U posljednje vrijeme pojavljuje se sve više pojedinosti o planiranom sporazumu o prijenosu podataka između EU i SAD-a, iako su mnoge pojedinosti još uvijek nepoznate. Takve pojedinosti dovode do mnogih pitanja poput stabilnosti bilo kojeg novog sporazuma o primjerenosti od strane Europske komisije. U svjetlu tih događaja, Max Schrems, glavni tužitelj u predmetima „Schrems I“ i „Schrems II“ poslao je sljedeće otvoreno pismo relevantnim susudionicima:
„Uzimamo na znanje objavu sporazuma o načelima za novi sustav za transeuropsku zaštitu podataka. Razumijemo da se budući dogovor uglavnom temelji na političkom dogovoru između predsjednice Komisije Ursule Von der Leyen i američkog predsjednika Joea Bidena, ali on nije rezultat bitnih promjena prava SAD-a kao odgovor na presudu Suda EU-a. Čini se da taj pristup slijedi „Privacy Shield“ i da je duboko povezan s njim.
Svjesni smo da objava sporazuma prikazuje samo grube ideje i naslove, ali da konačni tekst još uvijek treba ispregovarati. Sljedeća očitovanja utemeljena su na ograničenim političkim objavama i daljnjim pojedinostima koje su neformalno razmijenili sudionici u različitim javnim ili polujavnim formatima EU-a i SAD-a.
Na temelju spomenutih izjava, znamo da je SAD odbio svaku materijalnu zaštitu za osobe koje nisu državljani SAD-a i da ih nastavlja diskriminirati, odbijajući pružanje osnovne zaštite, poput sudskog odobrenja pojedinačnih nadzornih mjera.
Isto tako, razumijemo da će se predviđeni sporazum uvelike oslanjati na izvršne naloge SAD-a. Nakon što su radili na tom pitanju sa stručnjacima i odvjetnicima SAD-a za, pokazalo se da su takve izvršne naredbe strukturno nedovoljne za ispunjavanje zahtjeva Suda EU-a.
Na temelju već poznatih „kamena spoticanja“, upozoravamo pregovarače s obje strane Atlantika, Vijeća EU-a, EDPB-a i Odbora LIBE Europskog parlamenta da najavljeni okvirni rizici dijele istu sudbinu pred Sudom EU-a, kao i njegova dva prethodnika, osim ako se u SAD-u ne provedu suštinske zakonodavne reforme.
Pozivamo pregovarače da nastave raditi na dugotrajnoj zaštiti privatnosti za transatlantske tokove, kako bi se izbjegla odluka „Schrems III“. Trenutačni pristup može dovesti do daljnje pravne nesigurnosti za građane i poduzeća u godinama koje dolaze – strah koji su izrazili i predstavnici industrije u reakciji na „sporazum u načelu“.
U potpunosti smo svjesni da je to sve samo ne jednostavan zadatak, ali ulaganje u rješavanje situacije ne bi samo osiguralo rješavanje tog pitanja dugoročno, već je prijeko potrebno i za dobrobit građana i cjelokupnog gospodarstva obje strane.
Predstavljamo nekoliko detaljnijih opažanja i preporuka za koje smatramo da bi mogle pomoći dostizanju cilja:
PRIMJENA ISPRAVNOG TESTA PROPORCIONALNOSTI NA AMERIČKI ZAKON O NADZORU U SKLADU S ČLANKOM 8. CFR-a (The Charter of Fundamental Rights of the European Union).
Razumijemo da američki pregovarači ne planiraju tražiti izmjene statutarnog zakona SAD-a u vezi s materijalnim nadzorom, već da planiraju zamijeniti Presidential Policy Directive 28 (PPD-28) o aktivnostima obavještajne službe u vezi s novim izvršnim nalogom koji bi uključivao riječi „potrebno i razmjerno“.
Čini se da Europska komisija želi utvrditi da se te riječi u izvršnom nalogu SAD-a trebaju smatrati ekvivalentnima testu proporcionalnosti EU-a iz članka 52. CFR-a. Međutim, teško je vidjeti kako postojeći nadzor SAD-a može biti nužan i razmjeran prema europskom pravu ako je Sud EU-a utvrdio izričito suprotno u dvjema presudama.
Čini se da je taj pristup nedostatan iz sljedećih razloga:
U presudama Suda EU (Schrems I. i Schrems II.), Sud je jasno utvrdio da zakoni i prakse SAD-a krše članke 7., 8. i 47. CFR-a. Sud EU-a je čak izričito utvrdio da se ti zakoni i prakse ne smatraju „nužnima i razmjernima“.
Presuda „Schrems II.“ donesena je uzimajući u obzir PPD28 (kao relevantnu izvršnu direktivu u to vrijeme). S obzirom na to da su Europska komisija i vlada SAD-a raspravljale pred Sudom EU, PPD-28 već sadržava tekst „prilagođen po mjeri“, što je Komisija tumačila kao istovjetno proporcionalnosti na temelju čl. 52. CFR-a. Sud EU-a odbacio je tu ideju. Ne vidimo kako zakoni i postupci koje Sud EU izričito tvrdi da nisu „potrebni i razmjerni“ mogu iznenada uvjeriti Sud EU-a da su ipak „potrebni i razmjerni“ umjesto „po mjeri prilagođeni“.
Razumijemo da, iako SAD može usvojiti ove riječi, nije se složio ograničiti nadzor nad osobama koje nisu iz SAD-a na bilo koji način. Konkretno, SAD nije najavio namjeru da ograniči ili revidira praksu nadzora koja se provodi prema zakonima i programima (FISA 702, EO, 12,333, „PRISM“ i „Ažuriranje“) koje je Sud EU-a posebno naveo u svojoj presudi. SAD također nisu navele da će provesti sve promjene kako bi okončala svoje prakse nadzora u rasutom stanju. Tako da se programi nadzora nastavljaju kao i do sada. Sud EU-a proveo je ispitivanje proporcionalnosti na temelju članka 52. CFR-a i zaključio je da praksa SAD-a o nadzoru nije prošla taj test. Ako bi SAD integrirale koncept „nužnosti i proporcionalnosti“, to bi značilo zaustavljanje ili strogo ograničavanje tih praksi nadzora. Pregovaračima je jasno da to nije namjera.
Stoga se čini da pregovarači samo kopiraju riječi sudske prakse Suda EU i CFR-a na izvršno rješenje SAD-a, ali će vjerojatno primijeniti drugačije značenje od Suda EU-a jer bi to inače moralo dovesti do zaustavljanja programa Upstream i Downstream (prethodno „PRISM“) u skladu s odjeljkom 702. FISA-e (Foreign Intelligence Surveillance Act) i prestanka masovnog nadzora prema Izvršnoj naredbi 12,333.
Nadalje, izražava se zabrinutost da izvršne naredbe obično ne poštuju prava trećih strana. Čini se da čak i ako bi se „nužan i proporcionalan“ test u skladu s člankom 52. CFR-a implementirao u izvršni nalog, svaki ispitanik možda neće uspjeti ostvariti takva ograničenja na sudu.
Ukratko, čini se da taj pristup zadovoljava samo političke, diplomatske i PR zahtjeve obiju strana, ali čini se da zanemaruje činjenicu da je Sud EU-a već utvrdio da nadzor SAD-a nije „nužan i razmjeran“ te da će SAD nastaviti s tim praksama.
STVARANJE SMISLENE SUDSKE ZAŠTITE U SKLADU S ČLANKOM 47. CFR-a
Razumijemo da pregovarači SAD-a ne namjeravaju izmijeniti pravo SAD-a kako bi stvorili mogućnosti za sudsku zaštitu ispitanika iz EU. Umjesto toga, izvršna vlast SAD-a trebala bi ustrojiti novo tijelo u izvršnoj podružnici (slično prethodnom „pravobranitelju“, ali pod nadležnošću nezavisnog odvjetnika), koje će se baviti mogućim povredama prava SAD-a i izvršnim nalozima. To tijelo pod nazivom „Sud za zaštitu podataka“ bit će, suprotno nazivu, izvršno tijelo, a ne sud. Dakle, bit će dio izvršne vlasti, s ograničenom neovisnošću.
Shvaćamo da ispitanici iz EU ne bi mogli pristupiti informacijama o mogućim nadzornim operacijama povezanima s njima tijekom postupka i ne bi se mogli žaliti na odluke ovog „Suda“ potpuno neovisnom pravosudnom tijelu osnovanom prema čl. 3. Ustava SAD-a.
Čini se da se ovim pristupom krši sudska praksa Suda EU barem u sljedećem aspektu:
Predloženo rješenje ne predviđa sudsku zaštitu, već je tijelo za pravnu zaštitu unutar izvršne grane – slično pravobranitelju, koje Sud EU/a nije smatrao samo nerazmjernim, već i povredom suštine članka 47. CFR-a. Samo davanje naziva „sud“ ne stvara sudsku zaštitu. Čini se da je taj pristup bolje opisati kao „Ombudsman Plus“.
Teško je predvidjeti kako će to novo tijelo ispuniti formalne zahtjeve suda u skladu s člankom 47. CFR-a, posebno u usporedbi s tekućim predmetima i standardima koji se primjenjuju u EU (npr. u Poljskoj i Mađarskoj). Od Suda EU tražilo bi se da primjenjuje „visoki standard“ iz članka 47. CFR-a u EU, ali „nizak standard“ iz članka 47. CFR-a za američki „sud za zaštitu podataka“. Europska komisija bi morala uvjeriti Sud EU u te različite standarde iz članka 47. CFR-a.
Razumijemo da će taj novi „sud“ i dalje djelovati kao „pravobranitelj“ i neće potvrditi niti zanijekati je li osoba bila predmet nadzora čak i ako postoji povreda prava SAD-a. Smatramo da ispitanik nema direktnu ili neizravnu mogućnost da vidi dokaze, zahtijeva otkrivanje, ispitati protivnika ili primiti obrazloženu presudu. To će ju učiniti figurativnom institucijom, bez praktičnog značenja.
Ako tu instituciju promatramo kao figurativnu, primjećujemo da se i ograničavaju mogućnosti za svaku potencijalno predviđenu žalbu bilo kojem sekundarnom tijelu. Ako je „Sud za zaštitu podataka“ obvezan poslati propisani standardni odgovor, ne uviđamo da postoji prostor za baš svaku informiranu, smislenu žalbu. Ako u svakom slučaju postoji samo jedan mogući unaprijed određeni ishod, čini se da jedva postoji slučaj u kojem bi građanin mogao pogriješiti, jer se čini da postoji samo jedan mogući odgovor.
Postoje temeljna pitanja hoće li se američke doktrine poput „državnih tajni“ primjenjivati i za ta tijela i dodatno ograničiti svaku mogućnost za pošteno saslušanje. Smatramo da će se američka vlada nastaviti oslanjati na te doktrine.
Ukratko, ne vidimo kako bi taj novi „sud“ bio u skladu s člankom 47. CFR-a, posebno s obzirom na nedavnu sudsku praksu Suda EU-a o nadzoru SAD-a, već i u svjetlu sudske prakse Suda EU o pravnoj zaštiti i vladavini prava u državama članicama EU-a. Čini se da bi Sud EU-a morao razviti poseban test članka 47. CFR-a za SAD, kako bi utvrdio da je to izvršno tijelo dosita oblik sudske zaštite. Ne vidimo kako je takav razvoj sudske prakse EU-a realističan ili čak poželjan.
POTREBA ZA AŽURIRANJEM ZAŠTITE KOMERCIJALNE PRIVATNOSTI
Osim nedostataka najavljenog sporazuma koji je povezan s nedostatkom reformi u području nadzora i zakona SAD-a, također upozoravamo pregovarače EU-a o potrebi ažuriranja obveza u pogledu zaštite komercijalnih podataka u okviru bilo kojeg budućeg sporazuma.
Čini se da pregovarači EU-a i SAD-a ne planiraju nikakva ažuriranja vezana uz načela „Privacy Shield-a“. Smatramo da ta načela neće uopće biti „dirana“ ili preimenovana. To je iznimno problematično jer se načela u velikoj mjeri temelje na načelima „Safe Harbour“ iz 2000., samo uz manja ažuriranja u 2016. Načela nisu ni u suglasnosti s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka), koja je stupila na snagu 2018. Zapravo, predmetna načela se čak oslanjaju na Direktivu 95/46 koja je prestala važiti.
Naglašavamo nekoliko primjera nekih od mnogih nedostataka načela „Privacy Shield-a“ i u kojem dijelu odstupaju od Opće uredbe o zaštiti podataka:
Načela „Privacy Shield-a“ nemaju opći zahtjev za pravnu osnovu, kao što je to u skladu s člankom 6. stavkom 1. Opće uredbe o zaštiti podataka i člankom 8. stavkom 2. CFR-a. Zapravo, postoji pristup „obavijest&odabir“ s pravom na odbijanje (opt-out). Načela se obično primjenjuju na podizvršitelje, bez izravnog kontakta s osobom čiji se podaci obrađuju, tako da se čini da ne postoji realistični scenarij da ispitanik bude obaviješten o problematičnoj obradi podataka.
Načela „Privacy Shield-a“ ne zahtijevaju da obrada podataka bude nužna, kako se zahtijeva člankom 5. stavkom 1. točkom c) Opće uredbe o zaštiti podataka i člankom 52. stavkom 1. CFR-a, već samo da bude „relevantna“.
Većina elemenata prava na pristup na temelju članka 15. GDPR-a i članka 8. stavka 2. CFR-a ne odražava se u načelima „Privacy Shield-a“
Mehanizam pravne zaštite koji pružaju spomenuta načela temelji se na privatnoj arbitraži, sustavom koji je zabranjen prema potrošačima u EU od Direktive 93/13/EEC.
Privatne arbitražne usluge plaća američko poduzeće i nemaju potreban „nadzor i otkrivanje“ mehanizama ili ovlasti koje čak ni na daljinu ne nalikuju onima koje imaju nadzorna tijela EU-a u skladu s člankom 58. Postoji više koraka za bilo koju arbitražnu odluku koju će biti moguće izvršiti prema pravu SAD-a.
Postoje brojni daljnji primjeri, gdje načela sustava zaštite privatnosti nisu u osnovi istovjetna GDPR-u stoga omogućuju konkurentima u SAD-u da posluju na europskom tržištu, a da pritom nisu u skladu s pravom EU. Čak i ako bi se pitanja nadzora SAD-a riješila, Sud EU može poništiti svaki novi sporazum na temelju toga da načela sustava zaštite privatnosti nisu u osnovi istovjetna Općoj uredbi o zaštiti podataka.
BUDUĆNOST MEĐUNARODNIH PRIJENOSA
Žao nam je što pregovarači nisu iskoristili tu priliku kako bi osigurali zaštitu ljudskih prava na privatnost i zaštitu podataka na obje strane Atlantika i neovisno o geografskom položaju ili državljanstvu. Duboko smo uvjereni da je globalni Internet i slobodan protok osobnih podataka moguć samo ako se zaštita ne temelji na povijesnim i nacionalističkim konceptima, kao što je državljanstvo. Iako su GDPR i članci 7., 8. i 47. CFR-a u suštini ljudska prava koja se primjenjuju na svakog korisnika, neovisno o nacionalnim vezama, FISA 702 i relevantne izvršne naredbe i dalje slijede arhaičnu ideju o „osobama iz SAD-a“ i „osobama koje nisu državljani SAD-a“.
Ovo ne uzrokuje samo povrede ljudskih prava, već se čini i da ugrožava navodne ciljeve zakona o nadzoru. Znamo da se većina trenutačnih opasnosti (domaći terorizam, špijunaža i slično) ne temelje na državljanstvu mete.
Pozivamo pregovarače i druge relevantne dionike, među ostalim, kao što je industrija SAD-a, da dovode u pitanje tradicionalne nacionalističke koncepte. Ako Internet ne bi trebao poznavati nacionalne granice, naša prava na privatnost i zakoni o nadzoru moraju jednako tako prevladati nacionalne koncepte. Jedna od mogućnosti bila bi međunarodni sporazum među demokratskim narodima.
Poglavlje 5. GDPR-a već omogućuje slobodan protok podataka – ako je zaštita u osnovi „istovjetna“. Žao nam je što se nacionalni zakoni o nadzoru u SAD-u i EU-u još uvijek drže pojmova poput državljanstva i što zasad nemaju klauzule o interoperabilnosti. Ovaj sukob (interoperabilnih) zaštita privatnosti i (nacionalističkih) zakona o nadzoru, ometa međunarodne tokove podataka, trgovinu i konvergenciju.
REAKCIJA NA SVAKU NOVU ODLUKU O PRIMJERENOSTI
Budući da je naš spor uvijek usmjeren na osiguravanje trajnog rješenja kojim se štite podaci korisnika i omogućuje slobodan protok podataka, bili bismo prvi koji bi pozdravili bilo kakav takav ishod. I dalje se nadamo da će svaki konačni tekst prevladati nedostatke istaknute u ovom pismu i potaknuti pregovarače s obje strane Atlantika kako bi unaprijedili prijeko potrebne reforme u području prava SAD-a.
U nedostatku tih zakonodavnih promjena, zabrinuti smo da bi se bilo koji budući sporazum (ponovno) temeljio na političkim nadama umjesto pravne stvarnosti. Posebno smo zabrinuti da Europska komisija može svjesno donijeti još jednu nezakonitu odluku o primjerenosti s ciljem potkopavanja presuda Suda EU-a. To se često naziva „kupovanje vremena“. To bi moglo dovesti ne samo do beskonačnog ping-pong-a između Luksemburga i Bruxellesa, već ugrožava i povjerenje u vladavinu prava i CFR na europskoj razini.
Uzimajući u obzir navedeno, noyb je spreman osporiti svaku konačnu odluku o primjerenosti koja ne bi pružila potrebnu pravnu sigurnost. U slučaju da je takav sudski spor doista potreban, posebno ćemo se usredotočiti na brz i učinkovit put do Suda EU kako bi se donijela brza odluka. Nadamo se da će to osigurati kraće razdoblje pravne nesigurnosti u slučaju bilo kojeg nepredviđenog političkog dogovora.
Takav izazov može uključivati zahtjev Suda EU da suspendira primjenu bilo koje treće verzije odluke o primjerenosti SAD-a. Takva je mogućnost predviđena u članku 278. TFEU (Treaty on the Functioning of the European Union) i mogla bi osigurati da Europska komisija ne potkopava Sud EU-a donošenjem daljnjih nezakonitih odluka o primjerenosti u pokušaju da se ukine preispitivanje Suda EU.“