Oświadczenie Maxa Schremsa w rok po decyzji "Schrems II" Trybunału Sprawiedliwości Unii Europejskiej
Rok temu tzw. decyzja "Schrems II" była określana jako przełomowa, mimo że TSUE już po raz drugi uznał przekazywanie danych między UE a USA za niezgodne z prawem - w oparciu o prawo UE, które faktycznie istnieje od 1995 r. Wydaje się, że w ciągu ostatniego roku zainteresowane strony zajmowały się głównie odwracaniem uwagi i wskazywaniem palcem, a każda z nich przerzucała odpowiedzialność na kolejną osobę.
Tylko niewielka część europejskich przedsiębiorstw zdała sobie sprawę, że leżący u podstaw konflikt między ochroną danych w UE a amerykańskim prawem nadzoru nie zostanie rozwiązany w perspektywie krótkoterminowej, i zdecydowała się na przechowywanie danych osobowych w Europie lub innych bezpiecznych regionach, zamiast angażować się w niekończący się koszmar zgodności z prawem amerykańskim. Inne europejskie przedsiębiorstwa regularnie skarżą się na brak "wytycznych", mimo dwóch wyraźnych orzeczeń. Gdy wytyczne są wydawane, takie jak ostatnie wytyczne EDPB, wiele z nich argumentuje, że przestrzeganie wymogów prawa jest "nierealistyczne".
Gromada prawników branżowych i amerykańskich dostawców usług w chmurze próbowała wypełnić tę lukę za pomocą "keep calm and carry on" pseuo-guidance i rozwijała coraz bardziej prymitywne teorie prawne w ciągu ostatniego roku. Obejmują one zakres od istnienia "podejścia opartego na ryzyku" (które nie jest obecne w odpowiedniej części GDPR) do sugestii niefunkcjonalnych "środków uzupełniających" (jak posiadanie ogrodzeń wokół centrów danych). Zamiast inwestować w bezpieczne systemy informatyczne, te zainteresowane strony z sektora prywatnego inwestują w działania PR-owe, które udają zgodność z przepisami. Interesujące będzie sprawdzenie, czy przedsiębiorstwa i klienci w UE zażądają odszkodowania, jeśli te obietnice okażą się tylko pustymi słowami.
Organy ochrony danych przyjęły w dużej mierze postawę wyczekującą. Z nielicznymi wyjątkami, organy ochrony danych nie przeprowadziły dotychczas żadnych dochodzeń ani nie podjęły żadnych decyzji. Ze 101 skarg wzorcowych, które Noyb złożył po wydaniu wyroku, żadna nie została rozpatrzona, pomimo utworzenia przez organy ochrony danych grupy zadaniowej. Pierwotna skarga na Facebooka, złożona w 2013 roku, została opóźniona przez niepotrzebne drugie dochodzenie irlandzkiej Komisji Ochrony Danych, co wymagało od noyb wydania kolejnego pozwu przeciwko DPC, który rozstrzygnęła w styczniu 2021 roku. Właśnie teraz oczekujemy decyzji w najbliższym czasie.
Komisja Europejska zamula wody, wydając nowe narzędzia transferu, takie jak"Standardowe klauzule umowne", które starannie omijają wyraźny głos w sprawie transferów UE-USA i pozwalają prawnikom branżowym na ciągłe snucie nowych teorii zgodności i unikanie długoterminowych rozwiązań. Jednocześnie Komisja nie wydaje się wierzyć w terminowe rozwiązanie z USA.
W przeciwieństwie do swojego europejskiego odpowiednika, rząd USA chętnie regularnie ogłasza rzekome "postępy" w negocjacjach w sprawie nowej umowy. Wydaje się jednak, że nie ma zbytniej ochoty na zmianę źródła problemu: zbyt daleko idących amerykańskich przepisów dotyczących nadzoru. Jeżeli przemysł amerykański nie będzie intensywnie lobbował w Waszyngtonie na rzecz poprawy ochrony klientów zagranicznych, jest mało prawdopodobne, że amerykańskie przepisy dotyczące inwigilacji ulegną zmianie. W rozmowach, które odbyłem, przedstawiciele amerykańskiej branży mówili raczej jasno: bez groźby poważnego egzekwowania prawa w UE lub masowego exodusu klientów z UE, branża amerykańska nie wyda swojego kapitału politycznego w Waszyngtonie na walkę o ochronę prywatności dla obcokrajowców.
Sytuacja bezsprzecznie sprowadza się do koło graczy, którzy w dużej mierze stoją w miejscu. Z drugiej strony, jeśli któryś z tych graczy zacznie się ruszać, może to szybko wywołać efekt domina w kierunku długoterminowego rozwiązania.
Moim zdaniem długoterminowym rozwiązaniem może być jedynie jakaś forma umowy o "nieszpiegowaniu" pomiędzy demokratycznymi krajami, która chroni prawo użytkowników do prywatności niezależnie od miejsca i obywatelstwa. Może nie uda nam się tego osiągnąć w ciągu kilku miesięcy, ale potencjalnie w ciągu dekady, ponieważ globalny Internet potrzebuje globalnej ochrony, aby funkcjonować tak, jak życzą sobie tego użytkownicy i firmy.
Zespół noyb i wiele innych osób będzie nadal pracować nad takim długoterminowym rozwiązaniem.
Max Schrems