W zeszłym miesiącu odnowiono część ram prawnych umożliwiających amerykański nadzór za granicą, co oznacza, że Europejczycy w dalszym ciągu są podatni na szpiegowanie.
Prezydent USA Joe Biden odnowił w kwietniu część amerykańskich ram nadzoru, przedłużając o dwa lata upoważnienie do monitorowania i gromadzenia danych bez nakazów od osób niebędących Amerykanami z całego świata, w tym Europejczyków.
Jak wynika z odprawy przygotowanej przez Biuro Dyrektora Wywiadu Narodowego, odnowiona sekcja 702 ustawy o nadzorze wywiadu zagranicznego (FISA) z 1978 r. została wprowadzona po raz pierwszy w 2008 r. w celu dostosowania do „ewolucji technologii” i ukierunkowania działań na osoby spoza USA.
Sekcja 702 stanowiła podstawę prawną dla międzynarodowego programu masowej inwigilacji NSA PRISM, którego istnienie ujawnił sygnalista Edward Snowden w 2013 roku.
Programy zatwierdzone przez FISA, takie jak PRISM, które nadal działają, wymagają od amerykańskich firm technologicznych, takich jak Microsoft, Amazon i Google, zapewnienia dostępu do kont osób niebędących Amerykanami objętych dochodzeniem. Nie jest wymagane żadne postanowienie sędziego.
Europejczycy mogą myśleć, że Ogólne rozporządzenie o ochronie danych (RODO) chroni ich przed ustawodawstwem USA, ale „najsurowsze prawo dotyczące prywatności i bezpieczeństwa na świecie” jest obecnie przedmiotem dyskusji przeciwko programom zatwierdzonym na mocy FISA – twierdzą aktywiści.
„Dane Europejczyków są zasadniczo dostępne dla amerykańskich służb nadzoru, jeśli zechcą je mieć, i taka jest obecnie rzeczywistość” – powiedział TylkoGliwice Next austriacki prawnik i działacz na rzecz ochrony prywatności Max Schrems.
Prywatność danych jako prawo człowieka
Prywatność danych jest podstawowym prawem człowieka w UE. RODO nakłada surowe ograniczenia na dane osobowe, zabraniając ich udostępniania krajom, które nie zapewniają równoważnego poziomu ochrony – przepis ten obowiązuje od dyrektywy o ochronie danych z 1995 r., poprzedzającej RODO.
W 2000 r. UE zdecydowała, że Szwajcaria zapewnia „odpowiedni poziom” ochrony danych, a decyzję tę odnowiono na początku tego roku. Oznacza to, że dane obywateli Europy mogą być bezpiecznie i sprawnie przekazywane z wewnątrz bloku do podmiotów w kraju alpejskim.
Stany Zjednoczone również otrzymały status „zasadniczo równoważnego” w 2000 r., ale decyzja ta została unieważniona w 2015 r. przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) po tym, jak Schrems zaskarżył unijnego komisarza ds. ochrony danych.
W 2016 r. Komisja Europejska podjęła decyzję o przywróceniu statusu USA, ale w 2020 r. europejski sąd najwyższy ponownie wydał orzeczenie na korzyść Schremsa, który użyczył swojego nazwiska obu unieważnieniom.
Schrems twierdzi, że „decyzja polityczna” skłoniła Komisję do ponownego nadania 25 marca 2022 r. amerykańskim przepisom dotyczącym prywatności danych, które jego zdaniem nie istnieją, statusu równoważnego z RODO.
„Sąd Najwyższy Unii Europejskiej stwierdza, że «nie można tego zrobić, jest to niezgodne z prawem, a nawet niezgodne z konstytucją», a Komisja po prostu raz po raz wydaje (porozumienie)” – stwierdził Schrems.
Według aktywistki w dniu, w którym Ursula von der Leyen i Joe Biden ogłosili nowe transatlantyckie ramy ochrony danych, Komisja i Stany Zjednoczone oświadczyły również, że będą „współpracować na rzecz wsparcia bezpieczeństwa energetycznego Europy na nadchodzące zimy oraz na rzecz zrównoważonego zmniejszyć zależność energetyczną Europy od Rosji”.
Rzecznik Komisji Europejskiej Christian Wigand bardzo jasno stwierdził, że nie ma związku między tymi dwoma wydarzeniami.
Zamiast tego powiedział TylkoGliwice Next, że motywacją do rozmów był „punkt odniesienia” ustalony przez Europejski Trybunał Sprawiedliwości na 2020 r.: jeśli kraje nie mają statusu równoważnego z UE, mogą przyjąć „dodatkowe środki w celu zrekompensowania”.
Decyzja z „ogromnymi konsekwencjami”
Stany Zjednoczone oficjalnie odzyskały status „adekwatności” w lipcu 2023 r., po wydaniu przez rząd USA rozporządzenia wykonawczego (ustawy, która może zostać uchwalona i unieważniona przez prezydenta) ograniczającego gromadzenie danych przez UE do „niezbędnych i proporcjonalnych” poziomów. Dla Komisji Ramy obejmują środki umożliwiające „rozwiązanie wszystkich wątpliwości podniesionych przez Europejski Trybunał Sprawiedliwości”.
Organizacja non-profit Schrems broniąca europejskich praw cyfrowych NOYB argumentuje, że oba kraje nigdy nie uzgodniły definicji słowa „proporcjonalne”, a nowe porozumienie jest takie samo jak poprzednie dwa.
Zdaniem Kennetha Proppa, współpracownika amerykańskiego think tanku The Atlantic Council, Stany Zjednoczone „nigdy nie zgodzą się na definicję konieczności i proporcjonalności ustaloną zgodnie z prawem UE”.
Stwierdził jednak, że „Stany Zjednoczone rzeczywiście dokonały kilku znaczących zmian”, wydając rozporządzenie wykonawcze i tworząc nowy system dochodzenia roszczeń sądowych dla Europejczyków.
„Istnieją interesujące różnice zdań na ten temat, w zależności od tego, po której stronie oceanu się znajdujesz. Jeśli będziesz w Waszyngtonie, ludzie w rządzie USA powiedzą: „rząd USA bardzo się starał, aby w ramach swojego prawa zrobić takie rzeczy, które zadowoliłyby Europejczyków” – powiedział ekspert ds. transatlantyckich przepływów danych.
„Jeśli zapytasz mieszkańców Brukseli, powiedzą: «Jest nieco lepiej, ale nadal odbiega od tego, co naszym zdaniem stanowi standard». Ostatecznie będzie to pytanie do Trybunału Sprawiedliwości” – dodał.
NOYB wezwał już wszystkie osoby, których dotyczy nowe porozumienie, do „wniesienia skargi do organów lub sądów zajmujących się ochroną danych”, ale przestrzegł, że decyzja TSUE „prawdopodobnie nastąpi do roku 2024 lub 2025”.
Jeśli sąd uzna obecną umowę za nieważną, tak jak to miało miejsce w przypadku dwóch poprzednich, Stany Zjednoczone i UE mogą znaleźć się w „trudnej sytuacji”, twierdzi Propp.
„Gotowość rządu USA do przeznaczenia znacznych środków na negocjowanie i renegocjację tej umowy nie wydaje mi się nieograniczona” – powiedział.
Zdaniem eksperta brak porozumienia nie powstrzyma krajów przed prowadzeniem masowej inwigilacji, ale jeśli firmy z siedzibą w USA i UE nie będą mogły przekazywać danych w celach komercyjnych, może to mieć „ogromne konsekwencje gospodarcze”.
„Jak firmy będą mogły prowadzić swoją działalność, jeśli nie będzie porozumienia między USA a Europą? Nie będą mieli potrzebnego poziomu pewności prawnej, a to nie jest sytuacja, która może być zrównoważona w dłuższej perspektywie” – stwierdził Propp.