Tarcza Prywatności UE - USA

Komisja Europejska w dniu 12 lipca 2016 r. przyjęła porozumienie polityczne zawarte w dniu 2 lutego 2016 r. przez Komisję i rząd Stanów Zjednoczonych w sprawie nowych ram dotyczących transatlantyckich wymian danych osobowych w celach handlowych: Tarczy Prywatności UE-USA (IP/16/216). Porozumienie to było konieczne bowiem Trybunał Sprawiedliwości w wyroku z dnia 6 października 2015 r. stwierdził nieważność dotychczas stosowanych zasad tranferu danych do USA - programu „bezpieczna przystań” (ang. Safe Harbour). Nowe przepisy zapewniają ochronę praw podstawowych obywatelom UE, których dane osobowe są przekazywane do USA, jak również zapewniają przejrzystość prawa i jasne zasady przedsiębiorstwom, które dokonują transatlantyckich transferów danych.

Komisja Europejska w dniu 12 lipca 2016 r. przyjęła porozumienie polityczne zawarte w dniu 2 lutego 2016 r. przez Komisję i rząd Stanów Zjednoczonych w sprawie nowych ram dotyczących transatlantyckich wymian danych osobowych w celach handlowych: Tarczy Prywatności UE-USA (IP/16/216). Porozumienie to było konieczne bowiem Trybunał Sprawiedliwości w wyroku z dnia 6 października 2015 r. stwierdził nieważność dotychczas stosowanych zasad tranferu danych do USA - programu „bezpieczna przystań” (ang. Safe Harbour). Nowe przepisy zapewniają ochronę praw podstawowych obywatelom UE, których dane osobowe są przekazywane do USA, jak również zapewniają przejrzystość prawa i jasne zasady przedsiębiorstwom, które dokonują transatlantyckich transferów danych.

Jakie są główne zasady Tarczy Prywatności UE-USA?

Po pierwsze, kontrola.

Departament Handlu Stanów Zjednoczonych będzie regularnie aktualizował i kontrolował uczestniczące w programie przedsiębiorstwa tak aby w praktyce przestrzegane były w nich zasady, którym się podporządkowały. W przeciwnym razie przedsiębiorstwa te mogą spotkać się z sankcjam,i a nawet zostać usunięte z listy. Dodatkowo, zaostrzone zostały warunki tzw. wtórnego przekazywania danych, czyli przekazywania posiadanych już danych osobowych, osobom trzecim. Jest to możliwe jedynie w sytuacji gdy zostanie zapewnony taki sam poziom ochrony jak w przypadku przekazywania danych z przedsiębiorstw, które stosują zasady Tarczy Prywatności.

Po drugie, dostęp rządu USA do danych osobowych.

Ustalone zostały wyraźne zabezpieczenia i wymogi przejrzystości regulujące dostęp administracji rządowej USA do danych osobowych. Stany Zjednoczone zapewniły, że organy publiczne mają organiczony dostęp do danych, związany wyłącznie z egzekwowaniem prawa i kwestiami bezpieczeństwa narodowego, a dostęp ten podlega zabezpieczeniom oraz nadzorowi. USA wykluczyły możliwość stosowania „bezkrytycznej” masowej inwigilacji danych osobowych przekazywanych im na pocy porozumienia Tarczy Prywatności UE-USA. Natomist gromadzenie masowej ilości danych może następować wyłącznie w określonych warunkach (porozumienie zawiera szczegółowy wykaz istniejących zabezpieczeń w zakresie wykorzystywania danych w takich wyjątkowych okolicznościach) i wymaga możliwie najściślejszego ukierunkowania. Ponadto, w Departamencie Stanu został utworzony urząd Rzecznika za pośrednictwem którego Europejczycy, którzy uważają, że ich prawa zostały naruszone, będą mięli możliwość skorzystania ze środków odwoławczych wobec amerykańskich służb wywiadowczych.

Po trzecie, skuteczna ochrona praw osób fizycznych.

Każdy obywatel, który uważa, że jego dane osobowe zostały wykorzystane niezgodnie z zasadami systemu Tarczy Prywatności, będzie mógł skorzystać z kilku dostępnych i niedrogich sposobów rozstrzygania sporów. Przede wszystkim skargę obywatela rozpatrzy samo przedsiębiorstwo. Ponadto, bezpłatnie będzie można skorzystać z alternatywnych metod rozwiązywania sporów. Trzecią możliwością będzie zwrócenie się do krajowych organów ochrony danych, które wraz z Federalną Komisją Handlu, aby zagwarantować, że zbadają i rozpatrzą skargi europejskich obywateli. Jeżeli powyższe metody będą niewystarczające, w ostateczności będzie można zastosować mechanizm arbitrażu. Natomiast środkami odwoławczymi w zakresie bezpieczeństwa narodowego w przypadku obywateli UE będzie zajmował się niezależny Rzecznik.

Po czwarte, coroczny wspólny przegląd.

Mechanizm ten obejmie nadzór nad funkcjonowaniem zasad Tarczy Prywatności, w tym zobowiązań i zapewnień Stanów Zjednoczonych odnośnie dostępu do przekazywanych danych osobowych w celu egzekwowania prawa i zapewnienia bezpieczeństwa narodowego. Instytucjami odpowiedzialnymi za przegląd będą Komisja Europejska i Departament Handlu USA. Wsparcia udzielą rówież specjaliści z krajowych służb wywiadu z USA i europejskich organów ochrony danych. Komisja, korzystając także z innych źródeł informacji, sporządzi ogólnodostępne sprawozdanie dla Parlamentu Europejskiego i Rady. Komisja Europejska i rząd Stanów Zjednoczonych określiły też dalsze działania: „Decyzja w sprawie odpowiedniej ochrony danych osobowych” zostanie notyfikowana w dniu dzisiejszym państwom członkowskim, a co za tym idzie, wejdzie niezwłocznie w życie. Po stronie amerykańskiej ramy prawne Tarczy Prywatności zostaną opublikowane w rejestrze federalnym, stanowiącym odpowiednik naszego Dziennika Urzędowego. Departament Handlu Stanów Zjednoczonych rozpocznie obsługę Tarczy Prywatności. Po tym jak przedsiębiorstwa będą miały możliwość przeglądu ram prawnych i aktualizacji swoich procedur zgodności z nimi, począwszy od 1 sierpnia będą mogły wystąpić o certyfikat w Departamencie Handlu. Równocześnie Komisja opublikuje krótki przewodnik dla obywateli, wyjaśniający dostępne środki zaradcze w przypadku, gdy osoba fizyczna uzna, że jej dane osobowe zostały wykorzystane bez uwzględnienia zasady ochrony danych.

W trakcie prac nad Tarczą Prywatności Komisja uwzględniła opinie europejskich organów ochrony danych (Grupa Robocza Art. 29) i Europejskiego Inspektora Ochrony Danych, a także rezolucję Parlamentu Europejskiego, aby uwzględnić szereg dodatkowych uściśleń w porozumieniu. Dlatego też Komisja Europejska i USA uzgodniły dodatkowe zobowiązania w zakresie masowego gromadzenia danych, wzmocnienie funkcji Rzecznika oraz bardziej sprecyzowane zobowiązania przedsiębiorstw w odniesieniu do ograniczeń dotyczących przechowywania i dalszego przekazywania danych.

Pomimo powyższego Grupa Robocza Art. 29 wydała oświadczenie w zakresie Tarczy Prywatności, w którym zobowiązała się do wspierania osób, których dane dotyczą, w egzekwowaniu ich praw na podstawie „Tarczy Prywatności”, w szczególności w zakresie rozpatrywania skarg, udzielenia administratorom danych informacji o obowiązkacch wynikających z „Tarczy Prywatności”, zgłoszenia zastrzeżeń do przewodnika dla obywateli przygotowanego przez Komisję Europejską, a także zaproponowania zmian w zakresie kształtu przyszłego organu na poziomie UE oraz wspólnego przeglądu.

Ponadto Grupa wskazała, iż z zadowoleniem przyjeła zmiany przewidziane w ramach mechanizmu „Tarcza Prywatności” w porównaniu z decyzją dotyczącą „Bezpiecznej Przystani” (ang. Safe Harbour) i docenia uwzględnienie uwag Grupy w ostatecznej wersji dokumentów. Jednakże jednocześnie Grupa wyraziła swoje obawy dotyczących zarówno aspektów komercyjnych porozumienia, jak i dostępu władz publicznych USA do danych przesyłanych z terytorium Unii.

W odniesieniu do aspektów komercyjnych, Grupa Robocza zaznaczyła, że w porozumieniu brak jest skonkretyzowanych zasad dotyczących zautomatyzowanego przetwarzania danych oraz powszechnego prawa do sprzeciwu. Nie poruszono również w nim kwiestii, w jaki sposób „Tarcza Prywatności” ma mieć zastosowanie do podmiotów przetwarzających (procesorów).

Natomiast  odnośnie dostępu władz publicznych do danych przekazywanych z Unii do USA na podstawie „Tarczy Prywatności”, Grupa Robocza podkreśliła, że oczekiwała dalej idących gwarancji dotyczących niezależności i uprawnień Rzecznika.

Ponadto, pomimo zobowiązania USA do nieprowadzenia masowego gromadzenia danych osobowych brak konkretnych gwarancji, że taka praktyka nie ma miejsca.

Grupa Robocza Art. 29 wyraźnie wskazała, że kluczowym momentem będzie pierwszy wspólny roczny przegląd, który określi solidność i efektywność mechanizmu „Tarczy Prywatności”. Dlatego też w ocenie Grupy kompetencje organów ochrony danych osobowych UE w toku przeglądu powinny być jasno sprecyzowane, a wszyscy członkowie zespołu ds. przeglądu, w tym przedstawiciele Grupy, powinni mieć możliwość bezpośredniego dostępu do informacji niezbędnych do prowadzenia tego przeglądu, aby ocenić czy pozostałe kwestie zostały rozwiązane, ale także, czy ochrona zapewniona na podstawie „Tarczy Prywatności” jest efektywna i realna. Ponadto wyniki mogą mieć również wpływ na instrumenty służące do przesyłania danych, takie jak - Wiążące Reguły Korporacyjne i Standardowe Klauzule Umowne.

Niepokojącym sygnałem dla trwałości porozumienia „Tarcza Prywatności” jest zapowiedź niemieckiego ogranu nadzorczego, iż zakwestionuje je przez rybunałem Sprawiedliwości UE.

Marta Marciniak

Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, kierunek – prawo, i doktorantka Wydziału Prawa i Administracji Uniwersytetu Śląskiego. Doświadczenie zawodowe zdobywała w renomowanych kancelariach prawnych w Warszawie. W latach 2014 – 2015 była pracownikiem Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Aktualnie świadczy obsługę w zakresie ochrony danych osobowych, zarówno jako specjalista ds. ochrony danych osobowych – oferując wsparcie merytoryczne, jak i Administrator Bezpieczeństwa Informacji w kilku podmiotach gospodarczych.