowych (Data Protection Review Court) to jego decyzje nie byłyby jawne, a jego sędziowie mogliby być dowolnie odwoływani przez Prezydenta USA, któremu przysługuje także prawo do uchylenia decyzji Sądu.
Nie jest jasnym także, w jakim zakresie służby USA wdrażają postanowienia porozumienia – którego funkcjonowanie ostatecznie zależałoby w dużej mierze od dobrej woli organów USA. Przedstawiciel Parlamentu Europejskiego podsumował, że nowy mechanizm z pewnością jest krokiem w dobrym kierunku, ale nie jest on wystarczający. W związku z tym Komisja Europejska powinna kontynuować prace i negocjacje z USA nad nowym porozumieniem. Parlament Europejski ma dopiero podjąć decyzję w sprawie, ale z wysokim prawdopodobieństwem przychyli się do decyzji Komitetu.
W przemówieniu State of the Union, 7 lutego 2023 roku prezydent USA Joe Biden wyraził przekonanie, że USA potrzebują prawa ochrony prywatności na szczeblu federalnym, które między innymi „nałoży ograniczenia na dane, które zbierają firmy Big Tech”. Jednak propozycja ta odnosiła się przede wszystkim właśnie do funkcjonowania firm Big Tech. Poza zakresem regulacji znajdowałyby się kwestie gromadzenia danych przez służby wywiadowcze i porządkowe USA – co jest głównym przedmiotem troski ze strony Unii Europejskiej.
Spotkanie USA i EU – wyciek notatek z negocjacji
Na początku kwietnia pojawiła się nowa, niepokojącą informacja dotycząca struktury negocjacji ze Stanami Zjednoczonymi, która może w poważny sposób wpłynąć na dalszy los porozumienia. Wyciek notatek ze spotkania pomiędzy przedstawicielami USA i UE wskazał, że dyskutowane było stworzenie szerszej możliwości przeglądania przez służby zaszyfrowanej komunikacji – podejście, które określono jako „access by design”. O ile nie łączy się to bezpośrednio z zagadnieniem nowego porozumienia dotyczącego transferu danych, ale odmiennego projektu – to sam fakt niewątpliwie może budzić poważne wątpliwości co do dobrej woli w związku z transferem i dalej opóźnić prace nad nowym porozumieniem dotyczącym przesyłania danych do USA.
Jak widać, nowy mechanizm transferu danych do USA ma o wiele więcej przeszkód niż wstępnie można się było tego spodziewać. O ile decydująca tutaj może być decyzja Parlamentu Europejskiego, to raczej nie należy się spodziewać przyjęcia nowego mechanizmu w terminie tak krótkim, jak miało to miejsce w przypadku Tarczy Prywatności. Z drugiej strony, rozstrzygnięcie wszystkich wątpliwości już teraz zmierzać powinno do utworzenia prawdziwie trwałego systemu, który nie zostanie uchylony wkrótce po jego przyjęciu. Jednak na chwilę obecną przedsiębiorcy chcący transferować dane do USA muszą skorzystać z innych mechanizmów przewidzianych w art. 44-49 RODO, w szczególności standardowych klauzul umownych czy wiążących reguł korporacyjnych
podsumowuje Dorota Echaust-Przybytniak.