Czy Unia przehandluje naszą prywatność?

Skrócona wersja analizy napisanej dla Statewatch, pełna wersja z przypisami pod tym linkiem (pdf).

Negocjacje między USA a Unią Europejską nad Transatlantyckim Porozumieniem w dziedzinie Handlu i Inwestycji (TTIP) dotyczą również e-handlu i transatlantyckiego przepływu danych. W tym kontekście coraz więcej wskazuje, że takie porozumienie handlowe może radykalnie nadwątlić europejskie standardy ochrony danych. Organizacje społeczeństwa obywatelskiego i konsumenckie po obu stronach Atlantyku ostrzegają, że zapisy w projektowanym rozdziale o e-handlu i przepływie danych elektronicznych stanowią zagrożenie dla europejskich standardów prywatności i ochrony danych osobowych. Podobne zagrożenia wiążą się z projektowanym porozumieniem w sprawie handlu usługami (TiSA, Trade in Services Agreement).

UE: „Trzymajcie ochronę danych z dala od rozmów o handlu”

Negocjatorzy handlowi Komisji Europejskiej wielokrotnie i publicznie powtarzali, że nie mają możliwości negocjowania reguł ochrony danych. Zostało to także podkreślone przez komisarz ds. sprawiedliwości Viviane Reding w przemówieniu, jakie wygłosiła w Waszyngtonie w październiku 2013 r.: „istnieją kwestie, które mogą spowodować odrzucenie TTIP. Jedną z nich są dane i ochrona danych osobistych. To ważna kwestia dla Europy, ponieważ ochrona danych jest fundamentalnym prawem. […] Dlatego ostrzegam przed wprowadzeniem ochrony danych do rozmów o handlu. Ochrona danych nie jest ani cłem, ani dławiącą biznes regulacją. Jest fundamentalnym prawem i jako takie nie podlega negocjacji”.

Zamiast tego mandat negocjacyjny dla Komisji odnosi się do artykułu XIV Układu Ogólnego w sprawie Handlu Usługami (GATS) Światowej Organizacji Handlu, który dotyczy wyjątków o charakterze ogólnym:

„Pod warunkiem, że środki takie nie są stosowane w sposób, który mógłby tworzyć narzędzie arbitralnej albo nieuzasadnionej dyskryminacji między krajami, gdzie panują podobne warunki, albo ukrytego ograniczenia dla handlu usługami, nic w niniejszym Układzie nie będzie interpretowane jako przeszkoda w przyjęciu i stosowaniu przez któregokolwiek Członka środków:
[…]
(c) niezbędnych dla zapewnienia przestrzegania ustaw i przepisów, które nie są sprzeczne z postanowieniami niniejszego Układu, łącznie z odnoszącymi się do:
[…]
(ii) ochrony życia prywatnego osób w zakresie przetwarzania i rozpowszechniania danych osobistych oraz ochrony poufności ich osobistych akt i rachunków; […]”

Z kolei mandat negocjacyjny Komisji z 17 czerwca 2013 r. stwierdza w artykule 18:

„Umowa nie będzie stanowić przeszkody dla stosowania wyjątków dotyczących świadczenia usług, które można uzasadnić na podstawie właściwych zasad WTO (art. XIV i XIVbis GATS).”

I faktycznie, artykuł XIV GATS został dosłownie przekopiowany do szkicu tekstu TTIP zaproponowanego przez negocjatorów Komisji w lipcu 2013 r. (znanego z przecieku w lutym 2014 r.).

Czy wszystko jest zatem w porządku? Z pewnością nie. To tylko mandat dla europejskich negocjatorów. A w każdych negocjacjach międzynarodowych do porozumienia potrzeba co najmniej dwóch stron.

„Interoperacyjność” contra „odpowiedni stopień ochrony”

Ze strony amerykańskiej było wiele prób podminowania europejskich reguł ochrony danych w kontekście rozmów handlowych. Utworzono nowe organizacje lobbystyczne, takie jak Koalicja dla Prywatności i Wolnego Handlu, koordynowana przez amerykańską firmę prawniczą Hogan Lovells. Do owej „koalicji” należy szereg tuzów świata polityki, np. były ambasador UE w Waszyngtonie Hugo Paemen, były szef Urzędu Przedstawiciela Handlowego USA Clayton Yeutter czy Daniel Weitzner, były zastępca głównego doradcy Białego Domu ds. polityki Internetu.

Powtarzającym się motywem w tych wysiłkach lobbystycznych w ostatnich latach jest nacisk na „interoperacyjność” europejskich i amerykańskich reguł ochrony danych. Właściwie oznaczałoby to wzajemne uznanie reguł obowiązujących po obu stronach Atlantyku, może z jakimiś prawnymi sztuczkami, aby porozumienie wyglądało na solidne.

Na czym polega kruczek? W Stanach Zjednoczonych nie ma obecnie ogólnych praw ochrony danych. Umowa Safe Harbor z 2000 r., w ramach której firmy USA mogą dobrowolnie poddać się standardom europejskim, aby móc przetwarzać dane osobowe z Europy, jest w dużej mierze nieefektywna. Parlament Europejski krytykował ją, gdy była opracowywana w 2000 r., zaś w raporcie końcowym specjalnego dochodzenia w sprawie NSA z 12 marca 2014 r. zażądał wręcz jej zawieszenia.

Z perspektywy UE nie ma zatem po stronie amerykańskiej nic, co mogłoby być „interoperacyjne” z europejskimi standardami. Są jedynie środki dobrowolnej samoregulacji i rytualne niemożliwe do wyegzekwowania zobowiązania do przejrzystości, mające umożliwić konsumentom „wybór”, pogrzebane w długich i nieczytelnych zasadach świadczenia usług.

„Interoperacyjność” nie jest więc niczym innym, jak próbą podminowania europejskich standardów ochrony danych. Wymogi zawarte w prawie ochrony danych UE narzucają znacznie wyższy poziom. Dyrektywa o ochronie danych osobowych z 1995 r. w artykule 25 wymaga, aby:

„przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy […] dane państwo trzecie zapewni odpowiedni stopień ochrony”.

W skrócie, europejskim wymogiem w przypadku transferu danych osobowych do krajów trzecich jest „odpowiedni stopień ochrony” tych danych. Strona amerykańska usiłuje zastąpić to znacznie słabszym wymogiem „interoperacyjności”.

„Internetowe Schengen”?

Strona USA już od kilku miesięcy gra pewną sztuczką semantyczną. Zaczęła się ona w kontekście europejskich odpowiedzi na aferę podsłuchową Snowdena. Pojawiły się wówczas sugestie wprowadzenia zmian w trasowaniu pakietów danych internetowych tak, aby pozostawały one w granicach UE, czy wręcz w granicach Niemiec w przypadku, gdyby przebywał tam zarówno nadawca, jak i odbiorca.

Choć na pierwszy rzut oka wydaje się rozsądnym pomysłem – dlaczego e-mail z Brukseli do Berlina miałby przechodzić przez Nowy Jork czy inne niepewne jurysdykcje? – technicznie nie jest to łatwe i w dalszej kolejności może nieść potencjalnie groźne konsekwencje.

Nawet gdyby geo-trasowanie było technicznie możliwe, nie może być naszym celem dostosowanie topologii międzynarodowego i globalnego Internetu do istniejących granic narodowych. To szybko spowodowałoby niepożądane konsekwencje, takie jak wezwania do „kontroli imigracyjnej” pakietów danych, co byłoby tożsame z cenzurą internetową.

Zieloni w Parlamencie Europejskim zgłosili poprawkę do ostatecznej wersji raportu ze specjalnego dochodzenia w sprawie NSA, aby zamiast tego szyfrować cały ruch w Internecie z obu stron, ponieważ wtedy nie byłoby ważne, gdzie przepływają dane. Poprawkę tę przyjęto jako część kompromisu na głosowaniu komisji w lutym i potwierdzono na głosowaniu plenarnym w Parlamencie w marcu 2014 r. Debata nad narodowym i europejskim trasowaniem zdawała się na początku 2014 r. wygasła, ale niemiecka kanclerz Angela Merkel w swoim cotygodniowym podcaście wspomniała, że będzie domagać się jakiejś formy europejskiego trasowania, co szybko zostało szeroko podchwycone przez media. Debata rozgorzała ponownie.

Strona amerykańska wykorzystuje tę debatę, aby atakować europejskie regulacje i ograniczenia transferu danych osobowych do krajów trzecich. Wrzucają do jednego worka terminy takie, jak „internetowe Schengen”, „europejska chmura obliczeniowa” i reguły przekazywania danych do krajów trzecich zawarte w dyrektywie o ochronie danych osobowych, etykietując je jako przejawy „lokalizacji”.

Szef Urzędu Przedstawiciela Handlowego USA Michael Froman zrobił to w prezentacji 4 kwietnia 2014 r. raportu nad porozumieniami handlowymi dla rynku telekomunikacyjnego. Twierdził, że europejskie reguły „lokalizacji” wymagałyby transportu czy przetwarzania danych w Europie, co tworzy nielegalną barierę handlową. „Koalicja Biznesu na rzecz Handlu Transatlantyckiego” argumentuje w podobny sposób, wzywając, aby porozumienie TTIP „zakazało wprowadzania wymogów, by dostawcy usług używali lokalnych serwerów czy innej infrastruktury albo rozwijali lokalną obecność”.

Ponieważ ochrona danych w Europie jest wiążącym fundamentalnym prawem o statusie konstytucyjnym w Karcie Praw Podstawowych UE, dane osobowe mogą z zasady być przetwarzane tylko w Europie. Wszelkie reguły transferu takich danych do państw trzecich stanowią wyjątki od tej reguły i muszą spełniać określone warunki – takie jak odpowiedni stopień ochrony w danym kraju.

W epoce post-Snowdenowskiej, istnieje teraz szersza debata w Europie nad zaostrzeniem limitów transferu danych osobowych do USA i innych krajów trzecich. Parlament Europejski wprowadził do przygotowywanego rozporządzenia o ochronie danych osobowych nowy artykuł 43a, który uniemożliwi władzom państw trzecich żądanie transferu danych od kontrolera danych w Europie bez odniesienia do wzajemnego traktatu współpracy prawnej. Europejski Trybunał Sprawiedliwości będzie musiał teraz zdecydować, czy transfer danych do USA w ramach decyzji Safe Harbor jest dalej legalny po wstępnym orzeczeniu Wysokiego Trybunału w Dublinie w sprawie wniesionej przez austriackiego aktywistę Maxa Schremsa i jego grupę „Europa vs. Facebook”.

„Ustawa o handlu cyfrowym”

Szef Urzędu Przedstawiciela Handlowego USA Michael Froman nie jest osamotniony. W grudniu 2013 r. w amerykańskim Senacie pojawił się projekt ustawy o handlu cyfrowym, która ma ustanowić dla Przedstawiciela Handlowego USA wiążący mandat do międzynarodowych negocjacji na polu e-handlu. Regulacje „lokalizacji” miałyby zostać zakazane, zaś „interoperacyjność” reguł przetwarzania danych zostałaby uświęcona jako zasada fundamentalna. Ustawa ta dotyczyłaby oczywiście również negocjacji nad odpowiednim rozdziałem porozumienia TTIP. Ustawa jest teraz procedowana w Komisji Finansów. Podobne warunki można też znaleźć w projekcie ustawy o priorytetach handlowych złożonym w Senacie USA przez przedstawicieli obu największych partii w styczniu 2014 r.

W przedstawionych przez negocjatorów USA propozycjach uregulowania e-handlu w ramach TTIP zawarte są już te dwa kluczowe punkty: zasada „interoperacyjności” reguł ochrony danych w UE i USA oraz zakaz „lokalizacji”. Jest jasne, że ze strony negocjatorów USA, wspieranych przez amerykański przemysł, istnieje silna presja, aby zachować je w końcowym tekście porozumienia.

Komisja Europejska jest zobligowana, aby w żaden sposób nie ulegać tym żądaniom strony amerykańskiej. Jednak negocjacje handlowe zawsze prowadzą do kompromisu. Można się zatem obawiać, że TTIP będzie zawierać – choćby w formie złagodzonej – zapisy podminowujące nasze europejskie standardy ochrony danych. Może to być np. ograniczenie zastosowania klauzuli wyjątku z układ GATS do wyjątkowych okoliczności.

TiSA, czyli TTIP na sterydach

Równolegle do TTIP od stycznia 2013 r. toczą się, początkowo raczej niedostrzegane przez opinię publiczną, wielostronne negocjacje nad porozumieniem w sprawie handlu usługami (TiSA). Porozumienie to ma zastąpić układ GATS dla krajów, których będzie dotyczyć – jak dotąd są to: USA, UE i 21 innych państw, wszystkie uprzemysłowione. Przemysł USA obudził się na wzrost publicznej debaty i krytyki wokół TiSA w ostatnich miesiącach, i podobnie jak w kontekście TTIP, rozpoczął kampanię PR za redukcją ograniczeń handlowych za pomocą TiSA. „Koalicja Biznesu dla TiSA”, zwana też „drużyną TiSA”, została zawiązana 18 czerwca 2014 r. w Waszyngtonie w obecności Przedstawiciela Handlowego USA i ambasadora Japonii.

Negocjacje TiSA otwarcie stawiają sobie za cel przezwyciężenie zawartej w układzie GATS klauzuli wyjątków o charakterze ogólnym, która osłania określone pozataryfowe bariery handlowe, m.in. ochronę danych.

Ilustruje to pierwszy przeciek dokumentu TiSA: szkic aneksu o usługach finansowych w TiSA, opublikowany przez Wikileaks 19 czerwca 2014 r. Proponowane zapisy pozwalałaby instytucjom finansowym, np. bankom, na swobodne przekazywanie danych, w tym danych osobowych, z jednego kraju do innego. Stworzyłoby to radykalną wyrwę w europejskich regułach ochrony danych. Transfer i analiza danych finansowych z Unii Europejskiej do władz USA w ramach amerykańskiego „Programu Śledzenia Środków Finansowych Należących do Terrorystów” (TFTP, Terrorist Finance Tracking Program) już nadwątliło relacje UE-USA w przeszłości i doprowadziło Europarlament do odrzucenia pierwszej wersji porozumienia TFTP w 2010 r. Gdyby przyjęto TiSA w proponowanym kształcie, otwarte zostałyby wszystkie śluzy.

Osłabienie reguł ochrony danych UE poprzez TiSA idzie dalej niż „tylko” sektor finansowy. Według źródeł bliskich negocjatorom szkic aneksu o handlu elektronicznym i usługach telekomunikacyjnych w TiSA zawiera zapisy, które zakazałyby jakichkolwiek ograniczeń transgranicznego przepływu informacji i wymagań lokalizacji dostawców usług ICT. Wykluczone byłoby stawianie jakiekolwiek warunków dotyczących przekazywania danych osobowych do krajów trzecich, jak to jest obecnie w UE. Inny zapis zaproponowany przez negocjatorów USA zakazałby wymagań używania ośrodków obliczeniowych w określonym kraju.

Wkrótce przekonamy się, czy Europa będzie potrafiła utrzymać, a nawet poprawić swoje reguły ochrony danych w obliczu potężnej presji na zawarcie porozumień TTIP i TiSA.

Artykuł pochodzi ze strony ttip2014.eu. Przeł. Tomasz Szustek.

Obywatelski protest przeciwko porozumieniom TTIP i CETA można podpisać na stronie Stop TTIP.