Nowe rozporządzenie wykonawcze USA prawdopodobnie nie będzie zgodne z prawem UE

paź 07, 2022

We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.

Pierwsza reakcja: Rozporządzenie wykonawcze w sprawie inwigilacji USA raczej nie zadowoli prawa UE

Ponad sześć miesięcy po "porozumieniu co do zasady" między UE a USA prezydent USA Joe Biden podpisał długo oczekiwane rozporządzenie wykonawcze, które ma respektować dotychczasowe wyroki Europejskiego Trybunału Sprawiedliwości (TSUE). Ma to pozwolić na przezwyciężenie ograniczeń w przekazywaniu danych między UE a USA. TSUE wymagał (1) aby amerykańska inwigilacja była proporcjonalna w rozumieniu art. 52 Karty Praw Podstawowych (KPP) oraz (2) aby istniał dostęp do sądowych środków odwoławczych, zgodnie z wymogami art. 47 KPP. Nowe rozporządzenie wykonawcze Bidena wydaje się nie spełniać obu wymogów. Istnieje ciągła "masowa inwigilacja" i "sąd", który nie jest rzeczywistym sądem.

Executive Order (rozporządzenie wykonawcze). Executive Order to wewnętrzna dyrektywa prezydenta USA w ramach rządu federalnego, ale nie jest to ustawa. Wcześniej sprawę regulowało zarządzenie prezydenta Obamy z 2014 roku, zwane PPD-28. Choć dobrze jest widzieć, że nasza sprawa sądowa prowadzi teraz do reakcji prezydenta USA, to ten wewnętrzny dekret prezydencki prawdopodobnie nie rozwiąże problemu:

Masowy nadzór jest kontynuowany poprzez dwa rodzaje "proporcjonalności". USA podkreślają, że w nowym rozporządzeniu wykonawczym użyto sformułowań z prawa UE ("konieczny" i"proporcjonalny" jak w art. 52 CFR) zamiast wcześniejszego określenia"tak dostosowany, jak to możliwe" użytego w sekcji 1(d) PPD-28. Mogłoby to rozwiązać problem, gdyby USA kierowały się tym samym rozumieniem i również stosowały test proporcjonalności TSUE.

Jednak pomimo zmiany tych słów nic nie wskazuje na to, że masowa inwigilacja w USA zmieni się w praktyce. Tak zwany "bulk surveillance" będzie kontynuowany na mocy nowego rozporządzenia wykonawczego (patrz sekcja 2 (c)(ii)), a wszelkie dane wysyłane do amerykańskich dostawców nadal będą trafiać do programów takich jak PRISM czy Upstream, pomimo dwukrotnego uznania przez TSUE amerykańskich przepisów i praktyk inwigilacyjnych za nie"proporcjonalne" (w europejskim rozumieniu tego słowa).

Jak to jest możliwe? Wygląda na to, że UE i USA zgodziły się na skopiowanie słów"niezbędny" i"proporcjonalny" do rozporządzenia wykonawczego, ale nie zgodziły się, że będą one miały takie samo znaczenie prawne. Jeśli miałyby to samo znaczenie, USA musiałyby fundamentalnie ograniczyć swoje systemy masowej inwigilacji, aby dostosować się do unijnego rozumienia "proporcjonalnej" inwigilacji.

Max Schrems, przewodniczący noyb.eu:"UE i USA zgadzają się obecnie co do użycia słowa 'proporcjonalny', ale wydają się nie zgadzać co do jego znaczenia. W końcu definicja TSUE przeważy - prawdopodobnie ponownie zabije każdą decyzję UE. Komisja Europejska ponownie przymyka oko na prawo USA, aby umożliwić dalsze szpiegowanie Europejczyków."

"Trybunał" nie jest prawdziwym Trybunałem. Rozporządzenie wykonawcze ma również dodać środki odwoławcze. Będzie teraz obowiązywała dwuetapowa procedura, w której pierwszym etapem będzie urzędnik podlegający dyrektorowi wywiadu krajowego, a drugim - "sąd ds. przeglądu ochrony danych". Nie będzie to jednak "sąd" w normalnym prawnym rozumieniu art. 47 Karty lub Konstytucji USA, lecz organ w ramach władzy wykonawczej rządu USA. Nowy system jest unowocześnioną wersją poprzedniego systemu "Ombudsperson", który został już odrzucony przez TSUE. Wydaje się oczywiste, że ten organ wykonawczy nie będzie stanowił "sądowego środka odwoławczego", jak wymaga tego Karta UE.

Orzekanie przez "Trybunał" zostało już zapisane w rozporządzeniu wykonawczym. Użytkownicy będą musieli zgłaszać problemy do organów krajowych w UE, które z kolei będą zgłaszać je rządowi USA. Tak jak dotychczas rząd USA nie potwierdzi ani nie zaprzeczy, że użytkownik był inwigilowany i poinformuje go jedynie, że albo nie doszło do naruszenia, albo że zastosowano środki zaradcze (patrz sekcja 3(c)(E) EO). Użytkownik nie będzie wiedział nic więcej. To również sprawia, że opcja odwołania jest bezużyteczna, ponieważ po prostu nie ma się do czego odwoływać, tak długo jak użytkownik otrzymuje tę odpowiedź w formie pieczątki. Sekcja 3(i)(d)(H) idzie nawet tak daleko, aby sprecyzować, co "Trybunał" odpowie - bez względu na twoje argumenty lub sprawę:"w wyniku przeglądu albo nie stwierdzono żadnych zakrytych naruszeń, albo sąd ds. przeglądu ochrony danych wydał ustalenie wymagające odpowiednich środków zaradczych"

Max Schrems, przewodniczący noyb.eu:"Musimy szczegółowo przeanalizować wniosek, ale na pierwszy rzut oka widać, że ten 'sąd' po prostu nie jest sądem. Karta zawiera wyraźny wymóg dotyczący "sądowego dochodzenia roszczeń" - sama zmiana nazwy jakiegoś organu zajmującego się skargami na "sąd" nie czyni z niego rzeczywistego sądu. Szczegóły procedury również będą miały znaczenie dla sprawdzenia, czy może to spełniać wymogi prawa UE."

Dalsze badania i ewentualne zaskarżenie. noyb i jego partnerzy przeanalizują dokumenty bardziej szczegółowo w najbliższych dniach i wydadzą szczegółową analizę prawną w ciągu najbliższych dni i tygodni. Jeśli decyzja Komisji nie będzie zgodna z prawem UE i odpowiednimi wyrokami TSUE, noyb prawdopodobnie wniesie kolejną skargę do TSUE. W międzyczasie kongres USA będzie musiał ponownie zatwierdzić FISA 702 w 2023 r., potencjalnie umożliwiając ustawodawcy USA wdrożenie znaczących ograniczeń, które szanują prawo do prywatności osób spoza USA.

Max Schrems:"Będziemy szczegółowo analizować ten pakiet, co zajmie nam kilka dni. Na pierwszy rzut oka wydaje się, że zasadnicze kwestie nie zostały rozwiązane i prędzej czy później wróci on do TSUE."

Kraje o podobnej ochronie prywatności nie mogą wypracować stabilnego porozumienia? Nie wydaje się logiczne, że dwa demokratyczne kraje, które zgadzają się co do podstawowych zasad prawnych dotyczących prywatności, mogą wyprodukować trzecią wadliwą umowę z rzędu:

Czwarta poprawka do konstytucji USA gwarantuje prawo do prywatności i wymaga, aby istniał prawdopodobny powód i zgoda sądu na każdy podsłuch. Podobnie TSUE wymaga, by nadzór był ukierunkowany i by istniała zgoda sądu lub kontrola na mocy Karty Praw Podstawowych UE.

Jedyna różnica wydaje się polegać na tym, że podczas gdy UE postrzega prywatność jako prawo człowieka, które ma zastosowanie do każdego człowieka, Czwarta Poprawka dotyczy tylko obywateli USA lub stałych mieszkańców. W opinii USA Europejczycy nie mają prawa do prywatności. FISA 702 wykorzystuje tę różnicę w prawie amerykańskim i pozwala na inwigilację, która jest nielegalna w świetle Czwartej Poprawki - o ile tylko żaden Amerykanin nie jest celem ataku.

Max Schrems:"To zdumiewające, że UE i USA zgadzają się, że podsłuchy wymagają prawdopodobnego powodu i zgody sądu. Jednak Stany Zjednoczone uważają, że obcokrajowcy nie mają prawa do prywatności. Wątpię, aby Stany Zjednoczone miały przyszłość jako światowy dostawca usług w chmurze, jeśli osoby spoza USA nie mają żadnych praw na mocy ich przepisów. Jest dla mnie sprzeczne , że Komisja Europejska pracuje nad umową, która akceptuje, że Europejczycy są obywatelami "drugiej kategorii" i nie zasługują na takie same prawa do prywatności jak obywatele USA."

Amerykańskie firmy nie muszą stosować się do GDPR. Uderzające jest to, że Komisja Europejska nie zażądała dostosowania tzw. "Privacy Shield Principles" do GDPR, które obowiązuje od 2018 roku. Zasady te są w dużej mierze takie same jak poprzednie zasady "Safe Harbor", które zostały opracowane w 2000 roku i będą nadal stosowane w nowych ramach. Oznacza to, że amerykańskie firmy mogą nadal przetwarzać europejskie dane, nie przestrzegając GDPR. Na przykład nie potrzebują nawet podstawy prawnej do przetwarzania, takiej jak zgoda. W ramach Privacy Shield amerykańskie firmy muszą jedynie zaoferować użytkownikom opcję opt-out. Dzieje się tak pomimo podkreślenia przez TSUE, że w USA muszą istnieć "zasadniczo równoważne" zabezpieczenia.

Kolejne kroki. Teraz, gdy USA wydały swoje rozporządzenie wykonawcze, Komisja Europejska będzie musiała przygotować projekt tzw. "decyzji o adekwatności" na podstawie art. 45 GDPR. Po wydaniu projektu decyzji Komisja musi wysłuchać Europejskiej Rady Ochrony Danych (EDPB), ale nie jest związana jej ustaleniami. Ponadto europejskie państwa członkowskie muszą się nagłówkować i mogą zablokować umowę. Proces ten może trwać kilka miesięcy. Jednak nawet negatywne oświadczenia EDPB i państw członkowskich nie są wiążące dla Komisji. Po opublikowaniu decyzji firmy mogą się na nią powoływać przy wysyłaniu danych do USA, a użytkownicy mogą ją zaskarżyć za pośrednictwem sądów krajowych i europejskich. Nie należy się tego spodziewać wcześniej niż wiosną 2023 roku, nawet jeśli pierwotnie przewidywano, że będzie to jesień 2022 roku.