Ponad pół roku po ogłoszeniu porozumienia w sprawie nowych Transatlantyckich Ram Ochrony Danych pomiędzy UE oraz USA, prezydent USA podpisał rozporządzenie wykonawcze (Executive Order) w sprawie amerykańskiej inwigilacji. Akt był długo wyczekiwany po tym, jak Trybunał Sprawiedliwości UE w 2020 r. w wyroku C‑311/18 (zwanym również Shrems II) ponownie unieważnił dotychczasowe ramy prawne dla przepływów danych, czyli decyzję o adekwatności ochrony zapewnianej przez tzw. Tarczę Prywatności (Privacy Shield). Naruszała ona europejskie zasady prywatności, które stały w sprzeczności z amerykańskimi przepisami zapewniającymi organom publicznym duże możliwości nadzoru, a przy tym dostęp do danych obywateli – również UE.
Zuzanna Choińska, DELab UW, Szkoła Doktorska Nauk Społecznych
Po tym wyroku pojawiły się wątpliwości co do tego, na jakiej podstawie powinien następować transfer danych pomiędzy UE a USA. Wydane 7 października rozporządzenie wykonawcze ma być następnym krokiem (po zawartym w marcu porozumieniu) do wydania kolejnej decyzji o adekwatności regulującej to zagadnienie. Co prawda rozporządzenie Prezydenta USA odnosi się do kwestii, które zostały podważone przez Trybunał, jednak nie w taki sposób, jak tego oczekiwano. TSUE podkreślał, że nadzór amerykańskich organów ma być proporcjonalny w znaczeniu przyjętym w swoim orzecznictwie, a obywatelom UE ma zostać zapewniony dostęp do sądowych środków odwoławczych. Oba te wymogi wynikają z unijnej Karty Praw Podstawowych.
Rozporządzenie przewiduje nowe środki zabezpieczające dla działań wywiadowczych USA, w tym wymóg, aby takie działania były prowadzone wyłącznie w ramach realizacji określonych celów bezpieczeństwa państwa, w sposób do nich proporcjonalny, a także uwzględniały prywatność i swobody obywatelskie wszystkich osób. Wprowadza wymogi dotyczące postępowania z danymi osobowymi zebranymi w ramach działań wywiadowczych oraz rozszerza zakres odpowiedzialności urzędników odpowiedzialnych za kwestie prawne, nadzór i zgodność. Przewiduje również dwupoziomowy mechanizm dla osób fizycznych z UE w celu uzyskania niezależnego i wiążącego rozpatrzenia i zadośćuczynienia w przypadku roszczeń, że ich dane osobowe zgromadzone za pośrednictwem amerykańskiego wywiadu były gromadzone lub przetwarzane przez USA z naruszeniem obowiązującego prawa, w tym przyjętych zabezpieczeń.
Jednak pomimo jasno wskazanych oczekiwań TSUE okazuje się, że rozporządzenie wykonawcze nadal przewiduje możliwość nadzoru, a nawet masowego nadzoru (bulk surveillance) i pomimo, że posługuje się pojęciami konieczności (necessity) oraz proporcjonalności (proportionality), to nadal nie odpowiada wymogom prawa europejskiego i jego standardom. Co więcej, organ przewidywany do rozpatrywania skarg obywateli UE nie spełnia wymaganiom co do zapewnienia odpowiednich środków odwoławczych.
Kolejnym krokiem powinno być teraz przygotowanie przez Komisję Europejską projektu decyzji o adekwatności na podstawie art. 45 RODO. Taki projekt zostanie następnie poddany ocenie Europejskiej Rady Ochrony Danych oraz państw członkowskich, które będą mogły zgłaszać swoje krytyczne uwagi, jednak nie będą one wiążące dla KE.
Wspomniany wyżej Max Shrems oraz jego organizacja pozarządowa NOYB skrytykowały wydane rozporządzenie jako niezgodne z wymogami stawianymi przez Trybunał Sprawiedliwości oraz normy prywatności przyjęte w UE. Shrems podkreślił, że jeśli ramy prawne z rozporządzenia zostaną uchwalone przez KE, to sprawa transferów danych pomiędzy UE oraz USA ponownie, wcześniej czy później, znajdzie się przed TSUE.