Na początku roku, Komisja Europejska zatwierdziła kontynuację 11 umów o adekwatności ochrony danych osobowych z państwami spoza UE. Zgoda ta umożliwiła kontynuację nieograniczonego przepływu danych z podmiotami w UE. W liście otwartym do Komisji, Statewatch oraz 10 innych organizacji podniosło szereg obaw dotyczących umowy z Izraelem, argumentując, że problemy z praworządnością i praktyki masowej inwigilacji przez agencje bezpieczeństwa i wywiadu stawiają kwestię umowy o odpowiedniej ochronie danych osobowych pod znakiem zapytania.

W liście podkreślono sześć głównych kwestii:

● reformy prawne, które zagrażają praworządności;

● brak spójności między izraelskim i unijnym prawem ochrony danych;

● izraelskie przepisy dotyczące bezpieczeństwa narodowego i praktyki nadzoru;

● fakt, że Izrael nie traktuje przekazywania danych na okupowane terytoria palestyńskie jako przekazywania danych za granicę;

● niedociągnięcia proceduralne w procesie decyzyjnym Komisji; oraz

● nieprzestrzeganie przez Izrael prawa międzynarodowego.

List ten został skoordynowany przez European Digital Rights i jest również dostępny w formacie PDF.

Pełny tekst listu

22 kwietnia 2024 r., Bruksela

Do wiadomości wiceprzewodniczącej Komisji Europejskiej Věry Jourovej, CC/Gabinet komisarza UE ds. sprawiedliwości

Re: Obawy dotyczące potwierdzenia przez Komisję Europejską statusu adekwatności Izraela w niedawnym przeglądzie decyzji dotyczących adekwatności

My, koalicja organizacji społeczeństwa obywatelskiego zajmujących się ochroną praw cyfrowych, pragniemy wyrazić nasze zaniepokojenie decyzją podjętą przez Komisję Europejską w sprawie przeglądu 11 istniejących decyzji stwierdzających odpowiedni stopień ochrony danych, a w szczególności w niniejszym piśmie decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do Izraela, która została opublikowana 15 stycznia.

Komisja zdecydowała się podtrzymać te decyzje, które zezwalają na nieograniczony transfer danych do określonych jurysdykcji. W decyzjach tych Komisja powinna przestrzegać zasad i warunków określonych w wyrokach Schrems I i Schrems II Trybunału Sprawiedliwości Unii Europejskiej (TSUE) przy ocenie adekwatności krajów spoza UE. Ma to kluczowe znaczenie dla zapewnienia legalności dalszego przekazywania danych osobowych osób fizycznych w UE. Po kompleksowym zbadaniu informacji przedstawionych przez Komisję i innych istotnych dokumentów, jesteśmy zaniepokojeni włączeniem Izraela do wykazu, w szczególności dlatego, że przepisy tego kraju dotyczące uzyskiwania, przetwarzania i dalszego przekazywania danych osobowych nie są zgodne ze standardami określonymi w RODO i Karcie praw podstawowych UE (Karta) zgodnie z wykładnią TSUE. Chociaż treść niniejszego pisma koncentruje się na włączeniu Izraela do analizowanych decyzji, badamy również potencjalne nieprawidłowości dotyczące innych krajów znajdujących się na liście.

W związku z tym zwracamy się do Komisji o wyjaśnienie sześciu najważniejszych kwestii mających kluczowe znaczenie dla ram decyzji w sprawie adekwatności: po pierwsze, praworządności w Izraelu; po drugie, zakresu i istoty obecnych i przyszłych izraelskich ram prawnych dotyczących prywatności i ochrony danych; po trzecie, roli przepisów i podmiotów bezpieczeństwa narodowego; po czwarte, dalszego przekazywania danych poza uznane na arenie międzynarodowej granice Izraela; po piąte, procedury przeglądu; i po szóste, zastosowanie ram adekwatności w kontekście zaangażowania Izraela w to, co Wysoki Komisarz Narodów Zjednoczonych ds. Praw Człowieka nazwał “katastrofalną” sytuacją w Strefie Gazy, a którą Międzynarodowy Trybunał Sprawiedliwości (MTS) uznał za realny przypadek ludobójstwa, w następstwie sprawy wniesionej do sądu przez Republikę Południowej Afryki, i w odniesieniu do której wydał już sześć środków tymczasowych.

Po pierwsze, zastanawiamy się, czy obecne rządy prawa w Izraelu umożliwiają temu krajowi zapewnienie odpowiedniego poziomu ochrony danych, co jest kluczowym warunkiem wstępnym do wydania decyzji w sprawie adekwatności. Komisja tymczasowo wstrzymała proces przeglądu w ubiegłym roku z powodu obaw dotyczących zarówno praworządności, jak i ochrony danych w Izraelu. Międzynarodowe Stowarzyszenie Prawników podkreśliło, że praworządność w tym kraju jest zagrożona, głównie z powodu działań obecnego rządu, próbującego przeprowadzić kontrowersyjne reformy sądownictwa, które mogą znacząco zagrozić m.in. niezależności sądownictwa i podziałowi władzy. Konsekwencje tych reform były tak niepokojące, że Eran Toch, starszy członek izraelskiej Rady Ochrony Prywatności, złożył rezygnację w lipcu 2023 r. w związku z obawami o utrzymanie statusu adekwatności kraju. Podczas gdy Sąd Najwyższy Izraela wydał dwa wyroki, które odnoszą się do niektórych z tych zagrożeń na początku stycznia, fundamentalny dylemat dotyczący uprawnień sądu do przeprowadzania kontroli sądowej i określania ostatecznego organu w systemie prawnym pozostaje. Ponieważ są to kluczowe aspekty ochrony prawa do danych osobowych, obawiamy się, że Komisja nie uwzględniła tych zmian w wystarczającym stopniu.

Po drugie, izraelskie ramy prywatności i ochrony danych nadal nie są w wystarczającym stopniu dostosowane do RODO. Chociaż uznajemy, że adekwatność ta została przyjęta na mocy unijnych ram ochrony danych, które poprzedzały RODO, Komisja podkreśliła w swoim sprawozdaniu, że w pełni uwzględniła wejście w życie RODO w UE przy ponownym sprawdzaniu zasadniczo równoważnej ochrony oferowanej przez Izrael. Izraelskie prawo o ochronie danych, pochodzące z 1981 r., znacznie różni się od RODO. W 2022 r. Izrael wyraził zamiar zaktualizowania swoich ram ochrony danych za pomocą ustawy o ochronie prywatności z 2022 r. zmieniającej ustawę o ochronie prywatności, która jest obecnie omawiana w Knesecie. Ponieważ tekst nie został jeszcze przyjęty, ramy zostały zaktualizowane przez przepisy o ochronie prywatności (instrukcje dotyczące danych przekazywanych do Izraela z Europejskiego Obszaru Gospodarczego) 5783-2023 oraz wytyczne wydane przez Urząd Ochrony Prywatności. Ochrony Prywatności. Jednak pomimo przewidywanej modernizacji zgodnej z Konwencją 108 Rady Europy i Protokołem zmieniającym, tworząc zmodernizowane standardy Konwencji 108+ w następstwie decyzji w sprawie adekwatności z 2011 r., aktualizacje te oferują jedynie częściowe dostosowanie do definicji, standardów i ducha RODO w odniesieniu do kluczowych kwestii, takich jak zasada rozliczalności, podstawa prawna przetwarzania danych oraz kryteria, które muszą zostać spełnione, aby zgoda osób, których dane dotyczą, była ważna. Chociaż niektóre aspekty RODO zostały uwzględnione, a ramy przedstawiają pewne ulepszone standardy i procedury ochrony danych, jak wspomniano w raportach krajowych, nadal istnieje luka między obecnym poziomem ochrony danych gwarantowanym przez prawo izraelskie a standardami niezbędnymi do zapewnienia adekwatności z UE. W tym celu wymagana jest “zasadnicza równoważność” z RODO (Schrems I). W związku z tym potrzebujemy wyjaśnień na temat punktów odniesienia i procesu oceny Komisji, zwłaszcza jeśli chodzi o uznane możliwości poprawy w zakresie pewności prawnej i wzmocnienia ochrony danych osobowych.

Po trzecie, decyzja Komisji zdaje się pomijać fakt, że izraelskie przepisy dotyczące bezpieczeństwa narodowego wydają się być sprzeczne ze standardami UE w zakresie konieczności i proporcjonalności, w szczególności w odniesieniu do korzystania przez ten kraj z uprawnień do masowego gromadzenia danych lub operacji nadzoru, które zostały skrytykowane przez ekspertów ds. praw człowieka. Niniejszym wyrażamy zaniepokojenie faktem, że izraelskie ramy ochrony prywatności i danych nie zapobiegają nadmiernemu dostępowi do danych przez izraelskie organy ścigania i bezpieczeństwa. Taki dostęp charakteryzuje się brakiem solidnych standardów, które skutecznie chronią prawa podstawowe oraz zapewniają odpowiedzialność i przejrzystość w przetwarzaniu danych. W orzeczeniu w sprawie Schrems I TSUE podkreślił, że nieograniczony dostęp organów wywiadowczych do treści komunikacji elektronicznej narusza art. 7 Karty. Zauważył również, że Stany Zjednoczone nie zaoferowały odpowiednich środków prawnych dla osób spoza USA dotkniętych masową inwigilacją, co narusza art. 47 Karty. Podobnie, programy masowej inwigilacji prowadzone przez Izrael, a także ukierunkowana inwigilacja bez zgody lub nadzoru sądowego, wydają się niezgodne z zasadami konieczności i proporcjonalności oraz nie spełniają standardów określonych w unijnym prawie o ochronie danych i Karcie, zgodnie z wykładnią TSUE.

Ocena Komisji nie uwzględnia izraelskich praktyk nadzoru, wykazując niedokładne i ograniczone zrozumienie rodzajów danych komunikacyjnych – w tym danych dotyczących komunikacji między osobami fizycznymi w UE – podlegających izraelskim uprawnieniom do zatrzymywania danych i legalnego przechwytywania. Pierwotna decyzja w sprawie adekwatności z 2011 r. nie uwzględniała dostępu rządu do danych osobowych, a wspomniany powyżej raport krajowy zawiera jedynie pobieżną analizę izraelskich przepisów dotyczących bezpieczeństwa narodowego. Jesteśmy zaniepokojeni faktem, że Komisja nie kwestionuje braku niezależnego nadzoru nad zezwoleniami na przechwytywanie komunikacji. Chociaż istnieją przypadki, w których izraelskie organy ścigania przechodzą kontrolę sądową ex ante w zakresie pozyskiwania metadanych, istnieją znaczące różnice w przepisach regulujących pozyskiwanie, przetwarzanie i przechowywanie metadanych przez Izraelską Agencję Bezpieczeństwa. W tym kontekście wykorzystanie uzyskanych danych wymaga autoryzacji wyłącznie przez dyrektora Agencji, a wytyczne dotyczące wykorzystania, przechowywania, bezpieczeństwa i przetwarzania tych danych są ustalane przez Prezesa Rady Ministrów i są niejawne. W grudniu 2023 r. proponowany środek (w połączeniu z tymczasowym zarządzeniem również budzącym obawy z punktu widzenia ochrony danych) nakreślił znaczące rozszerzenie uprawnień Agencji, proponując ustanowienie podstawy prawnej do stosowania zaawansowanych narzędzi nadzoru, podobnych do Pegasusa NSO Group, a także umożliwiając Agencji potajemny dostęp i gromadzenie danych z różnych biometrycznych baz danych i kamer w Izraelu (dane, które podobno były bezprawnie udostępniane w przeszłości). W orzeczeniu w sprawie La Quadrature du Net, TSUE podkreślił, że zgodnie z Kartą dostęp agencji wywiadowczych do danych musi być oparty na publicznie dostępnym prawie, które wyraźnie określa jasne i rygorystyczne ograniczenia takiego dostępu.

Co więcej, dyskusja na temat gromadzenia metadanych w raporcie krajowym pomija komentarz na temat praktyk “masowych”, stwierdzając jedynie, że są one wymagane “w razie potrzeby”. Komisja pomija fakt, że Izrael nie posiada przepisów dotyczących zatrzymywania danych, ponieważ wszystkie metadane komunikacyjne są przekazywane bezpośrednio do Izraelskiej Agencji Bezpieczeństwa, zamiast być zatrzymywane przez dostawców usług w celu przyszłego dostępu. Co gorsza, nie jest jasne, czy osoby fizyczne w UE będą miały dostęp do niezależnego i bezstronnego mechanizmu dochodzenia roszczeń w związku z gromadzeniem i wykorzystywaniem ich danych przez Izraelską Agencję Bezpieczeństwa. Nie ma również pewności, czy izraelskie ramy regulacyjne zawierają wystarczające zabezpieczenia dostępu do danych przekazywanych w ramach tych ram w związku z celami bezpieczeństwa narodowego.

Wreszcie, co nie mniej ważne, wszelkie ramy adekwatności muszą zapewniać osobom, których dane dotyczą, prawo dostępu i prawo do informacji o odbiorcach ich udostępnianych danych. Niestety, tak nie było w przypadku obywateli UE dotkniętych ukierunkowanymi operacjami nadzoru z udziałem oprogramowania szpiegującego Pegasus firmy NSO Group. Wnioski do rządu Izraela o udzielenie informacji na temat klientów NSO Group pozostały bez odpowiedzi, pomimo jego wiedzy i autoryzacji takiej sprzedaży poprzez udzielanie licencji eksportowych firmom zajmującym się oprogramowaniem szpiegującym. Zostało to podkreślone w raporcie Komisji PEGA Parlamentu Europejskiego. Ponadto wydaje się, że osoby fizyczne w UE nie mają różnych środków prawnych, takich jak bezpłatne niezależne mechanizmy rozwiązywania sporów i usługi mediacyjne, w przypadku, gdy ich dane są niedokładnie przetwarzane przez izraelskie firmy lub mogły uzyskać do nich dostęp izraelskie agencje bezpieczeństwa.

Po czwarte, obawiamy się, że odnowienie statusu adekwatności Izraela może skutkować obejściem przepisów UE dotyczących transferów na terytoria nieuznane za adekwatne na mocy prawa UE. W związku z tym opowiadamy się za znaczącym poszanowaniem “klauzuli terytorialnej”, zgodnie z “polityką zróżnicowania” UE. Polityka ta rozróżnia między uznanym państwem Izrael w jego granicach z 1967 r. a okupowanym terytorium palestyńskim (oPt) – a także okupowaną Jerozolimą Wschodnią i Wzgórzami Golan, które zostały nielegalnie zaanektowane przez Izrael – zgodnie z rezolucją RB ONZ nr 2334 i wyrokiem TSUE Firma Brita GmbH przeciwko Hauptzollamt Hamburg. Ma to kluczowe znaczenie, biorąc pod uwagę to, co ONZ podkreśliła jako przedłużającą się, stopniową nieformalną aneksję OPL na przestrzeni dziesięcioleci. Podczas gdy decyzja z 2011 r. w sprawie adekwatności dla Izraela wyraźnie odnosi się do międzynarodowo uznanych granic, badanie przeprowadzone przez Douwe Korffa, eksperta w dziedzinie praw człowieka i ochrony danych, sugeruje, że izraelskie ustawodawstwo, także ostatnio zaktualizowane, nie dokonuje takiego rozróżnienia. Wydaje się zatem, że Izrael nie traktuje dalszego przekazywania danych (w tym danych UE) z Izraela do OPT jako przekazywania danych za granicę. Ponadto ustawa o ochronie prywatności z 2022 r. zmieniająca ustawę o ochronie prywatności i przepisy uzupełniające (w tym orzecznictwo), a także wytyczne wydane przez Izraelski Urząd Ochrony Prywatności, nie zapewniają jasności co do eksterytorialnego zastosowania tekstu.

Obawy te zostały spotęgowane przez odkrycia dotyczące roli izraelskich agencji wywiadowczych podczas wojny w Strefie Gazy. Przez lata Izrael sprawował kontrolę nad dostępem do telekomunikacji i Internetu w całym OPL. Kontrola ta umożliwiła Izraelowi angażowanie się zarówno w masową, jak i ukierunkowaną inwigilację, gromadzenie danych, które zasilają masowe biometryczne bazy danych zawierające informacje o palestyńskich mieszkańcach OPL i najprawdopodobniej przyczyniają się do tworzenia baz danych wykorzystywanych przez system sztucznej inteligencji, który generuje potencjalne cele nalotów w obecnych atakach na Strefę Gazy, które eksperci ONZ określili jako zbrodnie przeciwko ludzkości i dają “uzasadnione podstawy, by sądzić, że próg wskazujący na popełnienie zbrodni ludobójstwa… został osiągnięty”, przez Specjalnego Sprawozdawcę ONZ ds. sytuacji praw człowieka na okupowanych terytoriach palestyńskich. Jest to bardzo niepokojące, biorąc pod uwagę, że transfery do przedmiotowego kraju będą zaliczane do wewnątrzunijnych transmisji danych, że sprawozdanie krajowe Komisji dotyczące funkcjonowania decyzji w sprawie adekwatności nie odnosi się do przestrzegania przez Izrael ograniczenia terytorialnego. Wzywamy również Komisję do wyjaśnienia tej kwestii.

Po piąte, jesteśmy zaniepokojeni niedociągnięciami proceduralnymi zaobserwowanymi w procesie decyzyjnym Komisji w całym zestawie decyzji dotyczących przeglądu adekwatności ogłoszonych w styczniu. Przyznając, że jest to przegląd istniejącej decyzji w sprawie adekwatności przyjętej na mocy dyrektywy 95/46/WE, biorąc pod uwagę specyfikę kontekstu, podkreślamy jednak znaczenie wkładu zainteresowanych stron. W sprawozdaniu Komisji z przeglądu stwierdzono, że “służby Komisji zebrały opinie […] wielostronnej grupy ekspertów ds. RODO (w skład której wchodzą przedstawiciele społeczeństwa obywatelskiego, przemysłu, środowisk akademickich i prawników) na temat postępów w ocenie”, ale według naszej wiedzy tak się nie stało. Wzywamy Komisję do przedstawienia szczegółowych informacji na temat procesu wykorzystywanego do zbierania informacji zwrotnych od zainteresowanych stron.

Po szóste, przy podejmowaniu decyzji w sprawie adekwatności, jak określono w motywach 101-107 i art. 45 RODO, Komisja powinna w swojej ocenie i przeglądzie decyzji w sprawie adekwatności wziąć pod uwagę takie kryteria, jak “sposób, w jaki dane państwo trzecie przestrzega praworządności, dostępu do wymiaru sprawiedliwości, a także międzynarodowych norm i standardów w zakresie praw człowieka”[1]. Chociaż, jak wspomniano powyżej, zdajemy sobie sprawę, że był to proces przeglądu decyzji przyjętej na mocy dyrektywy 95/46/WE, musimy również podkreślić, że operacja ta powinna nadal obejmować dogłębną ocenę przepisów i praktyk danego kraju.

W styczniu Międzynarodowy Trybunał Sprawiedliwości (MTS) przeprowadził publiczne przesłuchanie, w którym Republika Południowej Afryki argumentowała, że Izrael popełnia ludobójstwo w Strefie Gazy, a orzeczenie MTS w sprawie środków tymczasowych wskazuje, że roszczenie RPA jest wiarygodne. Podkreślając “katastrofalną sytuację humanitarną” w Strefie Gazy, Trybunał podkreślił “pilność” i “realne bezpośrednie ryzyko” nieodwracalnych szkód dla Palestyńczyków. W związku z tym Trybunał zarządził prawnie wiążące środki tymczasowe, nakładając na UE i jej państwa członkowskie obowiązek zapewnienia ich wdrożenia. Środki te są wyraźnie istotne dla ochrony praw podstawowych, międzynarodowego porządku opartego na zasadach i praworządności, a zatem mają istotny wpływ na każdą decyzję w sprawie adekwatności. Wydaje się, że obecna sytuacja w Izraelu i byłej jugosłowiańskiej republice Macedonii pogłębiła lekceważenie rządów prawa, w szczególności w odniesieniu do przetwarzania danych osobowych do celów bezpieczeństwa narodowego, a zatem jest ważnym czynnikiem wpływającym na ewentualną (nie)adekwatność. Staramy się zrozumieć, dlaczego Komisja nie wstrzymała tego procesu, biorąc pod uwagę powagę tego kontekstu i jego znaczenie dla adekwatności i wynikającej z niej ochrony osób fizycznych w zakresie ochrony danych w UE.

Podsumowując, stwierdzamy, że włączenie Izraela do listy przeglądu adekwatności wymaga dalszej analizy i wyjaśnień. Wzywamy Komisję do zajęcia się tymi obawami w sposób przejrzysty i odpowiedzialny, aby zrozumieć, czy decyzja ta powinna zostać cofnięta. Komisja powinna dopilnować, aby decyzje w sprawie odpowiedniej ochrony danych i ich przeglądy zapewniały solidną, wystarczającą i przyszłościową podstawę prawną dla przekazywania danych oraz aby wszystkie decyzje w sprawie odpowiedniej ochrony danych były uznawane za dopuszczalne po zbadaniu przez TSUE, zgodnie ze wszystkimi punktami wymienionymi w niniejszym piśmie. W związku z tym jesteśmy w trakcie badania treści i procedur innych odnowionych decyzji w sprawie adekwatności i opowiadamy się za dalszym dialogiem i zaangażowaniem w celu zapewnienia, że prawa i interesy wszystkich zainteresowanych stron i posiadaczy praw są odpowiednio chronione we wszystkich transferach danych.

W razie jakichkolwiek pytań pozostajemy do Pani dyspozycji. Z poważaniem,

Sygnatariusze

EDRi European Digital Rights

Access Now

Politiscope

Homo Digitalis

IT-Pol Denmark

Bits of Freedom

European Sex Workers’ Rights Alliance – ESWA

Statewatch

Vrijschrift.org

Amnesty International

SHARE Foundation

Uwaga

[1] Zgodnie z art. 2 Układu eurośródziemnomorskiego ustanawiającego stowarzyszenie między Wspólnotami Europejskimi i ich państwami członkowskimi, z jednej strony, a Państwem Izrael, z drugiej strony, na mocy którego “Stosunki między Stronami, jak również wszystkie postanowienia samego Układu, opierają się na poszanowaniu praw człowieka i zasad demokracji, które przyświecają ich polityce wewnętrznej i międzynarodowej oraz stanowią zasadniczy element niniejszego Układu”.

INFO: https://www.statewatch.org/news/2024/april/eu-israel-data-agreement-rings-alarm-bells/ (przekład automatyczny, odnośniki w oryginale)