Bruksela, 5 listopada – Podczas ostatniej sesji plenarnej Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie z pierwszego przeglądu* ram ochrony danych UE–USA, a także oświadczenie w sprawie zaleceń grupy wysokiego szczebla** dotyczących dostępu do danych w celu skutecznego egzekwowania prawa.
EROD z zadowoleniem przyjmuje wysiłki władz USA i Komisji Europejskiej na rzecz wdrożenia DPF i odnotowuje szereg zmian, które miały miejsce od czasu przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony w lipcu 2023 r.
W odniesieniu do aspektów handlowych, tj. stosowania i egzekwowania wymogów mających zastosowanie do przedsiębiorstw samocertyfikowanych na podstawie tych ram, EROD zauważa, że Departament Handlu USA podjął wszystkie odpowiednie kroki w celu wdrożenia procesu certyfikacji. Obejmuje to opracowanie nowej strony internetowej, aktualizację procedur, współpracę z przedsiębiorstwami i prowadzenie działań uświadamiających.
Ponadto wdrożono mechanizm dochodzenia roszczeń przez osoby fizyczne z UE oraz opublikowano kompleksowe wytyczne dotyczące rozpatrywania skarg po obu stronach Atlantyku. Niewielka liczba skarg otrzymanych dotychczas na podstawie DPF uwypukla jednak znaczenie rozpoczęcia przez organy amerykańskie działań monitorujących dotyczących przestrzegania przez przedsiębiorstwa certyfikowane w ramach DPF istotnych zasad DPF.
EROD zachęca organy USA do opracowania wytycznych wyjaśniających wymogi, które przedsiębiorstwa certyfikowane w ramach DPF musiałyby spełnić przy przekazywaniu danych osobowych otrzymanych od eksporterów z UE. Mile widziane byłyby również wytyczne władz USA dotyczące danych dotyczących zasobów ludzkich. EROD wyraża gotowość do przekazywania informacji zwrotnych na temat tych wytycznych.
Jeżeli chodzi o dostęp organów publicznych USA do danych osobowych przekazywanych z UE certyfikowanym organizacjom, EROD skoncentrowała się na skutecznym wdrożeniu zabezpieczeń wprowadzonych dekretem nr 14086 do ram prawnych USA, takich jak zasady konieczności i proporcjonalności oraz nowy mechanizm dochodzenia roszczeń. Rada uważa, że istnieją elementy mechanizmu dochodzenia roszczeń; jednocześnie ponawia apel do Komisji Europejskiej o monitorowanie praktycznego funkcjonowania różnych zabezpieczeń, np. wdrażania zasad konieczności i proporcjonalności. EROD zaleca również, aby Komisja monitorowała przyszłe zmiany związane z amerykańską ustawą o kontroli wywiadu, w szczególności biorąc pod uwagę rozszerzony zasięg sekcji 702 po jej ponownym zatwierdzeniu przez Kongres USA na początku tego roku.
Wiceprzewodniczący EROD Zdravko Vukić powiedział: „Cieszymysię, że od czasu przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony poczyniono postępy dzięki owocnej współpracy między władzami USA, Komisją Europejską i EROD. Jednocześnie nadal istnieje pole do poprawy i powinniśmy kontynuować współpracę na rzecz utrzymania wysokiego poziomu ochrony danych oraz ochrony praw i wolności osób fizycznych w UE.
Ponadto Rada zaleca, aby kolejny przegląd decyzji stwierdzającej odpowiedni stopień ochrony między UE a USA odbył się w ciągu trzech lat lub krócej.
W oświadczeniu w sprawie zaleceń grupy wysokiego szczebla ds. dostępu do danych w celu skutecznego egzekwowania prawa podkreślono, że należy chronić prawa podstawowe, gdy organy ścigania mają dostęp do danych osobowych osób fizycznych. Chociaż EROD popiera cel, jakim jest skuteczne egzekwowanie prawa, zwraca uwagę, że niektóre zalecenia grupy wysokiego szczebla mogą powodować poważną ingerencję w prawa podstawowe, w szczególności w poszanowanie prywatności i życia rodzinnego.
EROD z zadowoleniem odnotowuje, że zalecenie może prowadzić do ustanowienia równych warunków działania w zakresie zatrzymywania danych, uważa jednak, że szeroki i ogólny obowiązek zatrzymywania danych w formie elektronicznej przez wszystkich dostawców usług spowodowałby znaczną ingerencję w prawa osób fizycznych. W związku z tym EROD kwestionuje, czy spełniałoby to wymogi konieczności i proporcjonalności określone w Karcie praw podstawowych Unii Europejskiej i orzecznictwie TSUE.
W swoim oświadczeniu EROD podkreśla również, że zalecenia dotyczące szyfrowania nie powinny uniemożliwiać jego stosowania ani osłabiać skuteczności zapewnianej przez niego ochrony. Na przykład wprowadzenie procesu po stronie klienta umożliwiającego zdalny dostęp do danych przed ich zaszyfrowaniem i wysłaniem na kanał komunikacyjny lub po ich odszyfrowaniu u odbiorcy w praktyce osłabiłoby szyfrowanie. Zachowanie ochrony i skuteczności szyfrowania jest ważne, aby uniknąć negatywnego wpływu na poszanowanie życia prywatnego i poufności oraz zapewnić ochronę wolności wypowiedzi i wzrostu gospodarczego, które zależą od wiarygodnych technologii.
Uwaga dla redaktorów
* Zgodnie z art. 3 decyzji stwierdzającej odpowiedni stopień ochrony między UE a USA Komisja Europejska jest zobowiązana do dokonania przeglądu decyzji stwierdzającej odpowiedni stopień ochrony rok po jej przyjęciu. Spotkanie przeglądowe odbyło się w Waszyngtonie w dniach 18–19 lipca 2024 r., a Komisji Europejskiej towarzyszyło pięciu przedstawicieli EROD.
** Grupa wysokiego szczebla została powołana przez Komisję Europejską w czerwcu 2023 r., a współprzewodniczą jej Komisja UE i rotacyjna prezydencja Rady. Została ona uruchomiona w celu zbadania wyzwań, przed którymi stoją praktycy organów ścigania w związku z dostępem do danych, oraz zaproponowania rozwiązań i zaleceń.
W czerwcu 2024 r. grupa wysokiego szczebla opublikowała 42 zalecenia dotyczące dalszego rozwoju polityki i prawodawstwa UE, uporządkowane jako „środki budowania zdolności”, „współpraca z przemysłem i normalizacja” oraz „środki ustawodawcze”. Zalecenia obejmują w szczególności szyfrowanie, współpracę z branżą, a także między organami ścigania, oraz potrzebę zharmonizowanych przepisów dotyczących zatrzymywania danych.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.