Adakah sudah tiba masanya untuk menghubungi gertakan mengenai privasi data AS?

Juri tidak mengetahui sama ada Perintah Eksekutif yang ditandatangani oleh Presiden Biden pada 7 Oktober boleh menyelesaikan kebimbangan undang-undang yang diketengahkan dalam kes Schrems II dan memulihkan "kepercayaan dan kestabilan" kepada aliran data transatlantik, tulis Dick Roche, bekas menteri Ireland bagi hal ehwal Eropah yang memainkan peranan penting dalam Referendum Ireland yang mengesahkan Perjanjian Lisbon yang mengiktiraf perlindungan data peribadi sebagai hak asasi.

Undang-undang perlindungan data EU diiktiraf secara meluas sebagai standard emas untuk peraturan data dan untuk perlindungan hak privasi setiap warganegara.

Ketika internet masih di peringkat awal, EU memulakan langkah baharu pada tahun 1995 dengan menetapkan peraturan yang mengawal pergerakan dan pemprosesan data peribadi dalam Arahan Perlindungan Data Eropah.

Di bawah Perjanjian Lisbon 2007 perlindungan data peribadi menjadi hak asasi. Perjanjian mengenai Fungsi Kesatuan Eropah dan Piagam Hak Asas EU yang berkuat kuasa pada 2009 melindungi hak tersebut.

Pada tahun 2012, Suruhanjaya EU mencadangkan Peraturan Perlindungan Data Am (GDPR) yang menetapkan satu set pembaharuan komprehensif yang bertujuan untuk meningkatkan ekonomi digital Eropah dan mengukuhkan keselamatan dalam talian rakyat.

Pada Mac 2014, Parlimen Eropah mencatatkan sokongan yang menggalakkan, untuk GDPR apabila 621 Ahli Parlimen Parlimen dari seluruh spektrum politik mengundi menyokong cadangan tersebut. Hanya 10 MEP mengundi menentang dan 22 berkecuali. 

GDPR telah menjadi model global untuk undang-undang perlindungan data.  

Pengiklanan

Penggubal undang-undang di AS tidak mengikuti jalan yang sama seperti Eropah. Di AS, hak perlindungan data dalam sektor penguatkuasaan undang-undang dikekang: kecenderungannya adalah untuk memberi keistimewaan kepada penguatkuasaan undang-undang dan kepentingan keselamatan negara.

Dua percubaan untuk merapatkan jurang antara pendekatan EU dan AS dan untuk mencipta mekanisme untuk aliran data gagal apabila pengaturan Safe Harbor dan Privacy Shield yang dinamakan dengan agak aneh didapati tidak sesuai oleh Mahkamah Keadilan EU.  

Timbul persoalan sama ada pengaturan Rangka Kerja Privasi Data EU-AS baharu yang ditetapkan dalam Perintah Eksekutif "Meningkatkan Perlindungan untuk Aktiviti Perisikan Isyarat Amerika Syarikat" yang ditandatangani oleh Presiden Biden pada 7^th Oktober akan berjaya apabila Safe Harbor dan Privacy Shield gagal. Terdapat banyak sebab untuk meragui bahawa mereka akan melakukannya.

Schrems II menetapkan bar yang tinggi

Pada Julai 2020 dalam kes Schrems II, CJEU memutuskan bahawa undang-undang AS tidak memenuhi keperluan berkenaan akses kepada, dan penggunaan data peribadi yang ditetapkan dalam undang-undang EU.

Mahkamah menyatakan kebimbangan berterusan bahawa penggunaan dan akses kepada data EU oleh agensi AS tidak dihadkan oleh prinsip perkadaran. Ia mengambil pandangan bahawa adalah "mustahil untuk membuat kesimpulan" bahawa perjanjian Perisai Privasi EU-AS adalah mencukupi untuk memastikan tahap perlindungan untuk warga EU yang setara dengan yang dijamin oleh GDPR dan memutuskan bahawa mekanisme Ombudsman yang dibuat di bawah Perisai Privasi, adalah tidak mencukupi dan kemerdekaannya tidak dapat dijamin.  

Cadangan Presiden Biden dan pengesahan Suruhanjaya EU

Pada 7^th Oktober Presiden Biden menandatangani Perintah Eksekutif (EO) "Meningkatkan Perlindungan untuk Aktiviti Perisikan Isyarat Amerika Syarikat".

Selain mengemas kini Perintah Eksekutif era Obama tentang cara perlindungan data beroperasi di AS, perintah itu menetapkan Rangka Kerja Privasi Data EU-AS baharu.

Taklimat White House mengenai EO menyifatkan Rangka Kerja sebagai memulihkan "kepercayaan dan kestabilan" kepada aliran data transatlantik yang disifatkannya sebagai "kritikal untuk membolehkan hubungan ekonomi EU-AS bernilai $7.1 trilion" - tuntutan yang agak melampaui batas.

Taklimat itu menggambarkan pengaturan baharu itu sebagai mengukuhkan "pelbagaian perlindungan privasi dan kebebasan awam yang sudah ketat untuk aktiviti perisikan isyarat AS".

Ia menegaskan bahawa pengaturan baharu itu akan memastikan bahawa aktiviti perisikan AS akan dijalankan hanya untuk mencapai objektif keselamatan negara AS yang ditetapkan dan dihadkan kepada apa yang "perlu dan berkadar" - satu genufleksi kepada penghakiman Schrems II.  

Taklimat itu juga menetapkan "mekanisme berbilang lapisan" yang akan membolehkan mereka yang terkilan dengan aktiviti perisikan AS "mendapatkan (sebuah) semakan dan pembetulan tuntutan yang bebas dan mengikat".

Suruhanjaya EU telah mengesahkan Perintah Presiden Biden dengan penuh semangat menggambarkannya sebagai menyediakan orang Eropah yang data peribadinya dipindahkan ke AS dengan "perlindungan mengikat yang mengehadkan akses kepada data oleh pihak berkuasa perisikan AS kepada apa yang perlu dan berkadar untuk melindungi keselamatan negara". Tanpa analisis sokongan, ia mencirikan peruntukan ganti rugi Perintah itu dan Mahkamah sebagai mekanisme "bebas dan saksama" "untuk menyiasat dan menyelesaikan aduan mengenai akses kepada data (orang Eropah) oleh pihak berkuasa keselamatan negara AS".

Beberapa soalan serius

Banyak yang perlu dipersoalkan dalam pembentangan oleh Rumah Putih dan Suruhanjaya.

Ramai yang akan mempersoalkan idea bahawa agensi perisikan AS tertakluk kepada "pelbagai privasi dan kebebasan awam yang ketat". 

Isu utama timbul mengenai instrumen undang-undang yang digunakan oleh AS untuk memperkenalkan perubahan. Perintah Eksekutif ialah instrumen eksekutif fleksibel yang boleh ditukar pada bila-bila masa oleh Presiden AS yang sedang duduk. Perubahan di Rumah Putih boleh melihat pengaturan yang telah dipersetujui dihantar ke tong sampah, seperti yang berlaku apabila Presiden Trump meninggalkan perjanjian yang dirundingkan dengan susah payah untuk menyekat program nuklear Iran sebagai pertukaran untuk pelepasan sekatan.

Persoalan juga timbul tentang bagaimana perkataan “perlu” and “berkadar” yang terdapat di Rumah Putih dan kenyataan Suruhanjaya akan ditakrifkan. Tafsiran kata kunci ini boleh berbeza jauh di kedua-dua belah Atlantik. 

Pusat Hak Digital Eropah, organisasi yang diasaskan oleh Max Schrems menyatakan perkara itu manakala pentadbiran AS dan Suruhanjaya EU telah menyalin perkataan "perlu"Dan"berkadaran" daripada penghakiman Schrems II mereka tidak ad idem tentang maksud undang-undang mereka. Untuk kedua-dua pihak berada pada halaman yang sama, AS perlu secara asasnya mengehadkan sistem pengawasan besar-besarannya agar sejajar dengan pemahaman EU tentang pengawasan "berkadar" dan itu tidak akan berlaku: pengawasan pukal oleh agensi perisikan AS akan diteruskan di bawah pengaturan baharu.

Kebimbangan yang serius timbul mengenai mekanisme pembetulan. Mekanisme yang dicipta oleh EO Presiden Biden adalah kompleks, terhad dan jauh daripada bebas.

Pengaturan pembetulan memerlukan aduan terlebih dahulu dikemukakan kepada Pegawai Perlindungan Kebebasan Awam yang dilantik oleh agensi perisikan AS untuk memastikan pematuhan agensi terhadap privasi dan hak asasi - pengaturan pemburu haram yang bertukar menjadi penjaga haiwan.  

Keputusan pegawai ini boleh dirayu kepada Mahkamah Semakan Perlindungan Data (DPRC) yang baru diwujudkan. 'Mahkamah' ini akan "terdiri daripada ahli yang dipilih dari luar Kerajaan AS".

Penggunaan perkataan "mahkamah" untuk menggambarkan badan ini boleh dipersoalkan. Pusat Hak Digital Eropah menolak idea bahawa badan itu berada dalam pengertian biasa Perkara 47 Piagam Hak Asas EU.

"Hakim-hakimnya, yang mesti mempunyai "pelepasan keselamatan yang diperlukan (AS)" akan dilantik oleh Peguam Negara AS melalui perundingan dengan Setiausaha Perdagangan AS.

Jauh daripada "di luar Kerajaan AS" sebaik sahaja melantik ahli Mahkamah menjadi sebahagian daripada jentera Kerajaan AS.

Jika rayuan dibuat kepada Mahkamah sama ada oleh pengadu atau oleh "elemen Komuniti Perisikan", panel tiga hakim akan bermesyuarat untuk menyemak permohonan itu. Panel ini memilih peguam bela khas sekali lagi dengan "pelepasan keselamatan yang diperlukan" AS untuk mewakili "kepentingan pengadu dalam perkara itu".

Mengenai masalah akses, pengadu dari EU mesti membawa kes mereka ke agensi yang berkaitan di EU. Agensi itu memindahkan aduan kepada AS. Selepas kes itu disemak, pengadu dimaklumkan "melalui badan yang sesuai di negeri yang layak" tentang keputusan "tanpa mengesahkan atau menafikan bahawa pengadu tertakluk kepada aktiviti isyarat Amerika Syarikat". Pengadu hanya akan diberitahu bahawa "semakan sama ada tidak mengenal pasti sebarang pelanggaran yang dilindungi" atau bahawa "penentuan yang memerlukan pemulihan yang sesuai" telah dikeluarkan. Sukar untuk melihat bagaimana pengaturan ini memenuhi ujian kebebasan yang gagal dicadangkan oleh Ombudsman dalam Privacy Shield. 

Secara keseluruhannya, pengaturan Mahkamah Semakan Perlindungan Data mempunyai lebih daripada sedutan Mahkamah FISA AS, yang dilihat secara meluas sebagai setem untuk perkhidmatan perisikan AS.

Apa Seterusnya?

Dengan Perintah Eksekutif AS diterima pakai, tindakan beralih kembali kepada Suruhanjaya EU yang akan mencadangkan draf keputusan kecukupan dan melancarkan prosedur penerimaan.

Prosedur penerimaan memerlukan Suruhanjaya untuk mendapatkan pendapat, yang tidak mengikat, daripada Perlindungan Data Eropah. Suruhanjaya juga mesti menerima kelulusan daripada jawatankuasa yang terdiri daripada wakil Negara Anggota EU.

Parlimen Eropah dan Majlis mempunyai hak untuk meminta Suruhanjaya Eropah meminda atau menarik balik keputusan kecukupan atas alasan kandungannya melebihi kuasa pelaksana yang diperuntukkan dalam peraturan GDPR 2016.

Sebagai badan yang mewakili secara langsung rakyat Eropah dan badan yang sangat menyokong prinsip-prinsip yang ditetapkan dalam GDPR, Parlimen Eropah mempunyai tanggungjawab untuk melihat dengan teliti apa yang ada di atas meja dan untuk melihat pandangan yang jelas tentang sejauh mana cadangan itu serasi dengan prinsip yang ditetapkan dalam GDPR dengan jangkaan orang Eropah bahawa hak privasi mereka dihormati.

Perbezaan asas antara EU dan AS mengenai perlindungan hak privasi setiap warganegara berkemungkinan besar tidak akan dihentikan oleh Perintah Eksekutif Presiden Biden: kontroversi masih ada cara untuk berjalan.

Kongsi artikel ini: