Co wykreślono z rozporządzenia o ochronie danych osobowych?
Podobno stało się to po serii wizyt wysokich rangą urzędników amerykańskich. Jednym z nich miał być Cameron Kerry, wpływowy prawnik z Departamentu Handlu i brat sekretarza stanu Johna Kerry’ego, pracującego nad zapewnieniem przyjaznych zasad wymiany danych między UE i USA. Z rozporządzenia o ochronie danych osobowych, nad którym od roku pracują unijne instytucje, wykreślono gwarancje prawne, które miały utrudniać innym państwom dostęp do danych obywateli UE. Potwierdzają to brukselskie źródła, ale też dokumenty, które wyciekły amerykańskiej administracji.
Mimo że wtedy nikt jeszcze głośno nie mówił o PRISM, Amerykanie potraktowali zaproponowane przez Reding zapisy bardzo poważnie. Według „Financial Times”, nawet Janet Napolitano, amerykańska sekretarz do spraw bezpieczeństwa wewnętrznego, osobiście pofatygowała się do Brukseli na spotkania z komisarzami przychylnymi USA, którzy mieli wywrzeć wpływ na Viviane Reding i skłonić ją do wykreślenia artykułu 42 z – jeszcze wówczas nieoficjalnego – projektu rozporządzenia o ochronie danych osobowych. Dziwne? To zależy pod jakim kątem patrzeć.
Z jednej strony można by oczekiwać, że amerykańska administracja powstrzyma się od nacisków na prawo stanowione na innym kontynencie, szczególnie na wstępnym etapie prac, kiedy projekt nie był znany nawet obywatelom UE. Do takich działań mogliśmy się już jednak przyzwyczaić. Dziwniejsze wydaje się to, że tyle dyplomatycznej energii poszło na bodaj najsłabszy fragment projektowanego rozporządzenia.
Przecież bez względu na to, jakie zastrzeżenia i gwarancje Unia Europejska wpisze do swojego prawa, amerykańskie firmy i tak będą zobowiązane do współpracy z NSA i FBI na podstawie amerykańskich przepisów.
Absurdalne? Dla każdej firmy działającej ponad granicami to codzienność.
Pobierając kolejną aplikację i wrzucając swoje dane na wygodny wirtualny serwer, naprawdę mało kto się zastanawia, gdzie konkretnie znajduje się ten serwer. I w sumie słusznie, bo z perspektywy naszej wygody i samej usługi to bez znaczenia. Ma działać. A żeby działało, duże internetowe koncerny muszą korzystać z kolonii serwerów rozlokowanych po całym świecie. Pytanie, czy nie znajdzie się kraj, który z racji lokalizacji serwerowni na jego terytorium uzna, że ma prawo zajrzeć w nasze maile, nie nasuwa się automatycznie.
Afera z amerykańskim programem PRISM, który – według doniesień byłego pracownika NSA Edwarda Snowdena – pozwalał agencjom wywiadowczym na bezpośredni dostęp do danych zgromadzonych na serwerach takich firm jak Google, Yahoo, Apple, Skype, AOL czy Microsoft, może to zmienić. Już pojawiają się pełne nadziei głosy, że europejscy użytkownicy zagłosują nogami i w obronie swojej prywatności przeniosą dane do bezpiecznej europejskiej chmury.
Europejski kłopot polega jednak nie tylko na tym, że jak na razie żadna tutejsza firma nie jest w stanie konkurować z potentatami z Doliny Krzemowej. Od ponad dziesięciu lat Amerykanie mają eksterytorialnie działające prawo, które zmusza firmy objęte jurysdykcją USA do udostępniania danych swoich klientów na potrzeby wywiadowcze. Bez względu na to, gdzie fizycznie znajdują się ich serwery. W ramach dostosowywania amerykańskiego porządku prawnego do szczególnych potrzeb wojny z terroryzmem Kongres przyjął Foreign Intelligence Surveillance Act, którego ostrze zostało wymierzone w cudzoziemców – potencjalnych podejrzanych o spiskowanie przeciw bezpieczeństwu USA. To, co według Obamy powinno uspokoić jego wyborców, dla nas nie brzmi najlepiej: celem programu PRISM nie była inwigilacja obywateli USA, ale wszystkich innych.
Jaka firma w obronie praw swoich klientów postawi się interesom mocarstwa, które umożliwiło jej rynkowy sukces i nadal zapewnia bardzo dobre warunki prowadzenia biznesu? Być może są takie, ale trudno postawić na to bezpieczeństwo własnych danych. Jednocześnie napędem dla firm, które rozwijają się najszybciej, były i nadal są nasze dane. Oczywiście żaden z internetowych potentatów nie zbiera ich z myślą o NSA czy FBI. Jednak te same megabazy i algorytmy, które służą kreowaniu ekonomicznej wartości, mogą posłużyć partykularnie rozumianemu bezpieczeństwu. Tak się dzieje nie tylko w USA: w cyfrowej rzeczywistości podział na „prywatne” i „publiczne” stał się równie iluzoryczny, co granica między wirtualem i realem.
Mimo intensywnej obecności w Brukseli i dobrego przełożenia na głosy eurodeputowanych, żadna z liczących się amerykańskich firm nie walczyła o przywrócenie gwarancji, które pod wpływem zabiegów amerykańskiej dyplomacji zniknęły z projektu rozporządzenia o ochronie danych. Powód jest oczywisty: współistnienie dwóch sprzecznych norm prawnych – z których jedna nakazuje chronić, a druga ujawniać – to nie ulga, ale koszmar dla każdego biznesu.
Dopóki w USA obowiązuje eksterytorialnie działające prawo, wymierzone między innymi w obywateli Unii Europejskiej, nie ma wyjścia z impasu.
Ostatnie i najciekawsze pytanie brzmi zatem: dlaczego Unia Europejska nie stara się bardziej i nie walczy skuteczniej o minimalne gwarancje prawne dla swoich obywateli? Nie chce czy nie może? To, czego nie udało się zagwarantować w nowym rozporządzeniu o ochronie danych osobowych, z lepszym skutkiem można zawrzeć w umowie pomiędzy Unia Europejską i USA. Projekt porozumienia o ochronie danych w sferze współpracy policyjnej i sądowej jest na stole od ponad dwóch lat. Nie finalizując tych prac, instytucje europejskie świadomie przyczyniają się do nadużyć takich, jak inwigilacja internetu w ramach programu PRISM. Pytanie, czy zadecydował o tym interes ekonomiczny czy własna polityka bezpieczeństwa, wciąż pozostaje otwarte.
Projekt finansowany ze środków Parlamentu Europejskiego.