List otwarty w sprawie przyszłości przekazywania danych między UE a USA

List otwarty w sprawie przyszłości przekazywania danych między UE a USA

Choć wiele szczegółów wciąż pozostaje niejasnych, pojawia się coraz więcej szczegółów na temat planowanej umowy o przekazywaniu danych między UE a USA. Szczegóły te wydają się rodzić coraz więcej pytań dotyczących stabilności nowego porozumienia o odpowiedniej ochronie danych, zawartego przez Komisję Europejską. W świetle tych niepokojących wydarzeń, główny powód w sprawach "Schrems I" i "Schrems II" wystosował następujący list otwarty (PDF) do zainteresowanych stron:

Szanowny Komisarzu Didier Reynders,

Szanowna Pani Sekretarz Gina Raimondo,

Szanowna Pani Pauline Dubarry,

Szanowna Przewodnicząca EDPB Andrea Jelinek,

Szanowny Przewodniczący LIBE Juan Fernando López Aguilar,

Przyjmujemy do wiadomości ogłoszenie porozumienia co do zasady w sprawie nowych Transatlantyckich Ram Ochrony Danych Osobowych. Rozumiemy, że przyszła umowa "uzgodniona co do zasady" opiera się głównie na porozumieniu politycznym pomiędzy Przewodniczącą Komisji von der Leyen i Prezydentem USA Joe Bidenem, ale nie jest wynikiem istotnych zmian w prawie amerykańskim w odpowiedzi na orzeczenie TSUE. Takie podejście wydaje się być powtórzeniem porozumienia "Privacy Shield" i jest głęboko niepokojące.

Zdajemy sobie sprawę, że w ogłoszeniu przedstawiono jedynie zarys idei i nagłówki, a ostateczny tekst wymaga jeszcze negocjacji. Poniższe wstępne spostrzeżenia opierają się zatem na ograniczonej zapowiedzi politycznej i dalszych szczegółach, którymi UE i USA nieformalnie podzieliły się z zainteresowanymi stronami w różnych formach publicznych lub półpublicznych.

Na podstawie tych oświadczeń rozumiemy, że USA odrzuciły wszelkie istotne zabezpieczenia dla osób spoza USA i nadal dyskryminują osoby spoza USA, odmawiając podstawowych zabezpieczeń, takich jak sądowa zgoda na indywidualne środki nadzoru

Rozumiemy, że planowana umowa będzie w dużej mierze opierać się na amerykańskich rozporządzeniach wykonawczych. Po współpracy w tej sprawie z amerykańskimi ekspertami ds. inwigilacji i prawnikami, takie rozporządzenia wydają się strukturalnie niewystarczające, by spełnić wymagania TSUE.

Opierając się na znanych nam podstawach, ostrzegamy negocjatorów po obu stronach Atlantyku, Radę UE, EDPB oraz Komisję LIBE Parlamentu Europejskiego, że ogłoszonym ramom prawnym grozi taki sam los jak ich poprzednikom przed TSUE, o ile w Stanach Zjednoczonych nie zostaną przeprowadzone istotne reformy (legislacyjne)

Wzywamy negocjatorów do kontynuowania prac nad trwałym, chroniącym prywatność rozwiązaniem dla przepływów transatlantyckich, aby uniknąć decyzji "Schrems III". Obecne podejście może spowodować dalszą niepewność prawną dla obywateli i przedsiębiorstw w nadchodzących latach - obawa ta została również wyrażona przez przedstawicieli branży w reakcji na "porozumienie co do zasady".

Mamy pełną świadomość, że nie jest to łatwe zadanie, ale inwestycja w jego realizację nie tylko zapewni długoterminowe rozwiązanie tej kwestii, ale także przyniesie korzyści obywatelom i gospodarce po obu stronach.

Aby osiągnąć ten cel, przedstawiamy poniższe, bardziej szczegółowe uwagi i zalecenia:

(1) Stosowanie prawidłowego testu proporcjonalności w odniesieniu do amerykańskiego prawa dotyczącego nadzoru na mocy art. 8 KPP

Rozumiemy, że amerykańscy negocjatorzy nie zamierzają dążyć do zmiany amerykańskiego prawa ustawowego w odniesieniu do inwigilacji materiałów, ale planują zasadniczo zastąpić Prezydencką Dyrektywę Polityczną nr 28 (PPD-28) w sprawie działań wywiadu kryminalnego nowym rozporządzeniem wykonawczym, które zawierałoby słowa "konieczne i proporcjonalne"

Wydaje się, że Komisja Europejska dąży do uznania, że te słowa w amerykańskim rozporządzeniu wykonawczym powinny być postrzegane jako odpowiednik unijnego testu proporcjonalności z art. 52 Karty Praw Podstawowych Unii Europejskiej praw podstawowych (KPP)

Trudno jednak stwierdzić, w jaki sposób istniejąca amerykańska inwigilacja może być "konieczna i proporcjonalna" w świetle prawa europejskiego, skoro TSUE w dwóch orzeczeniach wyraźnie stwierdził coś przeciwnego

Takie podejście wydaje się niewystarczające przynajmniej z następujących powodów:

• W obu wyrokach TSUE ("Schrems I" i "Schrems II") Trybunał wyraźnie stwierdził, że amerykańskie przepisy i praktyki w zakresie inwigilacji naruszają art. 7, 8 i 47 Karty Praw Podstawowych. TSUE uznał nawet wyraźnie, że te przepisy i praktyki nie są "konieczne i proporcjonalne"
• Orzeczenie w sprawie "Schrems II" zostało wydane z uwzględnieniem dyrektywy PPD28 (jako odpowiedniej dyrektywy wykonawczej w tamtym czasie). Jak twierdziły Komisja Europejska i rząd USA przed TSUE, dyrektywa PPD-28 zawiera już sformułowanie "tak dostosowane, jak to tylko możliwe", które Komisja zinterpretowała jako równoważne proporcjonalności zgodnie z art. 52 KPP. TSUE odrzucił ten pomysł. Nie rozumiemy, w jaki sposób przepisy i praktyki, które TSUE jednoznacznie uznał za " niekonieczne iproporcjonalne", mogłyby nagle przekonać TSUE, gdyby zostały opatrzone sformułowaniem "konieczne i proporcjonalne" zamiast "tak dostosowane, jak to tylko możliwe".
• Rozumiemy, że choć USA mogą przyjąć te słowa, nie zgodziły się na ograniczenie nadzoru nad osobami, których dane dotyczą, a które nie są w USA, w żaden istotny sposób. W szczególności, USA nie ogłosiły zamiaru ograniczenia lub zmiany praktyk inwigilacyjnych prowadzonych na podstawie ustaw i programów (FISA 702, EO 12,333, "PRISM" i "Upstream"), które zostały wymienione przez TSUE w orzeczeniu. Stany Zjednoczone nie poinformowały również, że wprowadzą jakiekolwiek zmiany w celu zakończenia praktyk masowej inwigilacji. Wydaje się, że programy nadzoru będą kontynuowane w dotychczasowej formie. TSUE przeprowadził test proporcjonalności na podstawie art. 52 KPP i stwierdził, że amerykańskie praktyki inwigilacyjne nie zdały tego testu. Jeśli USA miałyby przyjąć koncepcję"konieczności i proporcjonalności", oznaczałoby to zaprzestanie lub poważne ograniczenie nadzoru. Negocjatorzy jasno stwierdzają, że nie jest to zamierzone.
• Negocjatorzy wydają się więc jedynie kopiować słowa z orzecznictwa KPP i TSUE do amerykańskiego dekretu, ale prawdopodobnie zastosują inne znaczenie niż TSUE, ponieważ w przeciwnym razie musiałoby to doprowadzić do wstrzymania programów Upstream i Downstream (wcześniej "PRISM") na mocy sekcji 702 ustawy o nadzorze nad wywiadem zagranicznym (FISA) oraz do zakończenia masowej inwigilacji na mocy rozporządzenia wykonawczego 12 333.
• Ponadto niepokoi nas fakt, że rozporządzenia wykonawcze zazwyczaj nie przyznają praw osobom trzecim. Wydaje się, że nawet jeśli w rozporządzeniu wykonawczym zostanie wprowadzony test "niezbędności i proporcjonalności" zgodnie z art. 52 KPP, osoba, której dane dotyczą, może nie być w stanie wyegzekwować takich ograniczeń w sądzie.

Podsumowując, podejście to wydaje się jedynie spełniać wymogi polityczne, dyplomatyczne i PR obu stron, ale zdaje się ignorować fakt, że TSUE już stwierdził, że amerykańska inwigilacja nie jest "konieczna i proporcjonalna", a USA będą kontynuować te praktyki.

(2) Stworzenie sensownych sądowych środków odwoławczych na mocy art. 47 KPP

Rozumiemy, że negocjatorzy amerykańscy nie planują zmiany prawa amerykańskiego w celu stworzenia możliwości dochodzenia roszczeń na drodze sądowej dla osób, których dane dotyczą w UE

Zamiast tego władze wykonawcze USA powinny utworzyć nowy "organ" w ramach władzy wykonawczej (podobny do poprzedniego "Rzecznika Praw Obywatelskich", ale podlegający Rzecznikowi Generalnemu), który będzie zajmował się potencjalnymi naruszeniami prawa USA i rozporządzeń wykonawczych. Organ ten, zwany "Sądem ds. Przeglądu Ochrony Danych", wbrew nazwie nie będzie "sądem", lecz organem wykonawczym. Będzie on częścią władzy wykonawczej, z ograniczoną niezależnością

Rozumiemy, że osoby, których dane dotyczą w UE, nie będą miały dostępu do informacji o potencjalnych operacjach inwigilacji dotyczących ich samych w trakcie postępowania i nie będą mogły odwoływać się od decyzji tego "sądu" do w pełni niezależnego organu sądowego ustanowionego na mocy art. 3 Konstytucji USA

Takie podejście wydaje się naruszać orzecznictwo TSUE co najmniej w następującym aspekcie:

• Proponowane rozwiązanie nie przewiduje sądowego środka odwoławczego, ale organodwoławczy w ramach władzy wykonawczej - podobny do Rzecznika Praw Obywatelskich , który TSUE uznał nie tylko za nieproporcjonalny, ale za naruszenie istoty art. 47 KPP. Samo nazwanie organu wykonawczego "sądem" nie tworzy sądowego środka odwoławczego. Wydaje się, że to podejście lepiej opisać jako "Rzecznik Praw Obywatelskich plus".
• Trudno sobie wyobrazić, w jaki sposób ten nowy organ miałby spełniać formalne wymogi sądu lub trybunału zgodnie z art. 47 KPP, zwłaszcza w porównaniu z bieżącymi sprawami i standardami stosowanymi w UE (np. w Polsce i na Węgrzech). TSUE zostałby poproszony o zastosowanie "wysokiego" standardu art. 47 KPP w UE, ale "niskiego" standardu art. 47 KPP dla amerykańskiego "sądu ds. przeglądu ochrony danych". To Komisja Europejska musiałaby przekonać TSUE do tych różnych standardów wynikających z art. 47 KPP.
• Rozumiemy, że tennowy "sąd" będzie nadal działał tak jak obecny "rzecznik praw obywatelskich" i nie będzie ani potwierdzał, ani zaprzeczał , czy dana osoba była inwigilowana i czy doszło do naruszenia prawa USA. Rozumiemy, że osoba, której dane dotyczą, nie będzie miała bezpośredniej ani pośredniej możliwości zapoznania się z dowodami, zażądania ich ujawnienia, zadania pytania przeciwnikowi ani otrzymania uzasadnionego wyroku. To sprawi, że będzie to instytucja "stempla z gumy", bez praktycznego znaczenia.
• Takie podejście "stempla z gumy" ograniczy również możliwości ewentualnego odwołania się do jakiegokolwiek organu pomocniczego: Jeśli "sąd ds. przeglądu ochrony danych" będzie zobowiązany do udzielenia standardowej odpowiedzi, nie widzimy możliwości wniesienia świadomego, sensownego odwołania. Jeśli w każdej sprawie istnieje tylko jedno możliwe, z góry określone rozstrzygnięcie, wydaje się, że nie ma prawie żadnego przypadku, w którym obywatel mógłby zgłosić błąd, ponieważ wydaje się, że istnieje tylko jedna możliwa odpowiedź.
• Pojawiają się zasadnicze pytania, czy amerykańskie doktryny, takie jak " tajemnicapaństwowa " będą miały zastosowanie do tych organów i jeszcze bardziej ograniczą możliwość sprawiedliwegorozpatrzenia sprawy. Rozumiemy, że rząd USA będzie nadal opierał się na tych doktrynach.

Podsumowując, nie widzimy, w jaki sposób ten nowy "Trybunał" miałby być zgodny z art. 47 KPP, zwłaszcza w świetle najnowszego orzecznictwa TSUE w sprawie inwigilacji USA, ale także w świetle orzecznictwa TSUE w sprawie sądowego dochodzenia roszczeń i praworządności w państwach członkowskich UE. Wydaje się, że TSUE musiałby opracować odrębny test z art. 47 KPP dla USA, aby uznać, że organ wykonawczy udzielający odpowiedzi w formie pieczęci jest rzeczywiście formą sądowego środka zaskarżenia. Nie widzimy, by taki rozwój orzecznictwa TSUE był realistyczny, a nawet pożądany.

(3) Potrzeba aktualizacji ochrony prywatności w handlu

Poza niedociągnięciami ogłoszonego porozumienia co do zasady, związanymi z brakiem reform w zakresie amerykańskiej inwigilacji i prawaostrzegamy także negocjatorów UE o potrzebie aktualizacji zobowiązań w zakresie ochrony danych handlowych w ramach przyszłej umowy.

Niepokoi nas fakt, że negocjatorzy unijni i amerykańscy nie planują żadnych aktualizacji samych zasad Tarczy Prywatności. Rozumiemy, że Zasady i certyfikaty Tarczy Prywatności nie będą zmieniane, ani nawet nie zostanie im zmieniona nazwa. Jest to bardzo problematyczne, ponieważ zasady te są w dużej mierze oparte na zasadach "bezpiecznej przystani" z 2000 r., z niewielkimi aktualizacjami w 2016 r. Nie są one zgodne z zasadami GD. Nie są one zgodne z wymogami GDPR, które zaczęły obowiązywać w 2018 r. W rzeczywistości zasady Tarczy Prywatności odnoszą się nawet do nieobowiązującej już dyrektywy 95/46/WE, a nie do GDPR

Poniżej przedstawiamy kilka przykładów niektórych z wielu niedociągnięć Zasad Tarczy Prywatności i miejsc, w których odbiegają one od GDPR:

• Zasady Tarczy Prywatności nie zawierają ogólnego wymogu dotyczącego podstawy prawnej, jak w art. 6 ust. 1 GDPR i art. 8 ust. 2 Karty Praw Podstawowychkarty Praw Podstawowych. W rzeczywistości istnieje tylko tzw. podejście "powiadomienia i wyboru" z prawem do odrzucenia (opt-out). Zwłaszcza że zasady te mają zwykle zastosowanie do podwykonawców przetwarzania, którzy nie mają bezpośredniego kontaktu z osobą, której dane dotyczą, wydaje się, że praktycznie nie istnieje realistyczny scenariusz, w którym osoba, której dane dotyczą, zostałaby nawet powiadomiona o problematycznym przetwarzaniu.
• Zasady Tarczy Prywatności nie wymagają, aby przetwarzanie danych było "niezbędne", jak wymaga tego art. 5 ust. 1 lit. c) GDPR i art. 52 ust. 1 CFR, lecz jedynie "stosowne".
• Większość elementów prawa dostępu na mocy art. 15 GDPR i art. 8 ust. 2 Kartykarty Praw Podstawowych nie została uwzględniona w zasadach Tarczy Prywatności.
• Mechanizm odwoławczy przewidziany wzapewniony w ramach Zasad opiera się na prywatnym arbitrażu, systemie zakazanym w odniesieniu do konsumentów w UE od czasu dyrektywy 93/13/EWG. Prywatne usługi arbitrażowe są opłacane przez firmę amerykańską i nie posiadają niezbędnych mechanizmów "nadzoru i wykrywania" ani uprawnień, które choćby w niewielkim stopniu przypominają uprawnienia organów nadzorczych UE na mocy art. 58 GDPR. Aby jakiekolwiek orzeczenie arbitrażowe mogło być faktycznie egzekwowane na mocy prawa amerykańskiego, należy wykonać wiele kroków.

Istnieje niezliczona liczba dalszych przykładów, gdzie zasady Tarczy Prywatności nie są "zasadniczo równoważne" z GDPR i dlatego pozwalają konkurentom z USA działać na rynku europejskim bez przestrzegania prawa UE. Nawet jeśli kwestie nadzoru amerykańskiego zostałyby rozwiązane, każde nowe porozumienie może zostać unieważnione przez TSUE na podstawie tego, że zasady Tarczy Prywatności nie są wcale "zasadniczo równoważne" z GDPR.

Przyszłość międzynarodowego przekazywania danych

Z przykrością stwierdzamy, że negocjatorzy nie wykorzystali tej okazji, aby zapewnić ochronę praw człowieka do prywatności i ochrony danych po obu stronach Atlantyku, niezależnie od położenia geograficznego czy obywatelstwa. Jesteśmy głęboko przekonani, że globalny Internet i swobodny przepływ danych osobowych jest możliwy tylko wtedy, gdy ochrona nie będzie oparta na historycznych i nacjonalistycznych koncepcjach, takich jak obywatelstwo. Podczas gdy GDPR oraz art. 7, 8 i 47 CFR stanowią prawa człowieka i odnoszą się do każdego użytkownika, niezależnie od powiązań narodowych, FISA 702 i odpowiednie rozporządzenia wykonawcze w USA nadal opierają się na archaicznej koncepcji "osób z USA" i "osób spoza USA".

Jest to nie tylko przyczyną łamania praw człowieka, ale także podważa rzekome cele tych przepisów o inwigilacji: Wiemy, że większość współczesnych zagrożeń (takich jak terroryzm domowy, szpiegostwo itp.) nie opiera się na obywatelstwie celu.

Wzywamy negocjatorów i inne zainteresowane strony, w tym przedstawicieli amerykańskiego przemysłu technologicznego, do zakwestionowania tradycyjnych koncepcji nacjonalistycznych. Jeśli Internet nie powinien znać granic państwowych, nasze prawa do prywatności i inwigilacji muszą również przezwyciężyć koncepcje nacjonalistyczne. Jedną z możliwości byłyby międzynarodowe porozumienia między demokratycznymi krajami.

Rozdział 5 GDPR pozwala już na swobodny przepływ danych - jeśli zabezpieczenia są "zasadniczo równoważne". Żałujemy, że krajowe przepisy dotyczące nadzoru w USA i UE wciąż trzymają się takich pojęć jak obywatelstwo i jak dotąd nie zawierają nowoczesnych klauzul interoperacyjności.

Ten konflikt między (interoperacyjnymi) zabezpieczeniami prywatności a (nacjonalistycznymi) przepisami dotyczącymi nadzoru utrudnia międzynarodowy przepływ danych, handel i konwergencję.

Reakcja na każdą nową decyzję dotyczącą adekwatności

Ponieważ nasze postępowania sądowe zawsze mają na celu zapewnienie trwałego rozwiązania, które zarówno chroni dane użytkowników, jak i umożliwia swobodny przepływ danych, będziemy pierwszymi, którzy pochwalą każdy taki rezultat. Nadal mamy nadzieję, że w ostatecznym tekście uda się wyeliminować niedociągnięcia, na które zwrócono uwagę w niniejszym liście, i zachęcamy negocjatorów po obu stronach Atlantyku do przeprowadzenia bardzo potrzebnych reform w prawie amerykańskim.

W przypadku braku tych zmian legislacyjnych obawiamy się, że jakiekolwiek przyszłe porozumienie będzie (ponownie) oparte na politycznych nadziejach, a nie na realiach prawnych. Szczególnie niepokoi nas fakt, że Komisja Europejska może świadomie przyjąć kolejną niezgodną z prawem decyzję o adekwatności, której celem będzie podważenie wyroków TSUE. Jest to często określane jako "kupowanie kolejnych kilku lat". Może to nie tylko prowadzić do niekończącego się ping-ponga między Brukselą a Luksemburgiem, ale także zagraża zaufaniu do rządów prawa i WSO na poziomie europejskim.

W świetle powyższego, noyb jest gotów zaskarżyć każdą ostateczną decyzję o odpowiedniej ochronie, która nie zapewniałaby niezbędnej pewności prawnej. W przypadku, gdy takie postępowanie sądowe będzie rzeczywiście konieczne, skupimy się w szczególności na szybkiej i skutecznej ścieżce do TSUE w celu uzyskania szybkiego rozstrzygnięcia. Mamy nadzieję, że zapewni to krótszy okres niepewności prawnej w przypadku jakiegokolwiek nieprzemyślanego porozumienia politycznego

Takie wyzwanie może obejmować wniosek do TSUE o zawieszenie stosowania jakiejkolwiek trzeciej wersji amerykańskiej decyzji stwierdzającej odpowiedni poziom ochrony. Taka możliwość jest przewidziana w art. 278 TFUE i może zagwarantować, że Komisja Europejska nie będzie podważać kompetencji TSUE, wydając kolejne niezgodne z prawem decyzje o odpowiedniej ochronie, próbując wyprzedzić kontrolę TSUE nad tymi decyzjami.

Mamy nadzieję, że te wstępne uwagi okażą się dla Państwa przydatne. Jesteśmy do Państwa dyspozycji w razie jakichkolwiek pytań lub chęci przekazania nam dalszych wyjaśnień na temat planowanego nowego porozumienia.

Z poważaniem,

Max Schrems

Honorowy Przewodniczący, noyb

Z poważaniem,

Max Schrems

Honorowy Przewodniczący, noyb