Nowe Transatlantyckie Ramy Prywatności Danych w dużej mierze kopią "Tarczy Prywatności". noyb zaskarży decyzję.
Trzecia próba Komisji Europejskiej uzyskania stabilnego porozumienia w sprawie przekazywania danych między UE a USA prawdopodobnie powróci do Trybunału Sprawiedliwości (TSUE) w ciągu kilku miesięcy. Rzekomo "nowe" Transatlantyckie Ramy Prywatności Danych są w dużej mierze kopią nieudanej "Tarczy Prywatności". Pomimo wysiłków Komisji Europejskiej w zakresie public relations, niewiele zmieniło się w prawie amerykańskim lub podejściu przyjętym przez UE. Podstawowy problem z FISA 702 nie został rozwiązany przez USA, ponieważ Stany Zjednoczone nadal uważają, że tylko osoby z USA są godne praw konstytucyjnych.
- Porównanie zmian w prawie amerykańskim od 2014 r:
- Porównanie z poprzednimi działaniami public relations:
- Projekt decyzji Komisji Europejskiej w sprawie adekwatności (grudzień 2022 r.)
Kontekst. W 2013 r. Edward Snowden ujawnił, że rząd USA wykorzystywał firmy "big tech" i programy takie jak"PRISM" lub"Upstream" na podstawie FISA 702 i EO 12.333 do szpiegowania reszty świata bez konieczności podania prawdopodobnego powodu lub zgody sądu. Nie ograniczało się to do przestępczości lub terroryzmu, ale obejmowało również szpiegostwo na rzecz "partnerów" USA. Od 1995 r., zgodnie z prawem UE, dane osobowe nie mogą być przesyłane poza UE, chyba że istnieje "zasadniczo równoważna" ochrona w kraju docelowym. Przemysł amerykański w dużym stopniu polegał na decyzji Komisji Europejskiej zwanej "Safe Harbor", która w 2000 r. uznała USA za "zasadniczo równoważne". TSUE unieważnił decyzję Komisji w sprawie C-362/14 ("Schrems I") w 2015 r., biorąc pod uwagę amerykańskie przepisy dotyczące nadzoru. W 2016 r. Komisja Europejska ponownie przyjęła w dużej mierze tę samą decyzję w sprawie przekazywania danych między UE a USA, pod nową nazwą "Tarcza Prywatności", która została unieważniona przez TSUE w sprawie C-311/18 ("Schrems II") w 2020 r. w dużej mierze z tych samych powodów.
"Magiczne" sztuczki Ursuli i Joe. Po unieważnieniu "Tarczy Prywatności" negocjacje między UE a USA poczyniły niewielkie postępy. Stany Zjednoczone nalegały, aby dane z UE nadal podlegały masowemu nadzorowi USA, a osoby "spoza USA" nie będą miały takiej samej ochrony jak osoby z USA. Po niewielkich ruchach przez ponad 1,5 roku, USA podobno wykorzystały wojnę na Ukrainie, aby wywrzeć presję na UE w sprawie udostępniania danych osobowych. Wkrótce potem Joe Biden i Ursula von der Leyen spotkali się 25 marca 2022 roku. Tego samego dnia oboje nagle "rozwiązali" to, czego prawnicy nie byli w stanie rozwiązać i przedstawili"porozumienie co do zasady", jednostronicowy dokument, który w istocie zawierał dwie "sztuczki", które powinny uspokoić opinię publiczną:
- Po pierwsze, TSUE stwierdził, że masowa inwigilacja FISA 702 nie jest "proporcjonalna" w rozumieniu art. 52 Karty Praw Podstawowych UE (KPP). "Nowy" amerykański dekret wykonawczy 14086 (który jest w dużej mierze odpowiednikiem PPD-28 z 2014 r.) zawierałby teraz słowo "proporcjonalny". "Sztuczka" polega na tym, że Stany Zjednoczone nadadzą słowu "proporcjonalny" inne znaczenie niż TSUE. EO 14086 deklaruje, że masowa inwigilacja FISA 702 jest "proporcjonalna" zgodnie z nieujawnionym "amerykańskim rozumieniem" tego słowa i sprzeczna z dwoma ustaleniami TSUE. W ten sposób UE i USA mogły twierdzić, że uzgodniły to samo słowo ("proporcjonalny") - nawet jeśli nie ma zgody co do znaczenia tego słowa.
- Po drugie, TSUE stwierdził, że dochodzenie roszczeń za pośrednictwem "Rzecznika Praw Obywatelskich" Tarczy Prywatności nie jest nawet w najmniejszym stopniu zgodne z art. 47 CFR - nawet jeśli Rzecznik Praw Obywatelskich został okrzyknięty przez Komisję w 2016 r. "niezależną" formą "dochodzenia roszczeń w dziedzinie bezpieczeństwa narodowego". "Sztuczka" dotycząca zadośćuczynienia: mechanizm Rzecznika Praw Obywatelskich został przemianowany i podzielony na urzędnika ds. ochrony swobód obywatelskich (CLPO) i tak zwany "sąd" (który nie jest sądem, ale częściowo niezależnym organem wykonawczym). Chociaż istnieją pewne drobne ulepszenia w stosunku do Rzecznika Praw Obywatelskich, osoba fizyczna nie będzie miała żadnej bezpośredniej interakcji z nowymi organami (będzie musiała wysłać skargę do unijnego organu ochrony danych, a nie zostać wysłuchana przez USA) i udzielą one dokładnie takiej samej odpowiedzi, jak poprzedni "Rzecznik Praw Obywatelskich". Zgodnie z EO 14086 CLPO i Trybunał muszą w każdym przypadku odpowiedzieć stwierdzeniem:"Nie potwierdzając ani nie zaprzeczając, że skarżący podlegał działaniom wywiadu sygnałowego Stanów Zjednoczonych, przegląd albo nie zidentyfikował żadnych objętych nim naruszeń, albo Sąd Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych" (patrz tutaj). "Wyrok" tego "sądu" jest zatem znany jeszcze przed wniesieniem sprawy. Istnieje wiele dodatkowych problemów związanych z tym mechanizmem, które w dużej mierze zapewnią, że skargi nie będą nawet przyjmowane. Wydaje się nie do pomyślenia, aby Trybunał Sprawiedliwości zaakceptował to jako "sądowe zadośćuczynienie" na mocy art. 47 KPP.
- Wreszcie, Stany Zjednoczone odmówiły reformy FISA 702, aby zapewnić osobom spoza USA rozsądną ochronę prywatności. Po obu stronach Atlantyku panuje zgoda co do tego, że FISA 702 i EO 12.333 naruszają podstawowe prawa wynikające z czwartej poprawki w USA oraz art. 7, 8 i 47 CFR w UE - ale Stany Zjednoczone nadal twierdzą, że osoby spoza USA nie mają praw konstytucyjnych w USA - a zatem naruszenie ich prawa do prywatności nie jest objęte czwartą poprawką.
- FISA 702 będzie musiała zostać przedłużona do końca 2023 r., biorąc pod uwagę, że w prawie amerykańskim istnieje "klauzula wygaśnięcia". Byłaby to doskonała okazja do ulepszenia amerykańskiego prawa, ale biorąc pod uwagę nową umowę z UE, Stany Zjednoczone nie będą miały powodu do reformy FISA 702.
Ogólnie rzecz biorąc, nowe "Transatlantyckie Ramy Prywatności Danych" są kopią Tarczy Prywatności (z 2016 r.), która z kolei była kopią "Bezpiecznej Przystani" (z 2000 r.). Biorąc pod uwagę, że podejście to zawiodło już dwukrotnie, nie było podstaw prawnych do zmiany kursu - logika zawarcia umowy była jedynie polityczna.
Max Schrems, przewodniczący Noyb:"Mówią, że definicją szaleństwa jest robienie tego samego w kółko i oczekiwanie innego rezultatu.Podobnie jak "Tarcza Prywatności", najnowsze porozumienie nie opiera się na istotnych zmianach, ale na interesach politycznych. Po raz kolejny obecna Komisja wydaje się myśleć, że bałagan będzie problemem następnej Komisji. FISA 702 musi zostać przedłużona przez USA w tym roku, ale wraz z ogłoszeniem nowej umowy UE straciła jakąkolwiek moc, aby uzyskać reformę FISA 702"
Oszukać mnie trzy razy? Już po ujawnieniu informacji przez Snowdena w 2013 r. Komisja Europejska ogłosiła, że "odbuduje" zaufanie i"uczyni Safe Harbor bezpieczniejszym" oraz opracuje"umowę parasolową". W 2016 r. dziennikarzom powiedziano, że "Tarcza Prywatności" będzie oznaczać, że "po raz pierwszy USA dały UE pisemne zapewnienie", że będą "jasne ograniczenia, zabezpieczenia i mechanizmy nadzoru" , a nawet "brak masowej inwigilacji". Żadne z tych twierdzeń i systemów nie okazało się stabilne, gdy zostały przedstawione TSUE. W obecnej wersji działań Komisji w zakresie public relations, te same (ciągle powtarzające się) twierdzenia są wykorzystywane.
Max Schrems: "Mieliśmyjuż "przystanie", "parasole", "tarcze" i "ramy" - ale bez istotnych zmian w amerykańskim prawie nadzoru. Dzisiejsze oświadczenia prasowe są niemal dosłowną kopią tych z ostatnich 23 lat. Samo ogłoszenie, że coś jest "nowe", "solidne" lub "skuteczne" nie wystarczy przed Trybunałem Sprawiedliwości. Potrzebowalibyśmy zmian w amerykańskim prawie nadzoru, aby to zadziałało - a po prostu ich nie mamy"
Skarga do TSUE gotowa do złożenia. Każdy, kogo dane osobowe zostaną przekazane w ramach nowej umowy, może wnieść skargę do organów ochrony danych lub sądów. noyb przygotował różne opcje proceduralne, aby przywrócić nową umowę przed TSUE. Oczekujemy, że nowy system zostanie wdrożony przez pierwsze firmy w ciągu najbliższych miesięcy, co otworzy drogę do zaskarżenia przez osobę, której dane są przekazywane w ramach nowego instrumentu. Niewykluczone, że skarga trafi do TSUE pod koniec 2023 lub na początku 2024 roku. TSUE miałby wówczas nawet możliwość zawieszenia "Ram" na czas trwania procedury. Ostateczna decyzja TSUE byłaby prawdopodobna do 2024 lub 2025 roku. Bez względu na to, czy takie wyzwanie zakończy się sukcesem, przyniesie to jasność co do "Transatlantyckich Ram Prywatności Danych" w ciągu około dwóch lat.
Max Schrems: "Mamy już w szufladzie różne opcje zaskarżenia, chociaż mamy już dość tego prawnego ping-ponga. Obecnie spodziewamy się, że sprawa wróci do Trybunału Sprawiedliwości na początku przyszłego roku. Trybunał Sprawiedliwości mógłby wówczas nawet zawiesić nową umowę, dokonując przeglądu jej treści. Ze względu na pewność prawną i praworządność otrzymamy wówczas odpowiedź, czy drobne ulepszenia Komisji były wystarczające, czy też nie. Przez ostatnie 23 lata wszystkie umowy między UE a USA były uznawane za nieważne z mocą wsteczną, co sprawiało, że wszystkie wcześniejsze transfery danych przez firmy były nielegalne - wygląda na to, że teraz dodamy kolejne dwa lata tego ping-ponga"
Komisja Europejska wykazuje niewielką troskę o praworządność i prywatność obywateli. Ta trzecia próba przyjęcia w dużej mierze tej samej bezprawnej decyzji rodzi również pytania o szerszą rolę Komisji Europejskiej jako strażnika traktatów UE. Zamiast stać na straży "rządów prawa", Komisja po prostu raz za razem wydaje nieważne decyzje, pomimo wyraźnych orzeczeń TSUE. Pomimo wielkiego oburzenia w UE po ujawnieniu informacji przez Snowdena i wielokrotnych wezwań Parlamentu Europejskiego do podjęcia działań, Komisja wydaje się przedkładać stosunki dyplomatyczne z USA i presję biznesową po obu stronach Atlantyku nad prawa Europejczyków i wymogi prawa UE.
Max Schrems:"Komisja ma być "strażnikiem traktatów" i obrońcą "rządów prawa". Uwielbia tę rolę, gdy chodzi o państwa członkowskie naruszające prawo UE. Teraz Komisja po raz trzeci po prostu ignoruje Trybunał Sprawiedliwości"