Większość transferów danych między UE a USA opiera się na "Transatlantyckich Ramach Prywatności Danych" (TAFPF) lub tak zwanych "Standardowych Klauzulach Umownych" (SCC). Oba instrumenty opierają się na niestabilnych amerykańskich przepisach, niewiążących regulacjach i orzecznictwie, które są atakowane - i prawdopodobnie zostaną wysadzone w powietrze w ciągu najbliższych miesięcy. Ponieważ niestabilność amerykańskiego systemu prawnego staje się niezaprzeczalna, a Stany Zjednoczone wykazują otwarte oznaki wrogości wobec UE, nadszedł czas, aby ponownie zastanowić się, gdzie przepływają nasze dane - i jak długo wytrzyma prawny "domek z kart", który zbudowała UE.
Wpis na blogu autorstwa Max Schrems
Warstwy prawa amerykańskiego i unijnego. "Most", który Komisja Europejska i poprzednie demokratyczne administracje USA zbudowały, aby umożliwić przetwarzanie danych osobowych z UE w USA, nie opiera się na prostym, stabilnym amerykańskim prawie dotyczącym prywatności. Zamiast tego UE i USA polegały na dzikiej mozaice ton wewnętrznych wytycznych i przepisów, orzecznictwa Sądu Najwyższego, faktycznych amerykańskich "praktyki" lub zarządzeń wykonawczych.
Próbując związać koniec z końcem, warstwy te nie wspierają się nawzajem, ale są ustawione w taki sposób, aby stworzyć jak najcieńsze połączenie między prawem UE i USA - co oznacza, że niepowodzenie tylko jednego z nich może doprowadzić do utraty prywatności jednego z wielu elementów prawnych prawdopodobnie sprawiłoby, że większość transferów danych między UE a USA byłaby natychmiast nielegalna. Podobnie jak w przypadku domku z kart, niestabilność jakiejkolwiek pojedynczej karty sprawi, że domek się zawali.
Biorąc pod uwagę niezwykle destrukcyjne podejście administracji Trumpa, wiele elementów transferów UE-USA jest atakowanych - często nie z powodu bezpośrednich intencji. Zamiast tego obecna administracja USA po prostu szeroko atakuje amerykański system prawny i strukturę konstytucyjną (z pomocą wysoce upolitycznionego Sądu Najwyższego) - z wieloma potencjalnymi konsekwencjami dla przepływów danych między UE a USA.
pierwszy prawdopodobny punkt porażki: Niezależność FTC. W miniony poniedziałek Sąd Najwyższy USA rozpatrywał sprawę dotyczącą niezależności Federalnej Komisji Handlu (FTC). Od czasu sprawy z 1935 r. (Humphrey's Executor), zgodnie z orzecznictwem Sądu Najwyższego USA, amerykański ustawodawca może tworzyć "niezależne" organy w ramach władzy wykonawczej, która jest w pewnym stopniu odizolowana od prezydenta USA.
Wcześniej marginalna teoria, że zgodnie z Konstytucją USA wszystkie uprawnienia władzy wykonawczej muszą spoczywać tylko na jednej osobie (prezydencie), zyskała obecnie popularność wśród konserwatywnych prawników w USA. Ta tak zwana "jednolita teoria władzy wykonawczej" sprawiłaby, że każdy niezależny organ, taki jak FTC, byłby zazwyczaj niezgodny z konstytucją. Wszystkie uprawnienia musiałyby być skoncentrowane na prezydencie.
W sprawie Trump v. Slaughtersąd Najwyższy USA wysłuchał argumentów komisarza FTC, który został usunięty przez Trumpa pomimo wszystkich gwarancji niezależności zawartych w 15 U.S.C. § 41. Na podstawie komentarzy i pytań sędziów powszechnie uważa się (zob. np. The Guardian, CNN lub SCOTUS Blog), że konserwatywna większość w Sądzie Najwyższym USA stanie po stronie Trumpa i (w takim czy innym stopniu) zastosuje się do "teorii jednolitej władzy wykonawczej", obalając niezależność FTC.
W połączeniu z orzeczeniami Sądu Najwyższego USA w sprawie absolutnego immunitetu prezydentastany Zjednoczone coraz bardziej zmierzałyby w kierunku systemu, w którym prezydent jest absolutnym "królem" - przynajmniej przez cztery lata.
Z perspektywy europejskiej niezależność FTC jest kluczowym elementem, ponieważ art. 8 ust. 3 Karty Praw Podstawowych UE (KPP) wymaga, aby przetwarzanie danych osobowych było monitorowane i egzekwowane przez "niezależny organ"niezależny" organ. W TADPF (a wcześniej w systemach "Safe Harbor" i "Privacy Shield") UE i USA zgodziły się przyznać te uprawnienia FTC w USA - będącemu takim "niezależnym" organem. Sekcja 2.3.4 Decyzji Komisji Europejskiej w sprawie TADPF podkreśla rolę FKH w egzekwowaniu prawa. Motyw 61 i przypis 92 wyraźnie odnoszą się do 15 U.S.C. § 41 jako podstawy do posiadania niezbędnych gwarancji niezależności w USA.
Żaden inny element TADPF nie ma niezbędnych uprawnień dochodzeniowych i niezależności. Istnieje również prywatny arbitraż, ale nie ma on żadnych uprawnień dochodzeniowych ani odpowiednich uprawnień egzekucyjnych. W związku z tym każdy uczestnik TADPF musi podlegać niezależnej FTC lub DoT (w przypadku organizacji transportowych).
Trump przeciwko Slaughter ma zostać rozstrzygnięta najpóźniej w czerwcu lub lipcu 2026 r., ale może to nastąpić wcześniej. Nadszedł więc czas, aby "zapiąć pasy" i przygotować się.
Jedną ze ścieżek może być przejście na SCC lub BCR, ponieważ nie wymagają one niezależnego amerykańskiego organu do egzekwowania, ale także pozwalają na podporządkowanie umowy unijnemu organowi ochrony danych. Pojawiają się jednak również poważne pytania dotyczące tego, w jaki sposób już przekazane dane mogą zostać "przywrócone" do dowolnego systemu zatwierdzonego przez UE lub nawet "przywrócone" do UE w ogóle. Co więcej, na SCC i BRC mogą mieć również wpływ ogromne zmiany w prawie amerykańskim (patrz poniżej).
drugi prawdopodobny punkt awarii: Sąd Ochrony Danych. Bezpośrednio w związku z Trump v. Slaughter, która dotyczy nadzoru w sektorze prywatnym, pojawia się równoległe pytanie, w jaki sposób można nadal polegać na tak zwanym "Sądzie Kontroli Ochrony Danych" (DPRC) jako jakiejkolwiek formie realistycznego zadośćuczynienia za inwigilację rządu USA.
DPRC ma wiele problemów prawnych (można by z łatwością napisać pracę doktorską na temat tych problemów), ale co najważniejsze, DPRC nie jest nie jest prawdziwym amerykańskim sądem - również dlatego, że nie jest ustanowiony przez prawo. W rzeczywistości jest to grupa ludzi w ramach władzy wykonawczej, która została ustanowiona wyłącznie na mocy rozporządzenia wykonawczego Bidena (EO 14.086szczegóły poniżej). Tę grupę osób można w najlepszym razie nazwać "trybunałem" z perspektywy art. 6 EKPC, ale nawet to twierdzenie jest prawdopodobnie przesadą.
Istotą sprawy jest to, że w odniesieniu do Trump v. Slaughter"niezależność" tego tak zwanego "sądu" nie jest nawet ustanowiona przez prawo (jak 15 USC § 41 dla FTC), ale przez EO 14.086a więc jedynie wewnętrznym zarządzeniem prezydenta, które może zostać zmienione w dowolnym momencie.
Logicznie rzecz biorąc, jeśli Sąd Najwyższy w sprawie Trump v. Slaughter orzekł, że niezależne organy wykonawcze są niezgodne z konstytucją, może się okazać, że wszelkie roszczenia dotyczące niezależności w samym EO 14.086 są (logicznie) również niezgodne z konstytucją. Zależy to w dużej mierze od linii argumentów, których Sąd Najwyższy użyje w sprawie Trump v. Slaughterale jest bardzo prawdopodobne, że będzie to bezpośrednią konsekwencją szerszego orzeczenia.
Problem ten wykraczałby daleko poza TADPF, ponieważ inne systemy transferu (SCC lub BCR) opierają się na tak zwanych "ocenach wpływu transferu" (TIA), które z kolei zwykle wskazują na EO 14.086 i DPRC jako podstawę, dla której każdy kontroler UE doszedł do wniosku, że prawo USA nie może uchylać SCC lub BCR poza to, co jest dozwolone na mocy art. 7, 8 i 47 Karty.
Jeśli te elementy znikną, pozostanie nam art. 49 RODO w odniesieniu do "niezbędnych" transferów (np. wysyłanie wiadomości e-mail do USA, składanie zamówienia lub rezerwacja hotelu lub lotu), ale wszelkie "outsourcing" do amerykańskich dostawców usług w chmurze lub dostawców SaaS zazwyczaj nie miałby już żadnej realnej podstawy prawnej.
trzeci prawdopodobny punkt awarii: EO 14.086. Oprócz zmian w amerykańskim prawie konstytucyjnym, głównym czynnikiem ryzyka jest również sam Trump. Jak wyjaśniono powyżej, zasadniczo wszystkie formy przekazywania danych między UE a USA opierają się na rozporządzeniu wykonawczym Bidena (EO 14.086). Trump wielokrotnie groził obaleniem tego EO. Już w dniu jego inauguracji doniesienia medialne wskazywały, że będzie on ślepo obalał wszystkie EO Bidena. Ostatecznie Trump podpisał EO 14.148które unieważniło tylko 68 EO Bidena i 11 memorandów prezydenckich Bidena - ale nie EO 14.086.
EO 14.148 wymaga, aby wszystkie EO dotyczące "bezpieczeństwa narodowego" zostały zweryfikowane w ciągu 45 dni przez doradcę ds. bezpieczeństwa narodowego - powinno to nastąpić do 06.03.2025. Nie było żadnych doniesień o wynikających z tego zmianach. Nie oznacza to, że EO 14.086 nie zostało (częściowo) uchylone w międzyczasie, ponieważ Prezydent USA może wydać "tajne" EO, które zmieniają opublikowane EO 14.086. Biorąc pod uwagę niekonsekwentne działania Trumpa, nie jest to mało prawdopodobny scenariusz.
W niedawnym wybuchu na temat korzystania przez Bidena z tak zwanego Autopen, Trump ogłosił, że wszystkie EO Bidena podpisane za pomocą autopenów są nieważne Post na Truth Social. Nie jest do końca jasne, czy EO 14.086 jest takim "autopen" EO i czy posty Trumpa w mediach społecznościowych są równoznaczne z formalnym obaleniem tych EO. Jednocześnie należy się zastanowić, czy jakikolwiek urzędnik NSA czuje się już nimi nadmiernie związany. Nie jest również wykluczone, że w ślad za postem w mediach społecznościowych Truth może nastąpić formalne EO unieważniające te EO Bidena.
Kolejną wskazówką, że EO 14.086 może być na linii, jest program "Projekt 2025" dotyczący konserwatywnego przejęcia rządu USA. Na strona 225autor atakuje EO 14.086, UE i rzekomo niesprawiedliwe traktowanie USA - więc EO 14.086 jest wyraźnie na porządku dziennym. Aby było jeszcze bardziej absurdalnie, autor (Dustin Carmack) jest obecnie jest teraz nowym "republikańskim" lobbystą firmy Meta - firmy, która opiera się na EO 14.086, aby uzasadnić swoje transfery danych między UE a USA, które zostały zakwestionowane w sprawie Schrems I i Schrems II.
Ogólnie rzecz biorąc, EO 14.086 może upaść w każdej chwili - a wraz z nim TADPF, a wraz z nim prawie wszystkie TIAS i większość SCC, BCR.
Wiele innych opcji. Chociaż wykracza to poza ten wpis na blogu, istnieje wiele dodatkowych pytań dotyczących wielu innych elementów wykorzystywanych w TADPF.
Oczywiście nadal istnieją główne pytania dotyczące tego, czy TADPF kiedykolwiek osiągnął "zasadniczą równoważność". Na przykład:
- Ochrona w EO 14.086 była w dużej mierze kopią 1:1 EO Obamy o nazwie PPD-28, która została odrzucona przez TSUE w sprawie Schrems II.
- Niezwykle wysokie obciążenia związane z dochodzeniem roszczeń lub brak jakiegokolwiek rzeczywistego prawa do bycia wysłuchanym przed DPRC są dalekie od art. 47 Karty.
- Zasady ochrony danych handlowych RODO nie wymagają nawet podstawy prawnej (zgodnie z wymogami art. 8 ust. 2 Karty i art. 6 ust. 1 RODO), a jedynie umożliwienia rezygnacji.
Ponadto pojawiły się pytania dotyczące niezależności PCLOB lub silnego polegania UE na (niepisanych) "Praktykach amerykańskich" - kiedy Trump pokazał, że on i jego administracja nie przestrzegają nawet prawa, nie mówiąc już o wcześniejszych "praktyk".
Co możemy zrobić? Moim zdaniem Rządy i administratorzy danych w UE muszą (bardziej niż kiedykolwiek) pilnie przygotować się na bardzo prawdopodobne uderzenia w transfery danych między UE a USA w nadchodzących miesiącach. The Strategia bezpieczeństwa narodowego USA jasno pokazała, że administracja Trumpa postrzega Europę bardziej jako wroga niż partnera, a europejskie prawodawstwo cyfrowe jest głównym celem prawdopodobnej agresji USA.
Jedynym długoterminowym rozwiązaniem jest (niestety) ograniczenie wszelkich transferów danych do amerykańskich dostawców, o ile mają oni "posiadanie, przechowywanie lub kontrolę" europejskich danych osobowych. Być może pojawi się więcej ofert, w których cały faktyczny dostęp z USA będzie technicznie niemożliwy - jednak jak dotąd jedyną realistyczną ochroną dostępną na rynku jest przejście do Europejskich dostawców.
