Działania nowej administracji w Waszyngtonie stawiają pod znakiem zapytania fundamenty, na których opiera się przesyłanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Data Privacy Framework (DPF), przyjęty przez Komisję Europejską w lipcu 2023 r. jako podstawa prawna masowych transferów, miał rozwiązać problem zgodności amerykańskiej praktyki z wymogami RODO, jednak od początku budził wątpliwości, a ostatnie decyzje władz USA tylko je pogłębiły.
Prawo unijne zabrania przekazywania danych osobowych poza granice Wspólnoty
Prawo unijne zasadniczo zabrania przekazywania danych osobowych poza granice Wspólnoty, chyba że istnieje bezwzględna konieczność lub kraj docelowy zapewnia poziom ochrony równoważny z RODO. W praktyce, wobec ogromnej skali transferów do Stanów Zjednoczonych, od platform społecznościowych po usługi chmurowe używane przez tysiące przedsiębiorstw, mechanizmy indywidualne okazały się niewystarczające.
Komisja Europejska uznała więc, że DPF stworzy wystarczające zabezpieczenia, opierając się na amerykańskich aktach wykonawczych i deklaracjach wykonawczych, które miały ograniczyć dostęp służb amerykańskich do danych obywateli UE do tego, co „niezbędne i proporcjonalne”.
Tymczasem krytycy od początku ostrzegali, że DPF stoi na kruchych nogach. Max Schrems i organizacja NOYB przypomnieli, że Trybunał Sprawiedliwości UE już wcześniej zrywał podobne porozumienia — najpierw Safe Harbor, potem Privacy Shield, wskazując, że szerokie uprawnienia amerykańskich służb i brak obiektywnych kryteriów ograniczających inwigilację nie są zgodne z unijnym prawem.
W odpowiedzi na te orzeczenia administracja poprzedniego prezydenta wprowadziła rozporządzenie wykonawcze z października 2022 r. oraz mechanizmy odwoławcze mające dawać obywatelom UE realne środki ochrony; to właśnie te rozwiązania stanowiły najbardziej istotne filary DPF.
Działania Donalda Trumpa podważają latami wypracowywane podstawy prawne przesyłania danych osobowych do USA
Niestety, po objęciu urzędu nowe decyzje Białego Domu podważyły działanie kluczowych gwarancji. Rada ds. Prywatności i Swobód Obywatelskich (PCLOB), której rolą było nadzorowanie przestrzegania praw i wolności w działaniach agend rządowych zajmujących się bezpieczeństwem, została praktycznie sparaliżowana przez działania administracji. Członkowie powiązani z poprzednią ekipą zostali poinformowani o konieczności rezygnacji, a bez nich rada traci kworum.
To tylko jeden z symptomów. Trump zapowiedział też przegląd rozporządzeń wykonawczych Bidena, które przecież nie są ustawami, lecz aktami wykonawczymi, a to oznacza, że ich zmiana lub uchylenie może nastąpić relatywnie szybko, bez potrzeby długotrwałych procedur legislacyjnych.
Dla firm i organizacji z UE ten rozwój wydarzeń oznacza rosnącą niepewność. Nawet jeśli DPF formalnie nie zostanie natychmiast unieważniony, jego praktyczna skuteczność jako bezpiecznej podstawy transferów może zostać istotnie osłabiona.
Eksperci i obrońcy prywatności przypominają więc o konieczności przygotowania planów awaryjnych: przeprowadzenia audytów przepływów danych, rozważenia alternatywnych mechanizmów transferu, ograniczenia zależności od rozwiązań chmurowych w USA lub lokalizacji danych w UE.
Data Privacy Framework pozostaje w mocy
DPF już od 2023 r. znajduje się pod lupą Trybunału Sprawiedliwości UE z powodu skargi złożonej przez francuskiego parlamentarzystę Philippe’a Latombe’a, który kwestionuje zgodność porozumienia z RODO i Kartą praw podstawowych UE.
Sąd Unii Europejskiej oddalił wprawdzie wniosek o unieważnienie decyzji potwierdzającej ważność Data Privacy Framework, tym samym utrzymując w mocy ramę prawną, która zezwala na przesyłanie danych osobowych z UE do Stanów Zjednoczonych. Wyrok przynosi tylko chwilową stabilizację w obszarze, który wcześniej dwukrotnie był podważany przez Trybunał Sprawiedliwości UE, najpierw wobec Safe Harbor, potem Privacy Shield.
Skarga Philippe’a Latombe’a opierała się na dwóch zasadniczych zarzutach. Po pierwsze, francuski polityk twierdził, że amerykański sąd DPRC nie gwarantuje bezstronności ani niezależności, ponieważ jego funkcjonowanie miałoby być uzależnione od władzy wykonawczej. Po drugie, Latombe wskazywał na praktyki amerykańskich agencji wywiadowczych: masowe, hurtowe gromadzenie danych osobowych transferowanych z UE bez uprzedniej zgody sądu czy niezależnego organu, co miało być jego zdaniem nieprecyzyjnie uregulowane i sprzeczne z unijnym prawem.
Sąd UE nie podzielił tych zastrzeżeń. W ocenie sądu powoływanie sędziów DPRC oraz sam mechanizm działania tego organu są obwarowane szeregiem gwarancji mających zapewnić niezależność orzekających. Ponadto Komisja Europejska zobowiązana jest do stałego monitorowania sytuacji, a w przypadku wykrycia niepokojących praktyk ma narzędzia umożliwiające uchylenie, zawieszenie lub zmianę swojej decyzji.
Sąd UE odrzucił też argument, że praktyka masowego gromadzenia danych przez służby USA była automatycznie niezgodna z orzeczeniem w sprawie Schrems II. Z tamtego wyroku według sądu nie wynika obowiązek uprzedniego zezwolenia przez niezależny organ, istotne jest natomiast, by takie gromadzenie podlegało następnej kontroli sądowej. W przedstawionych aktach sprawy sąd uznał, że prawo USA przewiduje sądowy nadzór nad działaniami rozpoznania prowadzonego przez agencje wywiadowcze.
Dla przedsiębiorstw i organizacji przekazujących dane do USA orzeczenie Sądu UE to stabilizacja. Jednakże polityczne zmiany w Stanach Zjednoczonych, w szczególności działania nowej administracji, mogą szybko podważyć te gwarancje, a firmy przekazujące dane za ocean muszą liczyć się z koniecznością szybkiego dostosowania strategii ochrony danych.
Mogą Cię zainteresować także: transfer danych UE do Turcji