Jak UE reaguje na PRISM: obietnice i uniki

Rewelacjom Edwarda Snowdena nie ma końca. Guardian ujawnił informacje o kolejnym tajnym programie XKeyscore, z których wynika, że agenci NSA jednak mają niekontrolowany dostęp do danych klientów niektórych firm internetowych. Viviane Reding, komisarz ds. sprawiedliwości i praw podstawowych, od czasu ujawnienia skali amerykańskiej inwigilacji mówi o "pobudce" dla Europy. Na brak silnej politycznej retoryki w tej sprawie nie możemy narzekać. Gorzej z konkretnymi działaniami, które mogłyby ochronić nasze dane przed ingerencją zagranicznych służb.

Prawie dwa miesiące po ujawnieniu amerykańskiego programu inwigilacji wiedzę o nim nadal czerpiemy z mediów i sukcesywnie ujawnianych tajnych dokumentów. Komisarz Viviane Reding jeszcze w czerwcu zadała Prokuratorowi Generalnemu USA konkretne pytania o zasady działania PRISM, które powtórzyła po spotkaniu w Dublinie. Do dziś nie dostała odpowiedzi. W Dublinie ustalono też, że do wyjaśnienia sprawy zostanie powołana specjalna, międzynarodowa grupa ekspertów. Grupa, owszem, powstała, a nawet zdążyła się już spotkać. Niewiele jednak z tego wynika. Wiemy tylko tyle, że do udziału w niej zaproszono przedstawicieli Prezydencji, Komisji Europejskiej, Europejskiej Służby Działań Zagranicznych, Koordynatora ds. przeciwdziałania terroryzmowi, ekspertów z dziesięciu państw członkowskich i jednego (!) członka Grupy Roboczej Art. 29, czyli któregoś z odpowiedników polskiego GIODO. Ani skład, ani niski poziom transparentności, ani bardzo dyplomatyczne tempo nie wróżą dobrze temu przedsięwzięciu.

Parlament Europejski, mimo głośnego sprzeciwu, też nie spieszy się z radykalnymi krokami. Do tej pory podjął tylko niewiążącą rezolucję, w której krytykuje działania NSA i domaga się od Komisji Europejskiej zadbania o europejskie standardy ochrony prywatności w relacjach z USA. Nie zażądał natomiast jedynego kroku, który mógłby podziałać na Amerykanów trzeźwiąco, czyli zawieszenia negocjacji nowego porozumienia o wolnym handlu i inwestycjach (TTIP). Konserwatywna większość eurodeputowanych uznała, że interesy ekonomiczne mają wciąż wyższy priorytet niż prawa człowieka.

Jedyny konkret, jaki rysuje się na politycznym horyzoncie, to ucywilizowanie zasad transferu danych do USA. Zgodnie z obowiązującym prawem dane obywateli UE nie powinny być przekazywane do tzw. krajów trzecich, o ile Komisja Europejska nie uzna, że dane państwo gwarantuje adekwatny poziom ich ochrony. Od tej zasady są wyjątki, jednak zawsze podstawą transferu powinny być wiążące instrumenty prawne, które nakładają na zagraniczne podmioty obowiązki analogiczne do przewidzianych w europejskim prawie. Dla Stanów Zjednoczonych Komisja zrobiła wyjątek: jako podstawę transferu danych zaakceptowała nie wiążące porozumienie, ale uzgodniony z Departamentem Handlu USA program o nazwie Safe Harbour (Bezpieczna Przystań). Amerykańskie firmy przystępują do niego na zasadzie samoregulacji, a ich zobowiązania są w praktyce nieegzekwowalne.

Z perspektywy doniesień o skali współpracy amerykańskich firm z NSA i FBI, Bezpieczna Przystań brzmi jak ironiczny żart. Jednak sytuacja jest poważna: w świetle prawa dane osobowe obywateli UE mogą trafiać na serwery amerykańskich firm, które zgodnie z obowiązującymi je przepisami muszą je ujawniać na każde żądanie służb. Irlandzki inspektor ochrony danych osobowych (odpowiednik polskiego GIODO) potwierdził, że w działaniach firm podlegających jego nadzorowi (m.in. Facebooka i Apple'a) nie widzi podstaw do stwierdzenia naruszenia europejskich standardów.

Komisarz Reding na szczęście wykazała większą troskę o prawa obywateli UE i dostrzegła podstawy do zrewidowania programu, który wiąże ręce europejskim organom ochrony danych osobowych. W czasie nieformalnego spotkania Rady UE w Wilnie przyznała, że porozumienie Safe Harbour „może wcale nie być takie bezpieczne” i wprost określiła je jako lukę prawną, która umożliwia amerykańskim firmom unikanie europejskich standardów. Komisja Europejska do końca roku ma przeprowadzić gruntowną ocenę tego programu i przedstawić Radzie swoje wnioski.

Oczywiście, jest ryzyko, że prace nad rewizją programu Safe Harbour – które logicznie rzecz biorąc powinny doprowadzić do jego zakończenia – zostaną przyhamowane z powodów dyplomatycznych i ograniczą się do czystej formalności. Tym razem szanse Reding na skuteczne tupnięcie nogą są jednak większe: rezygnacji z programu Safe Harbour na fali niemieckiego oburzenia działaniami służb domaga się też Angela Merkel.

W Wilnie Viviane Reding po raz kolejny podkreśliła, że odpowiedzią UE na PRISM i inne programy inwigilacji musi być szybka reforma europejskich przepisów o ochronie danych osobowych. Zaproponowany przez nią projekt rozporządzenia nie może zmienić amerykańskiego prawa, ale może skutecznie utrudnić firmom działającym na europejskim rynku przekazywanie danych spółkom zarejestrowanym w USA, skąd bardzo łatwa droga prowadzi do NSA czy FBI. Kluczowe propozycje w tym zakresie to: objęcie wszystkich firm przetwarzających dane obywateli UE tymi samymi standardami, wysokie (do 2% światowego obrotu!) sankcje za ich naruszenie i jasne reguły udostępniania danych organom egzekwowania prawa spoza UE (min. wymóg kontroli sądowej). Wdrożenie tych zasad byłoby konkretną zmianą. Ostateczna decyzja w tym zakresie należy jednak nie do Reding, ale do Parlamentu Europejskiego.

Katarzyna Szymielewicz

Polecamy:

Fundacja Panoptykon: PRISM, SWIFT, Safe Harbour, czyli jak Amerykanie próbują zrozumieć świat

Europe_vs_facebook: Unbelievable: Facebook and Apple may forward data to PRISM under EU law

Financial Times: EU to review ‘safe harbour’ data privacy rule for US companies

Fundacja Panoptykon: Jak powstaje europejskie prawo o ochronie danych osobowych?