W poniedziałek Sąd Najwyższy Stanów Zjednoczonych orzekł w sprawie Trump przeciwko Slaughter, że Federalna Komisja Handlu Stanów Zjednoczonych („FTC”) może już nie być niezależna. Od 2000 roku Unia Europejska opierała się na „niezależnej” FTC jako organie odpowiedzialnym za egzekwowanie porozumień między UE a USA dotyczących danych osobowych. Zgodnie z prawem traktatowym UE taki nadzór musi być niezależny. W obecnej umowie między UE a USA Komisja Europejska odwołuje się do niezależnej FTC aż 259 (!) razy. Max Schrems: „Biorąc pod uwagę, że w Stanach Zjednoczonych nie ma już niezależnych organów, wzywamy Komisję Europejską do uporządkowanego wycofania decyzji o adekwatności w odniesieniu do USA.”
- Decyzja wykonawcza Komisji (UE) 2023/1795 w sprawie ram ochrony danych między UE a USA (EUR-Lex)
- Orzeczenie Sądu Najwyższego Stanów Zjednoczonych w sprawie sprawie Trump przeciwko Slaughter
- noyb List do Komisji Europejskiej
Ramy ochrony danych osobowych między UE a USA. Od 1995 r. UE zasadniczo zakazuje eksportu danych osobowych do państw trzecich, aby zapewnić, że przepisy UE dotyczące prywatności nie mogą być obchodzone poprzez zwykłe wysyłanie danych za granicę. Chociaż istnieją wyjątki dotyczące niezbędnych transferów – od takich czynności jak rezerwacja hotelu po złożone transakcje – wiele przedsiębiorstw z UE po prostu zlecało przetwarzanie danych osobowych amerykańskim dostawcom usług w chmurze. Od 2000 r. Komisja Europejska wielokrotnie uznawała Stany Zjednoczone za kraj zapewniający „odpowiedni poziom ochrony” danych osobowych, umożliwiając swobodny przepływ danych między UE a USA. Europejski Trybunał Sprawiedliwości (ETS) unieważnił dwie poprzednie decyzje Komisji w tzw. „Schrems I” (unieważniając program „Safe Harbour”) oraz „Schrems II” (unieważniająca „Privacy Shield”), ze względu na amerykańskie przepisy dotyczące inwigilacji oraz brak środków prawnych w Stanach Zjednoczonych. Niemniej jednak Komisja Europejska zawarła w 2023 r. trzecie porozumienie między UE a USA, zwane „Ramy ochrony danych UE–USA”, które w dużej mierze stanowiły kopię wcześniej unieważnionych umów.
Wymóg UE dotyczący niezależnego organu ochrony danych.Prawo traktatoweUE(a więc „konstytucyjne” ramy UE), a mianowicie art. 16 ust. 2 TFUE oraz art. 8 ust. 3 Karty Praw Podstawowych, wymagają, aby nadzór nad kwestiami ochrony danych sprawował „niezależny” organ. Ponieważ państwa trzecie muszą zapewniać „zasadniczo równoważną” ochronę, konieczne jest, aby każde państwo trzecie, które chce korzystać ze swobodnego przepływu danych osobowych z UE, również zapewniało taką ochronę. Jak dotąd Stany Zjednoczone wyznaczyły „niezależną” Federalną Komisję Handlu (FTC) na amerykański organ regulacyjny ds. prywatności, aby spełnić wymóg UE dotyczący niezależnego nadzoru. Z kolei UE powołała się na FTC aż 259 (!) razy w swojej decyzji w sprawie przepływu danych między UE a USA.
Max Schrems: „Co najważniejsze, ramy konstytucyjne UE wymagają niezależnego nadzoru. Jedynym sposobem na zmianę tej sytuacji byłoby jednogłośne głosowanie wszystkich państw członkowskich UE w sprawie zmiany traktatów UE.”
Wymóg istnienia niezależnego sądu. PonadtoTSUE podkreślił również, że Stany Zjednoczone musiałyby zapewnić niezależny mechanizm odwoławczy w sprawach dotyczących inwigilacji rządowej. Ponieważ Stany Zjednoczone nie były w stanie uchwalić odpowiednich przepisów, administracja Bidena utworzyła „Sąd ds. Przeglądu Ochrony Danych”. Chociaż nazywa się go „sądem”, w rzeczywistości jest to organ wykonawczy działający w ramach amerykańskiego Ministerstwa Sprawiedliwości. Jego „niezależność” wynika wyłącznie z dekretu prezydenckiego (EO) wydanego przez byłego prezydenta Bidena, który w każdej chwili może zostać zmieniony przez Trumpa i nie jest wiążący dla prezydenta.
Orzeczenie w sprawie „Slaughter”: Jednolita (trumpowska) władza wykonawcza. Wcałkowitym odwróceniu dotychczasowego orzecznictwa konserwatywna większość w Sądzie Najwyższym Stanów Zjednoczonych orzekła, że niezależność Federalnej Komisji Handlu (FTC) jest niezgodna z konstytucją. Wynika to z teorii „jednolitości”, zgodnie z którą prezydent USA musi sprawować władzę nad wszystkimi amerykańskie organy wykonawcze i uznała za niezgodne z konstytucją wszystkie amerykańskie ustawy, które nadają różnym agencjom niezależność. Biorąc pod uwagę, że UE w niemal wszystkich przypadkach opierała się na „niezależności” FTC jako organu nadzorującego ochronę prywatności, cała struktura ram ochrony danych między UE a USA właśnie się zawaliła.
Max Schrems: „Nawet w logice Komisji Europejskiej podstawa jakiegokolwiek porozumienia między UE a USA w sprawie transferu danych przestała istnieć. Wzywamy Komisję do rozpoczęcia uporządkowanego wycofywania się z amerykańskiej chmury – co nie jest łatwe, ale niestety nieuniknione. Komisja zbudowała prawny domek z kart pod presją branży, a teraz, gdy wyraźnie się on rozpada, musi wziąć na siebie odpowiedzialność.”
Skutki nie są nieograniczone. Nawetjeśli zniknęły wszystkie podstawy decyzji UE, decyzja Komisji Europejskiej formalnie obowiązuje do czasu jej uchylenia przez Komisję Europejską lub unieważnienia przez Trybunał Sprawiedliwości. Nie ma zatem żadnego natychmiastowego skutku. RODO regulowało również wyłącznie przekazywanie danych osobowych. Dane nieosobowe mogą przepływać swobodnie. Ponadto art. 49 RODO zezwala na niezbędne przekazywanie danych do dowolnego państwa trzeciego. Nie zezwala jednak na strukturalne przenoszenie danych poza UE, jeśli nie jest to absolutnie konieczne.
Ma to również wpływ na standardowe klauzule umowne (SCC) i wiążące reguły korporacyjne (BCR). Chociaż niektóre przedsiębiorstwa mogą nie opierać się bezpośrednio na porozumieniu ramowym UE–USA, a zamiast tego formalnie stosować standardowe klauzule umowne i wiążące reguły korporacyjne, zazwyczaj opierają się one również na „ocenie skutków”, która z kolei opiera się na niegdyś niezależnych organach wykonawczych w USA, takich jak PCLOB lub Sąd ds. Kontroli Ochrony Danych. Orzeczenie Sądu Najwyższego ma zatem zazwyczaj wpływ również na nie, nawet jeśli nie opierają się one na decyzji FTC. W odróżnieniu od administratorów danych opierających się na formalnej decyzji Komisji, muszą one niezwłocznie zaktualizować swoją ocenę – i logicznie dojść do wniosku, że przekazywanie danych nie jest już zgodne z prawem.
Kolejne kroki: Komisja musi unieważnić umowę między UE a USA. noyb wysłała oficjalne pismo do Komisji Europejskiej , w którym zwróciła się do Komisji o podjęcie odpowiednich kroków w celu uregulowanego unieważnienia porozumienia UE–USA w sprawie danych. Pod względem politycznym wiele państw członkowskich UE już obrało kierunek „cyfrowej suwerenności” i zadeklarowało uniezależnienie się od amerykańskich dostawców usług. Niektórzy amerykańscy dostawcy usług również zmierzają w kierunku oddzielnego przetwarzania danych w UE. Jednak biorąc pod uwagę, że Stany Zjednoczone nadal wywierają ogromną presję na UE, aby utrzymać przepływ danych osobowych, noyb w najbliższych tygodniach wniesie również pozew, mając na celu umożliwienie Trybunałowi Sprawiedliwości Unii Europejskiej unieważnienie obecnej umowy. Jednak takie postępowanie sądowe trwa zazwyczaj 2–3 lata, zanim zapadnie ostateczna decyzja.
