Wyjście z Bezpiecznej przystani musi boleć

Artykuł

Afera wywołana ujawnieniem PRISM i innych programów masowej inwigilacji sprawiła, że politycy w Brukseli i Warszawie nie mogą już obojętnie patrzeć, jak dane Europejczyków przepływają przez granicę USA bez gwarancji, których Unia Europejska wymaga od wszystkich innych krajów. Coś wreszcie trzeba zrobić. Największą polityczną sztuczką jest jednak robić tak, żeby w praktyce nic się nie zmieniło. Kolejne komunikaty i raporty w sprawie programu Bezpieczna przystań wydają się zmierzać w tym właśnie kierunku. Czyli donikąd.

Jeszcze pół roku temu mało kto, poza wąską grupą ekspertów, słyszał – a tym bardziej dyskutował – o Bezpiecznej przystani. Przez ponad 10 lat porozumienie i oparty na nim program umożliwiający swobodne przekazywanie danych między europejskimi i amerykańskimi firmami, znane pod angielską nazwą Safe Harbour, były politycznie wygodne. Utyskiwania organów odpowiedzialnych za ochronę danych w krajach UE, politycy zbywali argumentami w stylu „co z tego, że standard ochrony naszych obywateli w Stanach Zjednoczonych nie jest odpowiedni – nic lepszego nie mogliśmy wynegocjować; lepsza słaba regulacja, niż nic”. Sęk w tym, że już wtedy obowiązywała dyrektywa o ochronie danych osobowych, która formalnie nie pozwalała na transfery do tzw krajów trzecich (poza granice UE), jeśli po drugiej stronie nie był zapewniony adekwatny (czyli taki sam lub lepszy) standard ochrony danych. Tylko dla amerykańskich firm zrobiono wyjątek.

Przez ponad 10 lat swobodne przekazywanie danych między europejskimi i amerykańskimi firmami było politycznie wygodne

Jak dalekosiężny w skutkach był to błąd, pokazały dopiero informacje ujawnione przez Edwarda Snowdena. Skala przekazywania danych do USA ze względów komercyjnych przełożyła się wprost proporcjonalnie na skalę masowej inwigilacji przez tamtejsze służby, która uderzyła właśnie w Europejczyków. Oczekiwanie społeczne z perspektywy Brukseli było jasne: „zróbcie coś z tym, albo przynajmniej pokażcie, że robicie”. Ponieważ ostatnią rzeczą, jakiej życzyłaby sobie Unia Europejska, było ochłodzenie dobrych stosunków dyplomatycznych i gospodarczych z USA, padło na działania w gruncie rzeczy pozorne.

Zamiast zażądać zaprzestania masowej inwigilacji pod groźbą zamrożenia prac nad kluczową umową o handlu i inwestycjach, Komisja Europejska wydała kilka nastroszonych komunikatów, w tym jeden poświęcony dalszym losom porozumienia Safe Harbour. Komisja stwierdziła w nim mniej więcej to, co organy zajmujące się ochroną danych osobowych powtarzały od dawna: porozumienie nie zapewnia adekwatnego standardu ochrony prywatności i musi zostać zrewidowane. Zabrakło jednak tego, co najważniejsze: terminów i pomysłu, jak zmusić do współpracy stronę amerykańską. Tym sposobem nadal nie wiemy, kiedy taka rewizja nastąpi, ani w jaki sposób Komisja Europejska ma zamiar do niej doprowadzić.

Na te niedociągnięcia komunikatu Komisji zwrócił uwagę polski rząd, który w styczniu przyjął własne stanowisko w tej sprawie. Referując je w ubiegłym tygodniu Komisji ds. Unii Europejskiej, minister Rafał Trzaskowski podkreślał, że w kwestii ochrony prywatności prawo amerykańskie różni się od europejskiego w sposób fundamentalny i nie może być tu mowy o „adekwatnej ochronie”. Skoro wszyscy się zgadzają, że z tą rozbieżnością standardów, na której od ponad 10 lat najwięcej tracą obywatele UE, coś trzeba zrobić, dlaczego nic się nie dzieje?

Skoro wszyscy się zgadzają, że z tą rozbieżnością standardów coś trzeba zrobić, dlaczego nic się nie dzieje?

Wybrnięcie z impasu wymagałoby stanowczych i na krótką metę niekorzystnych dla ekonomicznych interesów decyzji politycznych, jak choćby zamrożenie „preferencyjnych” transferów danych do USA. Komisja do takiej decyzji się nie spieszy, a odpowiedzialność przerzuca na krajowe organy ochrony danych osobowych, takie jak polski GIODO. Zdaniem Komisji to one powinny korzystać z awaryjnej możliwości zamrożenia transferów, jeśli stwierdzą, że zasady programu Bezpieczna przystań są naruszane (a są). Sęk w tym, że błąd tkwi w samym porozumieniu, które nawet wtedy, gdy jest przestrzegane, nie zapewnia Europejczykom odpowiedniej ochrony.

Z tym problemem i Komisja Europejska i polski rząd mierzą się niechętnie. W opublikowanej kilka dni temu analizie Ministerstwo Administracji i Cyfryzacji w mocnych słowach krytykuje założenia programu, rekomenduje jego głęboką przebudowę i podkreśla uprawniania Generalnego Inspektora Ochrony Danych Osobowych (który może wstrzymać transfery danych między konkretnymi firmami). Na poziomie politycznym droga od systemowej krytyki do konkretnej „strategii wyjścia” jest jednak daleka.

Nawet skuteczna rewizja programu Safe Harbour nie rozwiąże problemu masowej inwigilacji

Co gorsze, zarówno Rafał Trzaskowski, jak i Viviane Reding (unijna komisarz odpowiedzialna za ochronę danych) wiedzą, że nawet skuteczna rewizja programu Safe Harbour nie rozwiąże problemu masowej inwigilacji. Zasady, na jakich komercyjne podmioty przesyłają dane do USA, to jedno, realne możliwości działania amerykańskich służb na terytorium UE to drugie. Mimo że między tymi porządkami występuje niewątpliwe sprzężenie zwrotne, uporządkowanie jednego tematu nie rozwiąże palących problemów w drugim. Ponieważ politycy mają skłonność do uproszczeń, szczególnie w czasie kampanii wyborczej do Parlamentu Europejskiego trzeba im będzie przypominać, że rzeczywistość bywa bardziej skomplikowana.

Katarzyna Szymielewicz

Stanowisko rządu w sprawie programu „Bezpieczna przystań”

Więcej na ten temat:

Fundacja Panoptykon: Safe Harbour – czyli jak (nie)bezpieczne są dane Europejczyków w Stanach Zjednoczonych

Ministerstwo Administracji i Cyfryzacji: Analiza programu „Bezpieczna przystań”

Fundacja Panoptykon: Jak UE reaguje na PRISM: obietnice i uniki

Fundacja Panoptykon: Niebezpieczna zatoka (więcej o programie „Bezpieczna przystań”)

Komentarze

Każdemu rządowi, zawsze i wszędzie zależy na inwigilacji i kontroli społeczeństwa. Jedne robią to w sposób bardziej bezczelny, inne nieco zawoalowany.I wszelkie komunikaty, pozorowane czynności ze strony UE to puste gesty.Jedynym rozwiązaniem jest stworzenie narzędzi, które postawią tamę takim działaniom. Prywatność, szyfrowanie komunikacji, niezależny system przesyłania wartości. Cyfrowe waluty oparte na kryptografii, niezależne, niepodlegające kontroli. Rządy wówczas mogą zrobić tylko jedno. Zdelegalizować prawo do prywatności. Tak jak w średniowieczu zabroniona dla ludu była kusza, na którą nie było obrony.

Dodaj komentarz