Trwają intensywne prace nad uregulowaniem kwestii transferu danych osobowych pomiędzy krajami Unii Europejskiej a Stanami Zjednoczonymi Ameryki Północnej. Zgodnie z informacjami zamieszczonymi 13 grudnia 2022 r. na stronie Komisji Europejskiej (KE) rozpoczął się proces przyjmowania decyzji stwierdzającej odpowiedni stopień ochrony danych, o której mowa w art. 45 ust. 3 RODO.
Od razu pojawiły się głosy wątpiące czy proponowane w porozumieniu zapisy będą skutecznie wypełniały zastrzeżenia zakomunikowane przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku tzw. Schrems II z lipca 2020 r., a które legły u podstaw unieważnienia EU-USA Privacy Shield (m.in. inwigilacja prowadzona przez służby specjalne USA).
Niemniej jednak, aby nie wprowadzić zbędnego zamieszania, proponuję najpierw skupić się na nowych propozycjach wynikających bezpośrednio z rozmów między KE a rządem USA, a następnie odnieść się do obiekcji. A zatem już w marcu 2022 r. Przewodnicząca KE Ursula von der Layen oraz Prezydent USA Joe Biden ogłosili, że po intensywnych negocjacjach doszło do porozumienia, co do przyszłych ram w zakresie transferu danych osobowych między obiema stronami (Data Privacy Framework). Od tego czasu, aż do października 2022 r. nie odnotowano większych ruchów w opisywanym temacie, gdy Prezydent Biden podpisał dekret wykonawczy w sprawie wzmocnienia zabezpieczeń dla działań wywiadowczych Stanów Zjednoczonych (Executive Order 14086 of October 7, 2022 ‘Enhancing Safeguards for United States Signals Intelligence Activities’), który został uzupełniony o rozporządzenie przyjęte przez Prokuratora Generalnego USA Merrick’a Garland’a. Executive Order to wewnętrzna dyrektywa prezydenta USA w ramach rządu federalnego, ale nie jest to ustawa. (Wcześniej funkcjonowało zarządzenie prezydenta Obamy z 2014 roku, zwane PPD-28.) Powyższe instrumenty w przekonaniu KE skutecznie wprowadzają do amerykańskiego porządku prawnego zasady ujęte w przyjętym w marcu 2022 r. porozumieniu KE-USA, a zatem w przekonaniu KE można przystąpić do projektowania decyzji stwierdzającej odpowiedni stopień ochrony.
KE po dokonaniu analizy aktualnego stanu prawnego w rzeczonym zakresie w USA stwierdza, że przepisy te gwarantują porównywalne z unijnymi zabezpieczenia, a w projekcie zapisano, że USA zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z terytorium Unii Europejskiej do przedsiębiorstw z USA. Zatem formalnie w oczach KE nic nie stoi na przeszkodzie, aby projekt decyzji był dalej procedowany. Idąc więc za tym stwierdzeniem KE przekazała projekt decyzji do zaopiniowania Europejskiej Radzie Ochrony danych (EROD). Następnie KE po uzyskaniu opinii EROD zwróci się do przedstawicieli poszczególnych państw członkowskich o wyrażenie zgody na przyjęcie procedowanej decyzji. W tym samym czasie prawo kontroli decyzji stwierdzających odpowiedni poziom ochrony może zostać wykonane przez Parlament Europejski. Po zakończeniu powyższych kroków KE będzie mogła przystąpić do przyjęcia ostatecznej decyzji.
W chwili obecnej trudno jest oszacować, kiedy to dokładnie się stanie, natomiast pocieszające jest, że proces się toczy, a obydwie strony podjęły się rozmowy. Temat z pozoru może wydawać się łatwy i przyjemny, niemniej jednak są to tylko pozory. Jak wskazuje historia współpracy w zakresie transferu danych osobowych z UE do USA mieliśmy już kiedyś regulacje ujęte w tzw. Safe Harbour oraz Privacy Shield. Czy obecnie procedowane porozumienie nie skończy tak jak jego poprzednicy? Tutaj pojawiają się wspomniane na początku wątpliwości, które są głośno zgłaszane. Aby nie być gołosłownym wspomnę chociażby o tym, że przywoływane są odwołania od wyroku TSUE w sprawie tzw. Schrems II. Mianowicie TSUE wskazał, że kwestia inwigilacji ze strony USA musi być proporcjonalna w rozumieniu art. 52 Karty Praw Podstawowych (KPP) oraz aby istniał dostęp do sądowych środków odwoławczych, zgodnie z wymogami art. 47 KPP. A jak wskazują oponenci wynegocjowanego porozumienia KE z USA, zaktualizowane prawo USA (Executive Order 14086) wydaje się nie spełniać obu wymogów, ponieważ nie zmienia sytuacji w stosunku do poprzednio obowiązującego PPD-28. Istnieje ciągły bulk surveillance – masowa inwigilacja oraz sąd, który nie jest faktycznym sądem. Mianowicie zgodnie z zapisami będzie obowiązywała procedura odwoławcza, w której w pierwszej kolejności odwołania będą wpływały do wyznaczonego urzędnika podlegającego dyrektorowi wywiadu krajowego, a następnie do tzw. sądu ds. przeglądu ochrony danych. Natomiast nie będzie to sąd w rozumieniu art. 47 KPP lub Konstytucji USA, lecz organ w ramach władzy wykonawczej rządu USA. Krytycy takiego rozwiązania wskazują wyraźnie, że jest to zmodyfikowana wersja poprzedniego systemu, który został już odrzucony przez TSUE. Jednocześnie, co wyraźnie podkreślają, organ wykonawczy w takiej formie jak powyżej nie będzie stanowił sądowego środka odwoławczego, jak wymaga tego Karta UE. W związku z tym, jakakolwiek unijna decyzja o adekwatności oparta na rozporządzeniu wykonawczym 14086, prawdopodobnie, zdaniem oponentów, nie usatysfakcjonuje TSUE, a to, że zostanie zaskarżona w proponowanej postaci wydaje się więcej niż pewne.
Reasumując, warto podkreślić, że uregulowanie transferu danych osobowych do USA za pomocą decyzji KE z całą pewnością wprowadziłoby większą pewność takiego obrotu i dałoby odpowiedź wszystkim eksporterom danych osobowych obawiającym się takiego transferu, że USA gwarantuje odpowiedni poziom bezpieczeństwa w tym obszarze. Niniejsza kwestia jest oczekiwana przez wszystkie strony. Z zainteresowaniem będziemy śledzili tę kwestię.
Autor: Radosław Aniszczyk