Bruksela, 28 lutego – Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do ram ochrony danych UE-USA. EROD z zadowoleniem przyjmuje znaczne usprawnienia, takie jak wprowadzenie wymogów obejmujących zasadę konieczności i zasadę proporcjonalności w odniesieniu do gromadzenia danych przez służby wywiadowcze USA oraz nowy mechanizm dochodzenia roszczeń dla osób z UE, których dane dotyczą. Jednocześnie EROD wyraża obawy i zwraca się o wyjaśnienia w kilku kwestiach. Dotyczą one w szczególności niektórych praw osób, których dane dotyczą, dalszego przekazywania, zakresu odstępstw, tymczasowego masowego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu sądowego zaskarżenia. EROD ma nadzieję, że nie tylko wejście w życie, ale także przyjęcie decyzji będzie uzależnione od przyjęcia zaktualizowanych polityk i procedur w celu wdrożenia rozporządzenia wykonawczego nr 14086 przez wszystkie amerykańskie agencje wywiadowcze. EROD zaleca Komisji, aby dokonała oceny tych zaktualizowanych polityk i procedur i przedstawiła tę ocenę EROD.
Przewodnicząca EROD Andrea Jelinek powiedziała: „Wysoki stopień ochrony danych ma istotne znaczenie dla ochrony praw i wolności osób fizycznych w UE. Doceniamy znaczące ulepszenia wprowadzone do ram prawnych Stanów Zjednoczonych, a równocześnie zalecamy uwzględnienie wyrażonych uwag i przedstawienie wyjaśnień wymaganych w celu zapewnienia trwałości decyzji stwierdzającej odpowiedni stopień ochrony. Z tego samego powodu uważamy, że po pierwszym przeglądzie decyzji stwierdzającej odpowiedni stopień ochrony kolejne przeglądy powinny odbywać się co najmniej raz na trzy lata i zobowiązujemy się do pomocy przy ich przeprowadzaniu”.
Projekt decyzji w sprawie odpowiedniej ochrony danych, opublikowany przez Komisję Europejską 13 grudnia 2022 r., opiera się na ramach ochrony danych UE-USA, które mają zastąpić Tarczę Prywatności unieważnioną przez TSUE w wyroku w sprawie Schrems II. Kluczowym elementem ram ochrony danych UE-USA są zasady ram ochrony danych UE-USA, które zostały wydane przez Departament Handlu Stanów Zjednoczonych. Ramy ochrony danych UE-USA mają zastosowanie wyłącznie do amerykańskich organizacji, które dokonały samocertyfikacji. EROD przyjęła obecnie opinię w sprawie projektu decyzji, w której uwzględniła zarówno aspekty handlowe, jak i dostęp do danych i ich wykorzystanie przez amerykańskie organy publiczne.
Jeśli chodzi o aspekty handlowe, EROD z zadowoleniem przyjmuje szereg aktualizacji zasad ram ochrony danych UE-USA. Zauważa również, że niektóre zasady pozostały zasadniczo takie same jak w Tarczy Prywatności. W związku z tym nadal istnieją pewne obawy, na przykład jeśli chodzi o niektóre odstępstwa od prawa dostępu, brak podstawowych definicji, brak jasności co do stosowania zasad ram ochrony danych UE-USA do podmiotów przetwarzających, szeroki zakres odstępstwa od prawa dostępu do informacji publicznie dostępnych, a także brak szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji i profilowania. EROD ponadto powtarza, że dalsze przekazywanie nie może być czynnikiem podważającym stopień ochrony danych. W związku z tym EROD zwraca się do Komisji o doprecyzowanie, że zabezpieczenia nałożone przez pierwotnego odbiorcę danych na podmiot odbierający je w państwie trzecim muszą być skuteczne w świetle przepisów państw trzecich, zanim nastąpi dalsze przekazanie danych.
Ponadto EROD zwraca się do Komisji o wyjaśnienie zakresu odstępstw od obowiązku przestrzegania zasad ram ochrony danych UE-USA i podkreśla znaczenie sprawowania skutecznego nadzoru nad ich przestrzeganiem oraz ich egzekwowania. Aspekty te będą ściśle monitorowane przez EROD, wraz ze skutecznością środków sądowego zaskarżenia zapewnianych osobom z UE, których dane są przetwarzane z naruszeniem ram ochrony danych UE-USA.
Jeśli chodzi o dostęp instytucji rządowych do danych przekazywanych do USA, EROD odnotowuje istotne usprawnienia wprowadzone przez rozporządzenie wykonawcze nr 14086. Rozporządzenie wykonawcze wprowadza pojęcia konieczności i proporcjonalności gromadzenia danych przez służby wywiadowcze USA.
Ponadto nowy mechanizm dotyczący środków sądowego zaskarżenia stwarza prawa dla osób fizycznych z UE i podlega przeglądowi przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (Privacy and Civil Liberties Oversight Board, PCLOB). Rozporządzenie wykonawcze ustanawia również więcej zabezpieczeń, których celem jest zapewnienie niezależności Sądu ds. Przeglądu Ochrony Danych (Data Protection Review Court, DPRC) w porównaniu z poprzednim urzędem Rzecznika oraz wprowadza skuteczniejsze uprawnienia w zakresie zaradzania naruszeniom, w tym dodatkowe zabezpieczenia dla osób, których dane dotyczą.
EROD podkreśla, że konieczne jest ścisłe monitorowanie praktycznego stosowania nowo wprowadzonych zasad konieczności i proporcjonalności. Niezbędna jest również większa jasność co do tymczasowego masowego gromadzenia danych oraz dalszego zatrzymywania i rozpowszechniania danych gromadzonych masowo.
EROD wyraża również zaniepokojenie brakiem wymogu dotyczącego wydania przez niezależny organ uprzedniego zezwolenia na masowe gromadzenie danych na mocy rozporządzenia wykonawczego nr 12333, a także brakiem systematycznej niezależnej kontroli ex post przez sąd lub równoważny niezależny organ. W odniesieniu do uprzedniego niezależnego zezwolenia na nadzór prowadzony na podstawie sekcji 702 ustawy o kontroli wywiadu (FISA) EROD wyraża ubolewanie, że Trybunał FISA przy poświadczaniu programów zezwalających na ukierunkowanie działań na osoby spoza USA i nie sprawdza zgodności z rozporządzeniem wykonawczym nr 14086, mimo że organy wywiadowcze realizujące dany program są zobowiązane przestrzegać tego rozporządzenia. Szczególnie przydatne byłyby sprawozdania PCLOB dotyczące sposobu wdrożenia zabezpieczeń zawartych w rozporządzeniu wykonawczym nr 14086 oraz sposobu stosowania tych zabezpieczeń w przypadku gromadzenia danych na podstawie sekcji 702 FISA i rozporządzenia wykonawczego nr 12333. Jeśli chodzi o mechanizm sądowego zaskarżenia, EROD zauważa znaczenie przewidzianych dodatkowych zabezpieczeń, takich jak rola specjalnych rzeczników i przegląd mechanizmu sądowego zaskarżenia przez PCLOB. Jednocześnie EROD wyraża zaniepokojenie powszechnym stosowaniem przez Sąd ds. Przeglądu Ochrony Danych (DPRC) standardowej odpowiedzi, w której sąd powiadamia skarżącego, że albo nie stwierdzono żadnych naruszeń, albo wydano decyzję wymagającą podjęcia stosownych działań zaradczych. Jest to tym bardziej niepokojące, że od tej decyzji nie można się odwołać. EROD wzywa zatem Komisję do ścisłego monitorowania praktycznego funkcjonowania tego mechanizmu.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.