76. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 28.02.2023 r.
Podczas 76. posiedzenia plenarnego, 28 lutego 2023 roku Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do ram ochrony danych UE-USA (dalej: „ramy ochrony danych UE-USA”).
EROD pozytywnie zaopiniowała a takie usprawnienia, jak wprowadzenie wymogów obejmujących zasady konieczności i proporcjonalności gromadzenia danych przez służby wywiadowcze USA oraz nowy mechanizm dotyczący sądowych środków zaskarżenia dla osób w UE, których dane dotyczą. Jednocześnie EROD zgłosiła pewne zastrzeżenia zwróciła się o wyjaśnienia w kilku kwestiach. Dotyczą one w szczególności niektórych praw osób, których dane dotyczą, dalszego przekazywania, zakresu wyłączeń, tymczasowego zbiorczego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu sądowego zaskarżenia. EROD zaproponowała, aby nie tylko wejście w życie, ale także przyjęcie decyzji było uzależnione od wdrożenia zaktualizowanych polityk i procedur w celu implementacji rozporządzenia wykonawczego nr 14086 przez wszystkie amerykańskie agencje wywiadowcze. EROD zarekomendowała Komisji dokonanie oceny zaktualizowanych polityk i procedur oraz przedstawienie tej oceny EROD.
Andrea Jelinek, Przewodnicząca EROD, powiedziała: „Wysoki stopień ochrony danych ma zasadnicze znaczenie dla ochrony praw i wolności osób fizycznych w UE. Chociaż przyznajemy, że ulepszenia wprowadzone do amerykańskich ram prawnych są znaczące, zalecamy uwzględnienie wyrażonych uwag i przedstawienie wyjaśnień wymaganych w celu zapewnienia trwałości decyzji stwierdzającej odpowiedni stopień ochrony. Z tego samego powodu uważamy, że po pierwszym przeglądzie decyzji stwierdzającej odpowiedni stopień ochrony, kolejne przeglądy powinny odbywać się co najmniej raz na trzy lata i zobowiązujemy się do pomocy przy ich przeprowadzaniu”.
Projekt decyzji stwierdzającej odpowiedni stopień ochrony, opublikowany przez Komisję Europejską w dniu 13 grudnia 2022 r. został wydany w oparciu o ramy ochrony danych UE-USA, które mają zastąpić Tarczę Prywatności, unieważnioną przez TSUE w wyroku w sprawie Schrems II. Kluczowym elementem ram ochrony danych są zasady ochrony danych UE-USA wydane przez Departament Handlu Stanów Zjednoczonych. Ww. ramy mają zastosowanie tylko do amerykańskich organizacji, które dokonały samocertyfikacji. EROD przyjęła opinię w sprawie projektu decyzji, która uwzględnia zarówno aspekty handlowe, jak i dostęp do danych oraz ich wykorzystanie przez amerykańskie organy publiczne.
Jeśli chodzi o aspekty handlowe, EROD z zadowoleniem przyjęła szereg aktualizacji zasad ram ochrony danych. Zauważyła również, że niektóre zasady pozostają zasadniczo takie same jak w Tarczy Prywatności. W związku z tym nadal istnieją pewne obawy dotyczące na przykład niektórych odstępstw od prawa dostępu, braku kluczowych definicji, braku jasności, co do stosowania zasad tych ram do podmiotów przetwarzających, szerokiego odstępstwa od prawa dostępu do informacji publicznie dostępnych oraz braku szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji i profilowania. EROD ponownie podkreśliła, że stopień ochrony nie może być podważany przez dalsze przekazywanie danych. W związku z tym zwróciła się do Komisji o wyjaśnienie, że zabezpieczenia nałożone przez pierwotnego odbiorcę na podmiot odbierający w państwie trzecim muszą być skuteczne w świetle przepisów państw trzecich przed dalszym przekazaniem.
Ponadto EROD zwróciła się do Komisji o wyjaśnienie zakresu odstępstw od obowiązku przestrzegania zasad ram ochrony danych i podkreśliła znaczenie sprawowania skutecznego nadzoru nad ich przestrzeganiem oraz ich egzekwowania. Powyższe aspekty, a także skuteczność sposobów sądowego zaskarżenia zapewnianych podmiotom danych w UE, których dane są przetwarzane z naruszeniem ram ochrony danych będą ściśle monitorowane przez EROD.
W kwestiach związanych z dostępem instytucji rządowych do danych przekazywanych do USA, EROD zauważyła istotne usprawnienia wprowadzone przez rozporządzenie wykonawcze nr 14086. Rozporządzenie to wprowadza pojęcia konieczności i proporcjonalności w odniesieniu do gromadzenia danych przez służby wywiadowcze USA.
Ponadto nowy mechanizm dotyczący sądowych środków zaskarżenia stwarza prawa dla osób fizycznych w UE i podlega weryfikacji przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (Privacy and Civil Liberties Oversight Board, dalej: „PCLOB”). Rozporządzenie ustanawia również więcej zabezpieczeń, których celem jest zapewnienie niezależności Sądu ds. Przeglądu Ochrony Danych (Data Protection Review Court, dalej: „DPRC”). Powyższy mechanizm wprowadza skuteczniejsze uprawnienia w zakresie zaradzania naruszeniom, w tym dodatkowe zabezpieczenia dla osób, których dane dotyczą.
EROD podkreśliła, że konieczne jest ścisłe monitorowanie praktycznego stosowania nowo wprowadzonych zasad konieczności i proporcjonalności. Niezbędna jest również większa przejrzystość w odniesieniu do tymczasowego masowego gromadzenia oraz dalszego zatrzymywania i rozpowszechniania gromadzonych danych.
EROD wyraziła również zaniepokojenie brakiem wymogu wydania uprzedniego zezwolenia niezależnego organu na masowe gromadzenie danych na mocy rozporządzenia nr 12333, a także brakiem systematycznej niezależnej kontroli ex post przez sąd lub równoważny niezależny organ. Jeżeli chodzi o uprzednie, niezależne zezwolenie na nadzór na mocy sekcji 702 FISA, EROD wyraziła obawę, że Trybunał FISA nie dokonuje kontroli przestrzegania rozporządzenia wykonawczego nr 14086 przy poświadczaniu programów zezwalających na ukierunkowanie działań na osoby spoza USA, mimo że organy wywiadowcze realizujące program są nim związane. Szczególnie przydatne byłyby sprawozdania PCLOB dotyczące sposobu wdrożenia zabezpieczeń rozporządzenia wykonawczego nr 14086 oraz sposobu stosowania tych zabezpieczeń w przypadku gromadzenia danych na mocy sekcji 702 FISA i rozporządzenia wykonawczego nr 12333. Jeżeli chodzi o środki sądowego zaskarżenia, EROD dostrzegła ważną rolę dodatkowych zabezpieczeń: roli specjalnych rzeczników oraz przeglądu mechanizmu odwoławczego przez PCLOB.
Jednocześnie EROD jest zaniepokojona powszechnym stosowaniem standardowej odpowiedzi DPRC, powiadamiającej skarżącego, że nie stwierdzono naruszeń objętych skargą lub wydano decyzję wymagającą odpowiednich środków naprawczych, szczególnie biorąc pod uwagę fakt, że od tej decyzji nie można się odwołać. EROD wezwała zatem Komisję do ścisłego monitorowania praktycznego funkcjonowania tego mechanizmu.