Od czasu ujawnienia informacji przez Snowdena wiemy, że Stany Zjednoczone angażują się w masową inwigilację użytkowników z UE poprzez pozyskiwanie danych osobowych od amerykańskich firm Big Tech. Prywatności i Swobód Obywatelskich (PCLOB) jest kluczowym amerykańskim organem nadzorującym te przepisy. Amerykańskie media donoszą terazże demokratyczni członkowie PCLOB zostali usunięci, a ich konta e-mail zamknięte. W ten sposób liczba mianowanych członków spadła poniżej progu umożliwiającego działanie PCLOB. Fakt, że prezydent USA po prostu usunął ludzi z (rzekomo) niezależnego organu, stawia pod znakiem zapytania niezależność wszystkich innych organów odwoławczych w USA.
Unia Europejska polegała na tych amerykańskich radach i trybunałach, aby stwierdzić, że Stany Zjednoczone zapewniają "odpowiednią" ochronę danych osobowych. Opierając się na PCLOB i innych mechanizmach, Komisja Europejska zezwala na swobodny przepływ europejskich danych osobowych do USA w ramach tak zwanych "Transatlantyckich Ram Prywatności Danych" (TADPF). PCLOB jest jedynym istotnym elementem "nadzorczym" umowy. Inne elementy działają jedynie jako organy odwoławcze. Tysiące unijnych przedsiębiorstw, agencji rządowych lub szkół polega na tych przepisach. Bez TADPF musiałyby one natychmiast zaprzestać korzystania z usług amerykańskich dostawców usług w chmurze, takich jak Apple, Google, Microsoft czy Amazon.
- Kontekst sagi o przekazywaniu danych między UE a USA
- PDF z informacjami o programie TADPF przygotowany przez UE
- Strona programu TADPF przygotowana przez rząd USA
- Decyzja w sprawie TADPF (UE) 2023/1795
- TSUE: Schrems I i Schrems II
- Sprawozdanie w sprawie usunięcia członków PCLOB
System transferu danych UE-USA - połączenie prawa UE i USA. Ogólnie rzecz biorąc, prawo UE zabrania eksportowania danych osobowych do krajów spoza UE od 1995 r., chyba że istnieje bezwzględna potrzeba (np. podczas wysyłania wiadomości e-mail do dowolnego kraju spoza UE). Dane mogą być wysyłane za granicę, jeśli kraj spoza UE zapewnia "zasadniczo równoważną" ochronę danych osobowych Europejczyków. Z drugiej strony Stany Zjednoczone mają bardzo silne przepisy dotyczące masowej inwigilacji (np. FISA702 lub EO 12.333), które umożliwiają rządowi USA dostęp do wszelkich danych przechowywanych w Amazon, Meta, Microsoft, Google i innych amerykańskich firmach Big Tech bez uzasadnionego powodu lub indywidualnej zgody sądu. W związku z tym Europejski Trybunał Sprawiedliwości dwukrotnie orzekł(Schrems I i Schrems II), że prawo amerykańskie nie jest "zasadniczo równoważne". Ursula von der Leyen nalegała jednak na przyjęcie trzeciej umowy między UE a USA, zwanej "Transatlantyckimi Ramami Ochrony Prywatności Danych" (TADPF).
TADPF została zbudowana na piasku. W dniu 10.7.2023 r. Komisja Europejska wydała decyzję wykonawczą (UE) 2023/1795, formalnie przyjmując TADPF. Pozwoliło to każdej firmie z UE na swobodne przekazywanie danych dostawcom z USA, pomimo amerykańskich przepisów dotyczących nadzoru. Komisja Europejska oparła się na (bardzo wątpliwych) zarządzeniach wykonawczych lub pismach rządu USA, w tym PCLOB, aby stwierdzić, że USA są "zasadniczo równoważne". Elementy te nie znalazły jednak odzwierciedlenia w amerykańskich ustawach i skodyfikowanym prawie, ponieważ w Kongresie USA nie było większości, która mogłaby uchwalić takie przepisy. Od dawna krytykowano, że następny prezydent USA może zabić te zabezpieczenia jednym uderzeniem pióra. Taki scenariusz pojawia się teraz na horyzoncie. W swojej decyzji Komisja Europejska wspomniała o PCLOB aż 31 razy, aby wyjaśnić, dlaczego Stany Zjednoczone mają "zasadniczo równoważne" zabezpieczenia. PCLOB jest jedynym ogólnym organem "nadzorczym", który monitoruje, czy amerykańskie służby faktycznie przestrzegają przepisów, nakazów i innych obietnic. Inne elementy amerykańskiego prawa, takie jak różne mechanizmy dochodzenia roszczeń, wymagają aktywności powoda. Stany Zjednoczone tradycyjnie blokowały dostęp do tych organów poprzez różne zasady "legitymacji procesowej", co prowadziło do tego, że w zasadzie żadne pozwy nie były przyjmowane. Oznacza to, że PCLOB jest jedynym istotnym mechanizmem nadzoru, na którym opiera się TADPF.
Max Schrems:"Ta umowa zawsze była zbudowana na piasku, ale lobby biznesowe UE i Komisja Europejska i tak jej chciały. Zamiast stabilnych ograniczeń prawnych, UE zgodziła się na obietnice wykonawcze, które można obalić w ciągu kilku sekund. Teraz, gdy pierwsze fale Trumpa uderzyły w tę umowę, szybko rzuciło to wiele unijnych firm w prawną otchłań. Sam PCLOB jest tylko jednym z elementów układanki i dopóki tylko tymczasowo nie działa, istnieje argument, że umowa nie jest gorsza niż wcześniej. Jednak kierunek, w jakim zmierza to w pierwszym tygodniu prezydentury Trumpa, nie wygląda dobrze. Uważnie monitorujemy, czy jest to tymczasowy problem, czy też PCLOB zostanie uśmiercony na dobre"
Niezależność organów wykonawczych kwestionowana. W przeciwieństwie do organów ochrony danych w UE, większość amerykańskich organów nadzoru jest tworem władzy wykonawczej, a zatem nie jest niezależna. Niezależność jest często przyznawana tylko przez prezydenta, ale może zostać odwołana lub unieważniona w dowolnym momencie. Wiele z tych dziwnych koncepcji prawnych jest wynikiem strukturalnej niezdolności do uchwalania rzeczywistych przepisów w USA. Zamiast tego całe obszary prawne są regulowane jedynie przez zarządzenia prezydenta. Fakt, że prezydent USA próbuje teraz po prostu usuwać ludzi, stawia pod znakiem zapytania, czy idea (rzekomo) "niezależnych" organów wykonawczych była w ogóle możliwa od samego początku. Wiele innych elementów TADPF, takich jak Trybunał Kontroli Ochrony Danych, ma jeszcze słabszą ochronę prawną niż PCLOB.
Max Schrems:"Pojawiło się wiele pytań dotyczących niezależności tych mechanizmów nadzoru. Niestety, wygląda na to, że mogą one nie przetrwać nawet pierwszych dni prezydentury Trumpa. Jest to różnica między solidną ochroną prawną a myśleniem życzeniowym. Komisja Europejska polegała wyłącznie na tym drugim"
45 dni na kolejny punkt krytyczny. W jednym z pierwszych rozporządzeń wykonawczych, które Trump podpisał w poniedziałek, zdecydował, że wszystkie decyzje Bidena dotyczące bezpieczeństwa narodowego (w tym odpowiednie decyzje, na których opierają się transfery UE-USA) zostaną poddane przeglądowi i potencjalnie zniesione w ciągu 45 dni. Oznacza to, że kolejne elementy, na których opierała się TADPF, mogą upaść w ciągu kilku dni. Ponieważ cała umowa opiera się na decyzjach wykonawczych Bidena, Trump może usunąć wszystkie kluczowe elementy umowy jednym podpisem - prowadząc do natychmiastowego nielegalnego przekazywania danych między UE a USA.
Max Schrems:"Trudno mi sobie wyobrazić, by rozporządzenie wykonawcze Bidena, które zostało wymuszone na USA przez UE i które reguluje szpiegostwo USA za granicą, mogło przetrwać logikę Trumpa "America First". Problem polega na tym, że nie tylko amerykański Big Tech, ale przede wszystkim zwykłe firmy z UE polegają na tym systemie niestabilnych rozporządzeń wykonawczych, aby argumentować, że korzystanie z amerykańskich systemów chmurowych jest legalne w UE"
Komisja manewrowała unijnymi przedsiębiorstwami w kierunku urwiska. Pomimo wszystkich faktów i krytyki ze strony Parlamentu Europejskiego i unijnych organów ochrony danych, Komisja Europejska konsekwentnie twierdziła, że RODO jest solidne i zdrowe. Lobby biznesowe UE naciskało na zawarcie umowy - bez względu na to, jak niestabilna lub szalona by ona nie była. Podobnie, amerykańska wielka technologia chciała pozostać na rynku UE bez żadnych ograniczeń technicznych w odniesieniu do dostępu rządu USA. Teraz wszyscy, od dużych banków, przez całe krajowe systemy szkolnictwa, po wiele małych firm, mogą obudzić się w sytuacji prawnej, w której korzystanie z amerykańskich produktów w chmurze będzie wkrótce nielegalne.
Transfer danych UE-USA na razie legalny - ale przygotuj się. Decyzja administracji USA nie sprawi, że transfery danych z USA staną się natychmiast nielegalne. Decyzja Komisji Europejskiej jest zasadniczo zgodna z prawem, dopóki pozostaje w mocy i nie zostanie unieważniona przez samą Komisję lub Trybunał Sprawiedliwości. Tak więc nawet jeśli istotne ustalenia okażą się błędne, decyzja nadal formalnie istnieje, dopóki nie zostanie obalona. Jeśli jednak kluczowe elementy, na których opierała się UE, nie będą funkcjonować, UE będzie musiała unieważnić umowę.
Max Schrems: "Podczas gdy argumenty za umową UE-USA wydają się rozpadać, firmy mogą polegać na umowie, o ile nie zostanie ona formalnie unieważniona. Biorąc jednak pod uwagę rozwój sytuacji w USA, dla przedsiębiorstw i innych organizacji ważniejsze niż kiedykolwiek jest posiadanie planu awaryjnego "host in Europe""
Komisja Europejska w trudnej sytuacji. Komisja Europejska znalazła się w trudnym położeniu nie tylko z punktu widzenia wiarygodności, ale także z perspektywy dyplomatycznej. Jeśli teraz zareaguje szybko i unieważni TADPF, amerykańska oligarchia technologiczna będzie krzyczeć, że UE "zadziera z" amerykańskim Big Tech. Administracja Trumpa może potraktować to jako powód do rozpoczęcia pierwszej poważnej walki z UE. Jednak niepodjęcie działań i brak oficjalnego ostrzeżenia unijnych przedsiębiorstw, organów publicznych i innych organizacji, które wysyłają dane do USA, również wydaje się problematyczne. Przyszłość TADPF może być bardzo krótkotrwała.
Unijna wersja amerykańskiej debaty o TikTok? Podczas gdy Stany Zjednoczone przez długi czas bagatelizowały europejskie obawy dotyczące danych osobowych przepływających do USA i wykorzystywanych do masowej inwigilacji, USA nagle odwróciły się, gdy ich własne dane zostały zagregowane przez TikTok. Z jednej strony zakaz lub przymusowe przejęcie amerykańskiej Big Tech w Europie byłoby prawnie niemożliwe. Amerykańskie firmy byłyby chronione przed przyjęciem przez UE odpowiednika "zakazu TikTok". Jednocześnie obowiązek przechowywania danych UE poza zasięgiem rządu USA jest domyślny w prawie UE od 1995 roku. Byłoby to również prawo, gdy Komisja Europejska unieważni umowę UE-USA. Amerykański Big Tech musiałby wówczas chronić swoje centra danych w UE przed dostępem swoich amerykańskich spółek macierzystych.
