Pojawiło się światełko w tunelu dla administratorów przesyłających dane osobowe na linii UE-USA, w tym dla gigantów telekomunikacyjnych, którzy od niemal dwóch lat znajdują się pod szczególną obserwacją unijnych organów do spraw ochrony danych osobowych.
Przedstawiciele organów UE i USA zawarli bowiem porozumienie dotyczące transferu danych osobowych. Rozwiązania te w założeniu wypełnić mają lukę po uchylonej Tarczy Prywatności. Zaproponowane nowe ramy prawne w tym zakresie pojawiły się po prawie dwóch latach rozmów. Zagraniczne media zwracają uwagę, że ten moment nie jest przypadkowy, biorąc pod uwagę zacieśnianie współpracy między UE i USA na różnych polach, w związku z agresją Rosji na Ukrainę.
Porozumienie nie jest ostateczne
Porozumienie zawarte pomiędzy UE a USA ma de facto charakter wstępny (jest to tzw. agreement in principle). Oznacza to, że wiele kwestii spornych nie jest jeszcze na dziś wyjaśnionych między stronami. Niestety treść dokumentu także nie jest znana, gdyż nie został on udostępniony publicznie. Przedstawiciele obu stron zdradzili jednak kilka szczegółów na temat przyjętych ustaleń. Ten, reprezentujący Komisję Europejską wskazał przykładowo, że dokument zawierać ma zabezpieczenia, które ograniczać będą do maksimum (tj. do tego, co jest konieczne i proporcjonalne) dostęp amerykańskich organów wywiadowczych do danych osobowych przesyłanych do USA z UE.
Z drugiej strony, nowe ramy współpracy przewidywać mają utworzenie w USA nowego sądu (Data Protection Review Court), czuwającego nad właściwym wyważeniem kwestii ochrony przez USA swojego bezpieczeństwa narodowego, a realizacją prawa obywateli UE do skutecznego zakwestionowania nadmiernej – a konsekwentnie nielegalnej – inwigilacji.
Kluczem są „skuteczne środki prawne”
Wskazuje się, że głównym i najważniejszym zadaniem UE i USA w ramach prac nad wypracowaniem ostatecznych ram prawnych w tym zakresie, będzie wykazanie, że ostateczna umowa przewidywać będzie tzw. „skuteczne środki prawne”, gwarantujące obywatelom UE ochronę przed nielegalnym przetwarzaniem ich danych osobowych przez amerykańskie służby wywiadowcze. W ocenie Trybunału Sprawiedliwości Unii Europejskiej (TSUE) takie środki prawne powinny być utożsamiane ze środkami sądowymi, a nie jedynie w sferze administracyjnej. Zauważa się również, że aktualnie obywatele UE, którzy uważają, że byli nadzorowani w nieodpowiedni sposób, mają znaczne trudności z dochodzeniem swoich praw w starciu z rządem USA. Sytuacji nie ułatwia również fakt, że aktualnie amerykańskie organy wywiadowcze mogą de facto pozyskiwać bez podstawy prawnej dane osobowe przetwarzane przez największe firmy technologiczne, takie jak np. Facebook.
Wyrok Schrems III nie jest wykluczony
Warto przypomnieć, że Maximillian Schrems – austriacki aktywista, znany ze swojej działalności na rzecz ochrony szeroko pojętego prawa do prywatności – argumentował przed TSUE w toku postępowania w sprawie unieważnienia Tarczy Prywatności, że wykorzystywanie jego danych osobowych przez Facebooka naraziło go na znaczną inwigilację, naruszając tym samym unijne prawo do ochrony prywatności i danych osobowych. Stanowcze działania Maxa Schrems’a i jego argumentacja doprowadziły do wydania przez TSUE 16 lipca 2020 r. wyroku (C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems), w którym uznał on za nieważną decyzję wykonawczą Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, negując tym samym Tarczę Prywatności, jako źródło podstawy prawnej do przekazywania danych osobowych do USA (Obszerną analizę tego wyroku opublikowaliśmy TUTAJ:
Przekazywanie danych do USA ponownie pod znakiem zapytania – część I
Przekazywanie danych do USA ponownie pod znakiem zapytania – część II
Przekazywanie danych do USA ponownie pod znakiem zapytania – część III
Co ciekawe, austriacki aktywista już zapowiedział, że będzie kwestionować nowe rozwiązania prawne zastępujące Tarczę Prywatności, o ile uzna, że są one niezgodne z prawem UE. Można więc hipotetycznie spodziewać się kolejnego wyroku TSUE w sprawie zainicjowanej przez Maxa Schrems’a.
Źródła:
https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
