Schrems II, lima tahun kemudian

Penghakiman yang mengambil masa tiga jam untuk mengubah peraturan

Pada 16 Julai 2020, sekitar jam sepuluh lima belas pagi waktu Luxembourg, Mahkamah Keadilan Kesatuan Eropah (TJUE) mengumumkan penghakiman bagi kes C-311/18. Dalam masa tiga jam berikutnya, rejim undang-undang yang menyokong pemindahan harian data peribadi dari Eropah ke Amerika Syarikat — yang dipanggil Privacy Shield — tidak lagi wujud. Apabila pegawai perlindungan data Eropah selesai makan tengah hari pada hari itu, rangka kerja di mana syarikat dan pentadbiran mereka beroperasi sudah tidak berguna lagi.

Penghakiman ini dikenali hari ini sebagai Schrems II, sempena Maximilian Schrems, aktivis Austria yang aduannya terhadap Facebook Ireland mencetuskannya. Aduan tersebut, secara khusus, berkaitan dengan pemindahan antara Facebook Ireland dan Facebook Amerika Syarikat. Penghakiman tersebut, secara umum, menjangkau lebih jauh lagi: ia menetapkan bagaimana dan di bawah syarat apa sebarang data peribadi yang dikumpulkan di wilayah Eropah boleh dipindahkan ke Amerika Syarikat.

Hampir enam tahun kemudian, rangka kerja pengganti wujud — EU-US Data Privacy Framework, yang diterima pakai pada Julai 2023 — dan ia juga berada di bawah tekanan undang-undang. Pusingan Schrems baru sedang disediakan. Sementara itu, perusahaan kecil dan sederhana Eropah terus menggunakan perkhidmatan awan Amerika Syarikat untuk tugas harian, sebahagian besarnya tanpa mengetahui bahawa isu undang-undang yang menjadi asas perkhidmatan tersebut masih terbuka.

Apa yang dinyatakan dengan tepat oleh Schrems II

Penghakiman tersebut bersandarkan pada tiga bahagian. Yang pertama ialah Piagam Hak Asasi Kesatuan Eropah, khususnya Artikel 7 (kehidupan peribadi dan keluarga), 8 (perlindungan data peribadi) dan 47 (perlindungan kehakiman yang berkesan). Yang kedua ialah Peraturan Perlindungan Data Umum — RGPD yang hanya diingati oleh ramai orang Eropah kerana notis kuki —, khususnya Bab V, Artikel 44 hingga 50, mengenai pemindahan antarabangsa. Yang ketiga ialah perundangan perisikan Amerika Syarikat: Seksyen 702 dari Foreign Intelligence Surveillance Act, FISA 702 dalam istilah undang-undang, dan Perintah Eksekutif Presiden 12333.

Mahkamah bertindak secara kontras. Piagam Hak Asasi memerlukan data peribadi warga Eropah menikmati, apabila mereka meninggalkan Kesatuan, tahap perlindungan yang setara secara asasnya dengan yang dijamin oleh RGPD. Persoalannya, oleh itu, adalah sama ada Amerika Syarikat menawarkan tahap perlindungan yang setara secara asasnya.

Jawapannya adalah negatif, dan bukan kerana nuansa kecil. FISA 702 membolehkan kerajaan Amerika Syarikat mengumpul komunikasi bukan warga Amerika yang terletak di luar wilayah nasional tanpa kebenaran kehakiman individu terlebih dahulu, tanpa pemberitahuan kepada mereka yang terjejas, dan tanpa remedi berkesan yang setanding dengan Eropah. Perintah Eksekutif 12333 memperluaskan keupayaan tersebut secara analog di luar wilayah nasional. Mahkamah menyimpulkan bahawa warga Eropah, di hadapan sistem perundangan Amerika Syarikat, tidak mempunyai perlindungan setara secara asasnya yang diperlukan oleh Piagam. Oleh itu, kesetaraan tidak wujud.

Oleh itu, akibat langsungnya: Keputusan 2016/1250 Suruhanjaya Eropah, yang telah mengesahkan Privacy Shield sebagai rangka kerja yang mencukupi untuk pemindahan, telah diisytiharkan tidak sah. Sebarang pemindahan yang bersandarkan semata-mata pada rangka kerja tersebut kehilangan asas undang-undang sejak saat itu.

Apa yang terselamat (dan di bawah syarat apa)

Schrems II tidak menghapuskan semua instrumen. Klausa Kontrak Standard — SCC dalam istilah antarabangsa, singkatan bagi Standard Contractual Clauses — terselamat. Ia adalah kontrak model yang diluluskan oleh Suruhanjaya Eropah: pengeskport Eropah dan pengimport negara destinasi menandatanganinya dengan komitmen untuk mengendalikan data mengikut piawaian Eropah. Syarikat yang menyangka telah menyelesaikan masalah pada 17 Julai 2020 menandatangani SCC dengan pembekalnya dan berasa puas hati.

Ketidakselesaan timbul apabila membaca penghakiman tersebut dengan teliti. Mahkamah menjelaskan bahawa SCC tetap sah, tetapi kesahihannya bergantung pada syarat yang wajar digariskan: bahawa pengimport data boleh mematuhinya dalam amalan. Jika perundangan nasional negara destinasi menghalangnya daripada mematuhi klausa tersebut — kerana, sebagai contoh, perintah di bawah FISA 702 mewajibkannya menyerahkan data tanpa memberitahu rakan sejawat Eropah — klausa tersebut sebenarnya tidak melindungi. Dan kemudian, kata mahkamah, pengeksport Eropah mesti menggantung pemindahan.

Ini memperkenalkan objek baru dalam amalan perlindungan data Eropah: Transfer Impact Assessment, atau analisis impak pemindahan, yang dikenali dengan akronim Inggerisnya TIA. Setiap kali syarikat Eropah ingin memindahkan data ke Amerika Syarikat di bawah SCC, ia mesti menilai secara rasmi sama ada penerima boleh mematuhi klausa tersebut memandangkan perundangan yang dikenakan kepadanya. Lembaga Perlindungan Data Eropah (EDPB) menerbitkan garis panduan terperinci tentang cara menjalankan TIA. Amalan jujur biasanya memberikan hasil yang sama: jika pengimport adalah anak syarikat Amerika Syarikat bagi syarikat awan besar, jawapan ikhlas kepada TIA ialah klausa tersebut tidak dapat dipatuhi seperti yang tertulis.

Privacy Framework dan Schrems III yang tertunda

Pada 10 Julai 2023, Suruhanjaya Eropah menerima pakai Keputusan Kecukupan baru: 2023/1795. Ia menggantikan Privacy Shield yang telah mansuh dan beroperasi di bawah nama EU-US Data Privacy Framework. Amerika Syarikat sebelum ini telah mengubah suai rejim dalamannya melalui Perintah Eksekutif 14086, yang mengehadkan skop perisikan isyarat kepada yang «perlu dan berkadar» — istilah yang biasa bagi pembaca Eropah, tetapi kurang biasa bagi amalan pentadbiran Amerika Syarikat — dan mewujudkan badan semakan yang dipanggil Data Protection Review Court (DPRC). Suruhanjaya menganggap bahawa pengubahsuaian ini memadai untuk memulihkan tahap perlindungan yang setara secara asasnya.

Organisasi noyb, yang diasaskan oleh Schrems, telah memfailkan aduan pada 7 September 2023 terhadap Keputusan baru tersebut. Argumennya adalah seperti yang dijangkakan: DPRC bukanlah mahkamah bebas dalam pengertian Artikel 47 Piagam; konsep «perlu dan berkadar» tidak menterjemahkan piawaian Eropah secara mekanikal; dan akhirnya, perlindungan yang bersandarkan kepada Perintah Eksekutif boleh dibatalkan oleh Perintah Eksekutif yang berikutnya. Penghakiman TJUE mengenai Keputusan baru — yang sudah dipanggil oleh ramai orang dengan nada pasrah sebagai Schrems III — dijangka dalam beberapa tahun akan datang. Keputusan tersebut tidak dapat dijangka. Struktur argumennya, dalam apa jua keadaan, amat menyerupai struktur tahun 2020.

Apa yang tidak didengari oleh PKS Eropah

Sementara dewan besar TJUE sedang berbincang, firma guaman bersaiz sederhana terus bertukar-tukar surat-menyurat dengan pelanggan mereka melalui Microsoft 365 yang dihoskan di wilayah Eropah tetapi dimiliki oleh syarikat Amerika Syarikat yang tertakluk kepada FISA 702. Klinik perubatan swasta menyelaraskan agenda melalui Google Workspace. Penasihat cukai menghantar borang yang ditandatangani melalui DocuSign. Pakar psikologi membuat invois daripada hamparan dalam Notion. Firma guaman buruh menyimpan fail dalam Dropbox. Dan hampir kesemuanya turut melayani pelanggan melalui WhatsApp. Semua ini boleh beroperasi di bawah naungan Keputusan Kecukupan 2023/1795 mengikut pembekal. Pada hari Keputusan itu terbatal dalam Schrems III, semua hubungan tersebut akan terdedah tanpa perlindungan dalam sekelip mata.

Persoalan ini bukanlah retorik semata-mata. Antara 2022 dan 2024, beberapa pihak berkuasa Eropah telah menyelesaikan fail terhadap pengawal data kerana menggunakan Google Analytics tanpa instrumen pemindahan yang sesuai, mengikut hujah literal TJUE walaupun sebelum Privacy Framework berkuat kuasa. Pihak berkuasa Perancis, CNIL, adalah yang pertama merasmikan kriteria tersebut pada 2022; pihak berkuasa Austria, Itali dan lain-lain menyusul tidak lama kemudian. Ketidakpatuhan, di bawah reka bentuk operasi semasa PKS Eropah, didokumenkan dalam masa nyata bagi sesiapa yang tahu melihatnya.

TIA sebagai instrumen, bukan sebagai ritual

Sebahagian besar TIA yang beredar di firma guaman Eropah adalah latihan formal jika dibaca dengan teliti. Ia menyenaraikan instrumen kontrak, menyatakan pensijilan pembekal, memetik jaminan teknikal, dan menandakan kotak. Sedikit yang bertanya secara serius sama ada perintah FISA 702 akan mewajibkan pembekal untuk menyerahkan data. Malah lebih sedikit yang bertanya apa yang akan berlaku kepada pemindahan tersebut di bawah semakan hipotetikal Privacy Framework. Artikel 5 RGPD memerlukan pengawal data untuk mampu menunjukkan pematuhan. TIA yang tidak dibuat secara serius tidak membuktikan apa-apa; apa yang dibuktikannya ialah keinginan untuk patuh di atas kertas sementara melakukan sebaliknya dalam amalan.

Versi jujur TIA bermula dengan soalan mudah: apakah yang akan berlaku jika esok perintah FISA 702 sampai kepada pembekal ini mengenai data khusus ini? Jika jawapan jujurnya ialah «ia perlu menyerahkannya tanpa memberitahu kami», klausa kontrak tidak menyelesaikan masalah. Apa yang menyelesaikannya, dalam kes-kes di mana soalan itu benar-benar penting, adalah tidak menyerahkan data ke tangan pembekal tersebut.

Perubahan politik sebagai risiko struktur

Terdapat lapisan tambahan, politik, yang wajar dinamakan tanpa dramatisasi. Keputusan Kecukupan 2023/1795 bersandarkan, akhirnya, kepada Perintah Eksekutif 14086, yang ditandatangani oleh Presiden Biden pada Oktober 2022. Perintah Eksekutif ditandatangani oleh seorang presiden dan boleh dibatalkan, diubah suai atau dikosongkan kandungannya oleh presiden seterusnya. Oleh itu, perlindungan data Eropah di Amerika Syarikat bergantung pada keputusan pentadbiran yang tidak dijamin oleh Kongres Amerika mahupun dilindungi oleh sistem undang-undang Amerika dengan keteguhan yang sama seperti perkara dalaman lain. Sejak Januari 2025 pentadbiran baru mentadbir Amerika Syarikat, dan persoalan mengenai kesinambungan praktikal EO 14086 telah berhenti menjadi hipotesis dan menjadi isu kontemporari. Sebarang senario di mana pihak pentadbiran memutuskan untuk menarik balik atau melemahkan Perintah tersebut akan menyebabkan Keputusan Eropah kehilangan asas di mana ia dibina.

Ini bukan argumen konspirasi. Ia adalah pembacaan tenang terhadap reka bentuk undang-undang. Rangka kerja perlindungan data transatlantik telah terbatal dua kali sebelum ini: Safe Harbor pada 2015 (penghakiman Schrems I), Privacy Shield pada 2020 (Schrems II). Yang ketiga bersandarkan pada asas yang lebih rapuh daripada dua pendahulunya. Syarikat Eropah yang mempertaruhkan pemprosesan datanya pada asas tersebut hari ini sedang membuat keputusan pengurusan risiko, bukan sekadar pematuhan peraturan.

Untuk pembaca profesional

Soalan operasi yang wajar ditanya sebelum memilih perkhidmatan awan untuk data profesional — dengan ketegasan yang akan dikemukakan oleh pemeriksa perlindungan data — adalah seperti berikut:

1. Di manakah data disimpan secara fizikal? Wilayah Eropah bukanlah jawapan yang mencukupi jika pengendalinya adalah dari Amerika Syarikat.
2. Siapakah yang mengendalikan perkhidmatan tersebut, di bawah bidang kuasa manakah ia diperbadankan, dan kepada arahan undang-undang manakah ia boleh tertakluk?
3. Apakah instrumen pemindahan yang digunakan: Keputusan Kecukupan 2023/1795, SCC dengan TIA, pengetepian Artikel 49 RGPD? Adakah pilihan tersebut boleh dipertahankan semasa pemeriksaan?
4. Jika Keputusan Kecukupan terbatal esok, apakah pelan operasi yang wujud untuk mengekalkan aktiviti?
5. Adakah terdapat alternatif Eropah atau hos sendiri untuk fungsi tersebut, dan berapakah kos sebenar untuk migrasi?

Tidak semua fungsi pejabat harian memerlukan jawapan yang sama. Hamparan untuk perakaunan dalaman mungkin tidak menimbulkan persoalan ke tahap ini. Fail jenayah pelanggan, sejarah perubatan, slip gaji pekerja, ya. Perkadaran adalah sah; inersia kolektif di mana PKS Eropah terus bergantung pada pembekal Amerika Syarikat untuk segalanya — termasuk perkara yang paling sensitif — adalah tidak wajar.

---

Schrems II menyambut ulang tahun keenam Julai ini. Penghakiman tersebut tidak mengubah tabiat harian kebanyakan syarikat Eropah. Namun, ia telah mengubah peta risiko yang dihadapi oleh syarikat-syarikat tersebut. Apabila keputusan pentadbiran Amerika Syarikat menghalang antara peraturan Eropah dan operasi sebenar PKS, sekurang-kurangnya wajar diketahui bahawa keputusan itu wujud, dan ia adalah rapuh. Kami yang telah memilih seni bina tanpa pengendali di tengah — benang yang merentasi Cuadernos Lacre — lebih suka tidak perlu menulis analisis sebegini setiap kali seorang Schrems memfailkan rayuan. Namun kami akan terus melakukannya.