Više od šest mjeseci nakon "načelnog sporazuma" između EU-a i SAD-a, američki predsjednik Joe Biden potpisao je dugo očekivanu izvršnu naredbu koja ima za cilj poštivanje prošlih presuda Europskog suda pravde (CJEU). Ovo je namijenjeno prevladavanju ograničenja u prijenosu podataka između EU i SAD-a. CJEU je zahtijevao da američki nadzor bude razmjeran u smislu članka 52. Povelje o temeljnim pravima i da postoji pristup pravnom lijeku, kao što se zahtijeva prema članku 47. Povelje. Čini se da Bidenova nova izvršna naredba ne ispunjava oba zahtjeva. Postoji kontinuirani "masovni nadzor" i "sud" koji nije stvarni sud.
Izvršna naredba interna je naredba predsjednika SAD-a unutar federalne vlade, ali ne i zakon. Prethodno je to pitanje regulirano naredbom predsjednika Obame iz 2014. godine pod nazivom PPD-28.
Iako je dobro vidjeti da je došlo do reakcije predsjednika SAD-a, ovaj interni predsjednički nalog vjerojatno neće riješiti probleme:
Skupni nadzor nastavlja se putem dvije vrste "proporcionalnosti". SAD naglašava da nova izvršna naredba koristi formulaciju prava EU-a ("potrebno" i "razmjerno" kao u članku 52. CFR-a) umjesto prethodnog izraza "prilagođeno koliko je moguće" korištenog u odjeljku 1(d) PPD-a. 28. To bi moglo riješiti problem ako bi SAD slijedio isto razumijevanje i također primijenio test proporcionalnosti Suda Europske unije.
Međutim, unatoč promjeni ovih riječi, nema naznaka da će se američki masovni nadzor promijeniti u praksi. Takozvani "bulk surveillance" nastavit će se prema novom Izvršnom nalogu (podaci poslani pružateljima usluga iz SAD-a i dalje će završiti u programima kao što su PRISM ili Upstream, unatoč tome što je CJEU proglasio američki nadzor zakone i prakse kao nerazmjerne (prema europskom razumijevanju te riječi) dva puta.
Kako je ovo moguće? Čini se da su se EU i SAD dogovorili kopirati riječi "potreban" i "razmjeran" u Izvršnu naredbu, ali se nisu složili da će imati isto pravno značenje. Ako bi to imalo isto značenje, SAD bi morale temeljito ograničiti svoje sustave masovnog nadzora kako bi bili u skladu s EU-ovim razumijevanjem "proporcionalnog" nadzora.
Max Schrems, noyb.eu: "EU i SAD sada se slažu oko upotrebe riječi 'proporcionalno', ali se čini da se ne slažu oko njenog značenja. Europska komisija ponovno zatvara oči pred američkim zakonom i dopušta nastavak nadzora Europljana."
"Sud" nije pravi Sud. Sada će postojati postupak u dva koraka, pri čemu će prvi korak biti službenik koji odgovara ravnatelju Nacionalne obavještajne službe, a drugi korak je "Sud za reviziju zaštite podataka". Međutim, to neće biti "Sud" u uobičajenom pravnom značenju članka 47. Povelje ili Ustava SAD-a, već tijelo unutar izvršne vlasti američke vlade. Novi sustav je nadograđena verzija prethodnog sustava "Ombudsman", koji je CJEU već odbacio. Čini se jasnim da ovo izvršno tijelo ne bi predstavljalo "sudsku zaštitu" kako se zahtijeva u Povelji EU-a.
Presuda "Suda" već je navedena u izvršnoj odluci. Korisnici će morati prigovoriti nacionalnom nadzornom tijelu, koje će zatim prigovoriti vladi SAD-a. Vlada SAD-a neće niti potvrditi niti zanijekati da je korisnik bio pod nadzorom i samo će obavijestiti korisnika da nije bilo kršenja ili da je ispravljeno. Ovo također čini mogućnost žalbe beskorisnom, jer se jednostavno nema na što žaliti, sve dok je korisnik dobio formalni odgovor. Odjeljak 3(i)(d)(H) čak ide toliko daleko da navodi što će "Sud" odgovoriti - bez obzira na argumente ili konkretne oklonosti: "revizija ili nije identificirala kršenja ili je Sud za reviziju zaštite podataka izdao odluku koja zahtijeva odgovarajuće sankcije."
Max Schrems "Moramo detaljno proučiti prijedlog, ali na prvi pogled je jasno da ovaj 'sud' jednostavno nije sud. Povelja ima jasan zahtjev za 'sudskim pravnim lijekom' - samo preimenovanje nekog tijela za pritužbe u 'sud' ne čini ga stvarnim sudom. Pojedinosti postupka također će biti relevantne da se vidi može li to zadovoljiti zakon EU."
Daljnja istraživanja i mogući izazov. noyb i njegovi partneri detaljnije će analizirati dokumente sljedećih dana i objaviti detaljnu pravnu analizu u sljedećim danima i tjednima. Ako odluka Komisije nije u skladu s pravom EU-a i relevantnim presudama CJEU-a, noyb će vjerojatno iznijeti još jedan izazov pred CJEU. U međuvremenu, Kongres SAD-a morat će ponovno odobriti FISA 702 2023., potencijalno dopuštajući zakonodavcu SAD-a da provede značajna ograničenja koja poštuju prava na privatnost osoba izvan SAD-a.
Max Schrems: "Detaljno ćemo analizirati ovaj paket, što će potrajati nekoliko dana. Na prvi pogled se čini da suštinski problemi nisu riješeni i da će se prije ili kasnije vratiti na CJEU."
Zemlje sa sličnom zaštitom privatnosti ne mogu postići stabilan dogovor? Ne čini se logičnim da dvije demokratske zemlje koje se obje slažu oko temeljnih pravnih načela privatnosti, vjerojatno proizvedu treći manjkav dogovor u nizu:
Četvrti amandman na Ustav SAD-a jamči pravo na privatnost i zahtijeva da postoji vjerojatan razlog i sudsko odobrenje za svako prisluškivanje. Jednako tako, CJEU zahtijeva da nadzor mora biti ciljan i da mora postojati sudsko odobrenje ili revizija prema Povelji EU-a o temeljnim pravima.
Čini se da je jedina razlika u tome što dok EU privatnost vidi kao ljudsko pravo koje se odnosi na sve ljude, četvrti amandman se odnosi samo na građane SAD-a ili osobe sa stalnim boravkom. Prema mišljenju SAD-a, Europljani nemaju prava na privatnost. FISA 702 koristi tu razliku u zakonu SAD-a i dopušta nadzor koji je nezakonit prema Četvrtom amandmanu - sve dok Amerikanci nisu ciljani.
Max Schrems: "Nevjerojatno je da se EU i SAD zapravo slažu da za prisluškivanje treba vjerojatan razlog i sudsko odobrenje. Međutim, SAD smatra da stranci nemaju prava na privatnost. Sumnjam da SAD ima budućnost kao svjetski pružatelj usluga u oblaku, ako osobe koje nisu iz SAD-a nemaju nikakva prava prema njihovim zakonima. Kontradiktorno mi je da Europska komisija radi na dogovoru koji prihvaća da su Europljani građani 'drugog reda' i da ne zaslužuju istu privatnost prava kao građani SAD-a."
Ono što upada u oči jest da Europska komisija nije tražila usklađivanje tzv. „Privacy Shield Principles“ s GDPR-om koji je na snazi od 2018. Načela su uglavnom ista kao i prethodna „Safe Harbor“ načela, koji su izrađeni 2000. i nastavit će se koristiti u novom okviru. To znači da američke tvrtke mogu nastaviti obrađivati europske podatke bez usklađivanja s GDPR-om. Na primjer, ne treba im ni pravna osnova za obradu, poput privole. Prema Privacy Shield-u, američke tvrtke korisnicima moraju ponuditi samo opciju isključivanja. To je unatoč tome što CJEU naglašava da u SAD-u moraju postojati "u suštini jednake" zaštite.
Sada kada je SAD izdao svoju izvršnu naredbu, Europska komisija će morati izraditi takozvanu "odluku o primjerenosti" prema članku 45. GDPR-a. Nakon izdavanja nacrta odluke, Komisija mora saslušati Europski odbor za zaštitu podataka (EDPB), ali nije vezana njegovim nalazima. Osim toga, europske države članice moraju biti na čelu i mogle bi blokirati dogovor. Ovaj proces može potrajati nekoliko mjeseci. Međutim, čak ni negativne izjave EDPB-a i država članica nisu obvezujuće za Komisiju. Nakon što se odluka objavi, tvrtke se na nju mogu osloniti pri slanju podataka u SAD, a korisnici je mogu osporiti putem nacionalnih i europskih sudova. To se ne očekuje prije proljeća 2023., čak i kada je prvotno bilo zamišljeno u jesen 2022.
Slika preuzeta s noyb.eu