Co dalej z (nie)Bezpieczną Zatoką?

Po doniesieniach Edwarda Snowdena o stosowaniu przez amerykańskie służby specjalne programów takich jak PRISM i współpracy firm internetowych z NSA, wzmogła się krytyka programu Safe Harbour – czyli mechanizmu ułatwiającego transfery danych do USA. Jednak po kilku miesiącach Komisja Europejska trochę ochłonęła i dostrzegła gospodarcze znaczenie transferów danych do USA: w komunikacie z listopada 2013 r. najwięcej uwagi poświęca „odbudowie zaufania” w relacjach z Waszyngtonem. Mimo to wiele wskazuje, że Safe Harbour czekają zmiany: na linii UE-USA trwają negocjacje nad nową wersją porozumienia, a równolegle do Trybunału Sprawiedliwości UE skierowano pytanie o zgodność programu z Kartą praw podstawowych. W tej chwili pewna jest jedynie potrzeba zmian, ale trudno przewidzieć jaką przyjmą one formę.

Program Safe Harbour to podstawa komercyjnych transferów danych osobowych obywateli Unii Europejskiej do Stanów Zjednoczonych, gdzie standard ich ochrony jest zdecydowanie niższy. To poważny wyłom w europejskim systemie ochrony danych, który – co do zasady – nie pozwala na przekazywanie danych poza obszar UE bez adekwatnych gwarancji prawnych. Dla amerykańskich podmiotów zrobiono wyjątek: wystarczy uczestnictwo w miękkim (niewiążącym prawnie) programie, by przeskoczyć problem braku adekwatnych gwarancji. Firma lub inny podmiot musi tylko zadeklarować, że przestrzega określonych zasad i zgłosić się do Departamentu Handlu USA. Rzeczywista zgodność postępowania firm z uzgodnionymi między USA a UE standardami jest bardzo rzadko weryfikowana, a przeprowadzone przez Komisję Europejską ewaluacje wskazują, że prawa Europejczyków dotyczące ochrony ich danych notorycznie nie są respektowane.

Na fali oburzenia wywołanego doniesieniami Edwarda Snowdena Parlament Europejski zażądał zawieszenia programu Safe Harbour. Komisja Europejska, choć początkowo również groziła wstrzymaniem transferów danych, szybko zweryfikowała swoje stanowisko ze względu na interesy gospodarcze. Zamiast zawieszać lub zamrażać, przekazała stronie amerykańskiej swoje rekomendacje dotyczące niezbędnych zmian w funkcjonowaniu programu i rozpoczęła negocjacje z amerykańskim Departamentem Handlu, zmierzające do ich wdrożenia.

„Względy bezpieczeństwa” przeszkodą w negocjacjach

Na początku czerwca br. wiceprzewodnicząca Komisji Europejskiej Viviane Reding ogłosiła, że nastąpił postęp w rozmowach o rewizji Safe Harbour, ale z jednym wyjątkiem. Niestety, jest to wyjątek kluczowy dla uznania, że Bezpieczna Zatoka jest rzeczywiście bezpieczna. Chodzi o wykorzystywanie danych, które trafiają do USA z powodów gospodarczych, na potrzeby bezpieczeństwa narodowego. Do tej pory szeroka interpretacja „względów bezpieczeństwa” uzasadniała bowiem wykorzystywanie danych, którymi dysponował np. Facebook w ramach masowych programów szpiegowskich. Europejczycy chcą, by wszelkie odstępstwa od normalnych procedur pozyskiwania danych dla celów ścigania przestępstw były stosowane restrykcyjnie – tylko wtedy, gdy jest to niezbędne i proporcjonalne do zagrożenia. Póki co Amerykanie nie są zbyt chętni do samoograniczenia, ale mogą zmienić zdanie, jeśli Unia Europejska sięgnie po najmocniejszą kartę: zagrozi zamrożeniem transferów lub zerwaniem negocjacji nowej umowy o handlu i inwestycjach (TTIP).

Safe Harbour przed Trybunałem

Słabości gwarancji ochrony praw obywateli UE w ramach Safe Harbour niepokoi nie tylko europarlamentarzystów czy działaczy organizacji pozarządowych zajmujących się prawami cyfrowymi. Pewien austriacki użytkownik Facebooka oburzony tym, że jego dane mogą bez żadnego uzasadnienia trafić w ręce amerykańskich służb specjalnych, zażądał wstrzymania transferów danych z europejskiej filii do spółki-matki w USA. Irlandzki rzecznik ochrony danych osobowych, któremu podlega Facebook w Europie odmówił, powołując się na decyzję Komisji Europejskiej o „adekwatności standardu ochrony stosowanego przed podmioty uczestniczące w Safe Harbour”, a więc także Facebooka.

Max Schrems się nie poddał i sprawa trafiła do sądu, który uznał, że tematem powinien zająć się Trybunał Sprawiedliwości UE. Zwrócił się zatem z pytaniem prejudycjalnym o to, czy decyzja Komisji o uznaniu standardów programu Safe Harbour za „adekwatny poziom ochrony” nadal obowiązuje krajowe organy ochrony danych, skoro od jej wydania minęło kilka lat i wiele się w tym czasie zmieniło. Sąd dostrzegł tym samym możliwość „wyłamania” się krajowych organów odpowiedzialnych za ochronę prywatności z papierowego reżimu Safo Harbour. By odpowiedzieć na to pytanie Trybunał w Luksemburgu będzie musiał zbadać zgodność decyzji Komisji Europejskiej dotyczącej Safe Harbour z Kartą praw podstawowych. Uznanie, że zasady tego programu są niezgodne z europejskimi standardami ochrony praw człowieka będzie oznaczało konieczność jego uchylenia. A więc rewolucję w relacjach handlowych z USA.

Jaki los czeka program i porozumienie Safe Harbour? Jest mało prawdopodobne, by zostały one zawieszone do czasu, aż Amerykanie zobowiążą się do niestosowania masowych programów inwigilacyjnych względem Europejczyków, jak chciał tego Parlament. Większe szanse ma wariant renegocjacji jego postanowień, szczególnie teraz, gdy na horyzoncie pojawiło się widmo uchylenia porozumienia przez Trybunał Sprawiedliwości na wzór dyrektywy retencyjnej.

Anna Walkowiak, Katarzyna Szymielewicz

Więcej na ten temat:

Fundacja Panoptykon: Safe Harbour – czyli jak (nie)bezpieczne są dane Europejczyków w Stanach Zjednoczonych

Fundacja Panoptykon: Ochrona danych w walce z przestępczością – nowe podejście czy pozorne ruchy?

Fundacja Panoptykon: Wyjście z bezpiecznej przystani musi boleć

Fundacja Panoptykon: Fałszywa wartość zaufania

Fundacja Panoptykon: Jak UE reaguje na PRISM: obietnice i uniki

Fundacja Panoptykon: Niebezpieczna zatoka (więcej o programie „Bezpieczna przystań”)