Kiedyś zdarzyło mi się popełnić pierwszy wpis o tym dlaczego przesyłanie danych z Unii Europejskiej do Stanów Zjednoczonych jest problematyczny na gruncie RODO. Ten artykuł jest jego uzupełnieniem. Nie jest kolejną „oficjalną” częścią, którą tam zapowiadałem, ale bezpośrednio do niego nawiązuje.
No i stało się. Mamy to.
Komisja Europejska wydała nową decyzję o adekwatności (inaczej: decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych), to taki instrument z RODO, dzięki któremu KE może stwierdzić, że państwo X zapewnia podobny poziom ochrony danych, jaki wynika z RODO. I teraz, po 3 latach od uchylenia Tarczy Prywatności taka decyzja (znowu) została wydana wobec USA. Nazywa się to mniej lub bardziej oficjalnie – Ramy ochrony danych UE-USA, po ang. EU-USA Data Privacy Framework (DPF). Co to oznacza? A to, że transfer danych do USA z UE jest już PODOBNO możliwy, ale tylko po spełnieniu określonych przesłanek. Jakie to przesłanki?
✅ Pierwsze primo: pozwolenie na transfer nie jest dla każdego administratora, a tylko dla tych, którzy zostaną wpisani na odpowiednią listę przez Departament Handlu USA (DoC).
✅ Drugie primo: aby dostać pozwolenie konieczne jest spełnienie określonych przesłanek wynikających z RODO, jak np. dysponowanie podstawą do przetwarzania danych, retencja danych, minimalizacja danych, zabezpieczenie danych.
✅ Trzecie primo: „na straży” danych mają stać:
- po stronie USA tzw. urzędnik ds. ochrony swobód obywatelskich (CLPO) i „sąd” (który sądem jest tylko z nazwy),
- po stronie UE organy nadzorcze państw członkowskich.
Jak to ma działać w praktyce?
Federalna Komisja Handlu (FTC) oraz Departament Handlu mają okresowo monitorować podmioty wpisane na listę DPF. Jeżeli ktoś z Europy będzie miał wątpliwości czy przypdakiem nie jest inwigilowany lub jego dane nie są przetwarzane przez organy USA (np. Agencję Bezpieczeństwa Narodowego – NSA, czy Agencję Wywiadu – CIA), będzie mógł napisać skargę do organu nadzorczego – czyli w Polsce PUODO (xD ← tak to skomentuję) – a ten będzie w jego imieniu kontaktował się z odpowiednimi organami w stanach (FTC, DoC, CLPO), a na samym końcu „sąd” będzie badał sprawę i wyda wyrok (xDD ← tak to skomentuję ponownie). Innymi słowy, taki ktoś z Europy NIGDY nie będzie miał do czynienia z tymi organami, a co za tym idzie, nie będzie mógł dochodzić swoich praw bezpośrednio.
Dlaczego mój komentarz jest cyniczny? Dlatego, że każdy wyrok ma brzmieć w ten sposób:
Nie potwierdzając ani nie zaprzeczając, że skarżący podlegał działaniom wywiadu sygnałowego Stanów Zjednoczonych, przegląd albo nie zidentyfikował żadnych objętych nim naruszeń, albo Sąd Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych.
I cyk, sprawa załatwiona (można wracać do CS’a).
Ehhh… Czy coś się zatem zmieniło w prawodawstwie USA?
Nie.
A może ten akt jest inny niż Tarcza Prywatności?
Też nie, ale na czerwono.
Może zatem FISA 702 już nie będzie obowiązywać?!
Otóż – również nie. FISA jest i ma się dobrze.
Noyb i Max Schrems już stwierdzili, że miło będzie się spotkać z Komisją Europejską po raz trzeci w Trybunale Sprawiedliwości Unii Europejskiej żeby uchylić, tym razem DPF.
Innymi słowy, pomimo tego porozumienia pomiędzy KE a USA, przepisy Stanów Zjednoczonych (takie jak wspomniana FISA, czy Dekret Wykonawczy 14086) nadal stoją nad zasadami ochrony danych osobowych Europejczyków i Europejek.
Na zakończenie tego wszystkiego, zrobiłem mema – it ain’t much, but it’s an honest work: