Działania prezydenta Donalda Trumpa mogą podważyć latami wypracowywane podstawy prawneprzesyłania danych osobowych z UE do USA

- Pierwsza fala wzbudzona przez Donalda Trumpa uderzyła w tę umowę i wkrótce może się ona rozpaść i wtrącić wiele firm UE w prawną próżnię – uważa Max Schrems, austriacki prawnik i aktywista, założyciel organizacji obrońców prywatności NOYB.

Chodzi o porozumienie między Unią Europejską a Stanami Zjednoczonymi w sprawie danych osobowych – tzw. umowę ramową DPF (od angielskiej nazwy Data Privacy Framework). Na jego podstawie w lipcu 2023 r. Komisja Europejska wydała decyzję potwierdzającą, że dane Europejczyków są w USA chronione na poziomie porównywalnym z tym, jaki w UE zapewnia RODO. DPF jest obecnie podstawą prawną dla transferu danych osobowych za ocean. Według Maxa Schremsa porozumienie to jednak od początku miało kruche podstawy.

- Zamiast stabilnych ograniczeń prawnych Unia zgodziła się na obietnice i akty wykonawcze, które można obalić w ciągu kilku sekund – stwierdza prawnik.

RODO nie pozwala przesyłać danych poza UE

Co do zasady prawo UE zabrania przesyłania danych osobowych mieszkańców państw Wspólnoty poza jej granice. Takie transfery są dopuszczalne tylko wtedy, gdy istnieje bezwzględna potrzeba (np. w przypadku wysyłania wiadomości e-mail do kraju spoza Unii) albo gdy państwo, do którego trafiają dane, zapewnia równoważny z RODO poziom ochrony.

Dla spełnienia tego warunku administratorzy przesyłający dane poza UE sporządzają standardowe klauzule umowne (SCC), oceniając ryzyko i poziom ochrony w kraju docelowym. Przy ogromnej skali transferów do USA – dane osobowe przesyłają tam nie tylko Facebook i inne platformy internetowe, lecz także tysiące przedsiębiorstw i organizacji korzystających z usług amerykańskich dostawców chmury – nie jest to jednak optymalne rozwiązanie. Stąd umowa ramowa.

Problem w tym, że wydając swoją decyzję, Komisja Europejska oparła się na przesłankach, które już w pierwszych dniach urzędowania nowego prezydenta USA zostały podane w wątpliwość.

Schrems już raz zatrzymał transfery

Jak podkreśla NOYB, służby wywiadowcze Stanów Zjednoczonych mają bardzo duże uprawnienia w zakresie dostępu do danych przechowywanych przez firmy technologiczne. Dlatego poprzednie umowy ramowe – znane jako Bezpieczna przystań i Tarcza prywatności – Trybunał Sprawiedliwości UE unieważnił po skargach Maxa Schremsa (sprawy Schrems I z 2015 r. i Schrems II z 2020 r.). Jednym z głównych argumentów było to, że inwigilacja prowadzona przez USA nie jest zgodna z prawem unijnym, ponieważ nie wymaga spełnienia obiektywnego kryterium uzasadniającego ingerencję rządu w prywatność obywateli.

Wnioski z tych orzeczeń wzięto pod uwagę podczas prac nad DPF. Administracja Joego Bidena wprowadziła w związku z tym rozwiązania mające chronić prawa obywateli UE, których dane trafiają do Ameryki. Bruksela uznała, że w ten sposób dostęp amerykańskich służb do danych z Unii został ograniczony do tego, „co jest niezbędne i proporcjonalne”.

Jednym z kluczowych elementów gwarantujących taki stan była Rada ds. Prywatności i Swobód Obywatelskich (Privacy and Civil Liberties Oversight Board – PCLOB). Pilnuje ona przestrzegania swobód obywatelskich i ochrony prywatności w działaniach agend rządowych zwalczających terroryzm – i prowadzących inwigilację.

Sęk w tym, że Biały Dom właśnie pozbawił tę radę możliwości działania. Jak podaje „The New York Times”, jej członkowie związani z Demokratami (a więc partią byłego prezydenta) zostali poinformowani, że jeśli nie złożą rezygnacji, to zostaną odwołani. Bez nich w PCLOB nie będzie kworum.

– PCLOB jest tylko jednym elementem układanki – przyznaje Max Schrems. – Można się spodziewać, że z czasem nowa administracja wyznaczy na zwolnione miejsca inne osoby.

– Jednak kierunek, w którym sprawy zmierzają już w pierwszym tygodniu prezydentury Donalda Trumpa, naprawdę nie wygląda dobrze – ocenia szef NOYB.

Donald Trump przejrzy rozporządzenia poprzednika

Bo sparaliżowanie PCLOB to nie wszystko. Nowy prezydent USA zapowiedział też rewizję rozporządzeń wykonawczych swojego poprzednika dotyczących bezpieczeństwa narodowego. To ważne, gdyż amerykańskie rozwiązania zapewniające równoważną ochronę danych, na których opiera się decyzja KE, nie mają źródła w ustawach, lecz w innych dokumentach władz USA – a przede wszystkim w rozporządzeniu wykonawczym prezydenta.

Joe Biden wydał je w październiku 2022 r. i to właśnie ono nakłada na działania wywiadowcze i nadzorcze amerykańskich służb wymogi konieczności i proporcjonalności, ograniczając w ten sposób dostęp do danych wyłącznie do przypadków związanych z realizacją określonych i uzasadnionych celów bezpieczeństwa narodowego.

Rozporządzenie prezydenta ustanowiło też w USA dla obywateli UE dwupoziomowy mechanizm odwoławczy. Można z niego korzystać – i np. doprowadzić do usunięcia danych – gdy ktoś uważa, że informacje o nim zostały nielegalnie zgromadzone i przetworzone przez agencje USA.

- Trudno mi sobie wyobrazić, aby rozporządzenie wykonawcze Joego Bidena, które zostało narzucone USA przez UE i reguluje amerykańskie szpiegostwo za granicą, przetrwało – stwierdza Max Schrems.

Początek końca

NOYB przyznaje, że nawet anulowanie przez Donalda Trumpa gwarancji będących fundamentem DPF nie unieważni od razu umowy ramowej i decyzji KE. – Jednak biorąc pod uwagę rozwój sytuacji w USA, dla każdej firmy lub innej organizacji ważniejsze niż kiedykolwiek jest posiadanie planu awaryjnego – ostrzega Max Schrems.

Jego organizacja nie podjęła jeszcze kroków wobec umowy ramowej. DPF i bez tego jest już pod lupą unijnych sędziów – a to za sprawą skargi, jaką jeszcze w 2023 r. Philippe Latombe, deputowany francuskiego Zgromadzenia Narodowego, złożył do Trybunału Sprawiedliwości UE. Jego zdaniem DPF już wtedy nie zapewniała zgodności z RODO ani z Kartą praw podstawowych UE.