Po okresie intensywnych prac nad uregulowaniem kwestii transferu danych osobowych pomiędzy krajami Unii Europejskiej a Stanami Zjednoczonymi Ameryki Północnej, 10 lipca 2023 r. Komisja Europejska (Komisja, KE) przyjęła nową decyzje stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-USA Data Privacy Framework).
Komisja potwierdziła tym samym, że USA zastosowały w swoim prawodawstwie adekwatne środki w zakresie ochrony danych osobowych. Tym samym przyznała, że instrumenty wprowadzone przez USA zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z terytorium Unii Europejskiej do przedsiębiorstw z USA. W wyniku decyzji stwierdzających odpowiedni stopień ochrony, dane osobowe mogą przepływać swobodnie i bezpiecznie z Europejskiego Obszaru Gospodarczego (EOG), który obejmuje 27 państw członkowskich UE oraz Norwegię, Islandię i Liechtenstein, do państwa trzeciego, nie podlegając żadnym dalszym warunkom lub zezwoleniom. Innymi słowy, przekazywanie danych do państwa trzeciego jakim jest USA może odbywać się w taki sam sposób, jak przekazywanie danych wewnątrz UE. O jakie instrumenty chodzi. Przypomnijmy więc jeszcze raz. Już w marcu 2022 r. Przewodnicząca KE Ursula von der Layen oraz Prezydent USA Joe Biden ogłosili, że po intensywnych negocjacjach doszło do porozumienia, co do przyszłych ram w zakresie transferu danych osobowych między obiema stronami (Data Privacy Framework). Od tego czasu, aż do października 2022 r. nie odnotowano większych ruchów w opisywanym temacie, gdy Prezydent Biden podpisał dekret wykonawczy w sprawie wzmocnienia zabezpieczeń dla działań wywiadowczych Stanów Zjednoczonych (Executive Order 14086 of October 7, 2022 ‘Enhancing Safeguards for United States Signals Intelligence Activities’), który został uzupełniony o rozporządzenie przyjęte przez Prokuratora Generalnego USA Merrick’a Garland’a. Executive Order to wewnętrzna dyrektywa prezydenta USA w ramach rządu federalnego, ale nie jest to ustawa. (Wcześniej funkcjonowało zarządzenie prezydenta Obamy z 2014 roku, zwane PPD-28.) Krytycy zarzucają, że nowy dekret wykonawczy 14086 jest w dużej mierze odpowiednikiem PPD-28 z 2014 r. i nic nie zmienia w kwestii ochrony danych.
Departament Handlu USA opublikował listę organizacji, które przystąpiły do programu „Ram ochrony danych UE-USA”. Tak więc przekazywanie danych osobowych do organizacji, które zostały wymienione na tej liście jest możliwe bez konieczności uzyskiwania dodatkowych zezwoleń czy zastosowania takich instrumentów prawnych jak standardowe klauzule umowne, bądź wiążące reguły korporacyjne. Departament Handlu Stanów Zjednoczonych będzie administrował procesem umieszczania organizacji na liście, tak więc będzie przetwarzał wnioski o certyfikację i monitorował, czy uczestniczące firmy nadal spełniają wymagania certyfikacyjne. Przestrzeganie przez firmy amerykańskie ich zobowiązań wynikających z umowy „Ram ochrony danych UE-USA” będą egzekwowane przez Federalną Komisję Handlu Stanów Zjednoczonych. Firmy amerykańskie mogą poświadczyć swój udział w UE-USA Data Privacy Framework, zobowiązując się do przestrzegania szczegółowego zestawu obowiązków w zakresie prywatności. Może to obejmować na przykład zasady prywatności, takie jak ograniczenie celu, minimalizacja danych i retencja danych, a także szczególne obowiązki dotyczące bezpieczeństwa danych i udostępniania danych stronom trzecim. Komisja Europejska wyjaśnia także, że w przypadku Europejczyków, których dane osobowe są przekazywane do USA, rozporządzenie wykonawcze przewiduje wiążące zabezpieczenia, które ograniczają dostęp organów wywiadowczych USA do danych tylko do tego, co jest konieczne i proporcjonalne do ochrony bezpieczeństwa narodowego USA. Co oczywiście można dość szeroko interpretować. Jednocześnie podkreśla, że wzmocniono nadzór nad działaniami amerykańskich służb wywiadowczych w celu zapewnienia zgodności z ograniczeniami dotyczącymi działań inwigilacyjnych oraz ustanowiono niezależny i bezstronny mechanizm odwoławczego, który obejmuje nowy Data Protection Review Court (Sąd Rewizyjny ds. Ochrony Danych), którego zadaniem jest badanie i rozstrzyganie skarg dotyczących dostępu krajowych organów bezpieczeństwa USA do ich danych.
Mimo zapewnień obydwu stron, że nowe porozumienie definitywnie porządkuje kwestię transferu danych, głosy krytyki nie ucichły. Dla przykładu Max Schrems zapowiada zaskarżenie nowych ram do TSUE : „Trzecia próba Komisji Europejskiej uzyskania stabilnego porozumienia w sprawie przekazywania danych między UE a USA prawdopodobnie powróci do Trybunału Sprawiedliwości (TSUE) w ciągu kilku miesięcy. Rzekomo „nowe” Transatlantyckie Ramy Prywatności Danych są w dużej mierze kopią nieudanej „Tarczy Prywatności”. Pomimo wysiłków Komisji Europejskiej w zakresie public relations, niewiele zmieniło się w prawie amerykańskim lub podejściu przyjętym przez UE. Podstawowy problem z FISA 702 nie został rozwiązany przez USA, ponieważ Stany Zjednoczone nadal uważają, że tylko osoby z USA są godne praw konstytucyjnych.” Oprócz powyżej wskazanych kwestii Schrems wskazuje, że inwigilacja obywateli państw członków UE dalej będzie się odbywała, dzięki zastosowaniu nowego rozumienia słowa: „proporcjonalny”, które to zostało wytknięte wcześniej w wyroku TSUE, a mianowicie TSUE wskazało, że masowa inwigilacja FISA 702 nie jest „proporcjonalna”. Nowe rozumienie tego słowa ma być określone definicją amerykańską, inną niż operował TSUE przy wydawaniu wyroku w tym zakresie. Schrems zarzuca, że tego „amerykańskiego rozumienia” słowa „porozumienie” nie ujawniono. Mianowicie TSUE wskazał, że kwestia inwigilacji ze strony USA musi być proporcjonalna w rozumieniu art. 52 Karty Praw Podstawowych (KPP) oraz aby istniał dostęp do sądowych środków odwoławczych, zgodnie z wymogami art. 47 KPP. A jak wskazują oponenci wynegocjowanego porozumienia KE z USA, zaktualizowane prawo USA (Executive Order 14086) wydaje się nie spełniać obu wymogów, ponieważ nie zmienia sytuacji w stosunku do poprzednio obowiązującego PPD-28. Jeżeli chodzi o kwestię odwoławcze to krytycy zarzucają, że ustanowiony sąd – Data Protection Review Court, nie jest faktycznym sądem. Mianowicie zgodnie z zapisami będzie obowiązywała procedura odwoławcza, w której w pierwszej kolejności odwołania będą wpływały do wyznaczonego urzędnika podlegającego dyrektorowi wywiadu krajowego, a następnie do tzw. sądu ds. przeglądu ochrony danych. Natomiast nie będzie to sąd w rozumieniu art. 47 KPP lub Konstytucji USA, lecz organ w ramach władzy wykonawczej rządu USA.
Niemniej jednak pomimo słów krytyki, fakt zawarcia porozumienia w zakresie transferu danych osobowych do USA wprowadza zdecydowanie większą pewność takiego obrotu i daje odpowiedź co do spełnienia odpowiedniego poziomu bezpieczeństwa w tym obszarze przez USA, przynajmniej do czasu kolejnych rozstrzygnięć przed TSUE, które z pewnością się pojawią, biorąc pod uwagę głosy krytyków porozumienia.
Autor: Radosław Aniszczyk