98. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 04.11.2024 r.

EROD przyjęła pierwsze sprawozdanie dotyczące ram ochrony danych UE-USA i oświadczenie w sprawie zaleceń dotyczących dostępu do danych dla egzekwowania prawa.

4 listopada 2024 r., podczas 98. posiedzenia plenarnego Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie z pierwszego przeglądu* ram ochrony danych UE-USA (DPF), a także oświadczenie w sprawie zaleceń grupy wysokiego szczebla (HLG)** w sprawie dostępu do danych w celu skutecznego egzekwowania prawa.

EROD z zadowoleniem przyjmuje wysiłki władz USA i Komisji Europejskiej na rzecz wdrożenia DPF i odnotowuje kilka wydarzeń, które miały miejsce od czasu przyjęcia decyzji KE o zapewnieniu odpowiedniego poziomu ochrony przez Ramy ochrony danych UE-USA w lipcu 2023 r.

W odniesieniu do aspektów handlowych, tj. stosowania i egzekwowania wymogów mających zastosowanie do przedsiębiorstw samocertyfikowanych na podstawie tych ram, EROD zauważa, że Departament Handlu USA podjął wszystkie odpowiednie kroki w celu wdrożenia procesu certyfikacji. Obejmuje to opracowanie nowej strony internetowej, aktualizację procedur, współpracę z przedsiębiorstwami i prowadzenie działań uświadamiających.

Ponadto wdrożono mechanizm dochodzenia roszczeń dla osób fizycznych z UE, a po obu stronach Atlantyku opublikowano kompleksowe wytyczne dotyczące rozpatrywania skarg. Niemniej jednak niska liczba skarg otrzymanych do tej pory w ramach DPF podkreśla znaczenie zainicjowania przez władze USA działań monitorujących zgodność przedsiębiorstw certyfikowanych, w ramach DPF, z istotnymi zasadami DPF.

EROD zachęca władze USA do opracowania wytycznych, wyjaśniających wymogi, które przedsiębiorstwa certyfikowane w ramach DPF musiałyby spełnić, przekazując dane osobowe otrzymane od podmiotów przetwarzających z UE. Pożądane byłyby również wytyczne władz USA odnoszące się do dotyczących zasobów ludzkich. EROD wyraża gotowość do przekazania informacji zwrotnych na temat tych wytycznych.

Jeśli chodzi o dostęp amerykańskich organów publicznych do danych osobowych przekazywanych z UE do certyfikowanych organizacji, EROD skupiła się na skutecznym wdrożeniu zabezpieczeń wprowadzonych rozporządzeniem wykonawczym nr 14086 w amerykańskim porządku prawnym takich jak zasady konieczności i proporcjonalności oraz nowy mechanizm dochodzenia roszczeń. EROD uważa, że elementy mechanizmu dochodzenia roszczeń są już wdrożone; jednocześnie ponawia apel do Komisji Europejskiej o monitorowanie praktycznego funkcjonowania różnych zabezpieczeń, np. wdrażania zasad konieczności i proporcjonalności. EROD zaleca również, aby Komisja monitorowała przyszłe wydarzenia związane z amerykańską ustawą o kontroli wywiadu zagranicznego , w szczególności biorąc pod uwagę rozszerzony zasięg sekcji 702 po jej ponownym zatwierdzeniu przez Kongres USA na początku tego roku.

Wiceprzewodniczący EROD Zdravko Vukić powiedział: "Cieszymy się, że poczyniono postępy od czasu przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony, dzięki owocnej współpracy między władzami USA, Komisją UE i EROD. Jednocześnie nadal istnieje przestrzeń do poprawy i powinniśmy kontynuować współpracę w celu utrzymania wysokiego stopnia ochrony danych oraz ochrony praw i wolności osób fizycznych w UE”.

Wreszcie EROD zaleca, aby kolejny przegląd decyzji stwierdzającej odpowiedni stopień ochrony UE-USA w sprawie odpowiedniego poziomu ochrony miał miejsce w ciągu trzech lat lub wcześniej.

W oświadczeniu w sprawie zaleceń grupy wysokiego szczebla dotyczących dostępu do danych w celu skutecznego egzekwowania prawa podkreślono, że prawa podstawowe muszą być chronione, gdy organy ścigania uzyskują dostęp do danych osobowych osób fizycznych. Chociaż EROD popiera cel, jakim jest skuteczne egzekwowanie prawa, jednocześnie zwraca uwagę, że niektóre z zaleceń grupy wysokiego szczebla mogą spowodować poważną ingerencję w prawa podstawowe, w szczególności w poszanowanie prywatności i życia rodzinnego.

Chociaż EROD z zadowoleniem odnotowuje, że zalecenie może prowadzić do ustanowienia równych warunków działania w zakresie przechowywania danych, równocześnie uważa, że szeroki i ogólny obowiązek przechowywania danych w formie elektronicznej przez wszystkich usługodawców spowodowałby znaczną ingerencję w prawa osób fizycznych. W związku z tym EROD kwestionuje, czy takie rozwiązanie spełniałoby to wymogi konieczności i proporcjonalności określone w Karcie praw podstawowych UE i orzecznictwie TSUE.

W swoim oświadczeniu EROD podkreśla również, że zalecenia dotyczące szyfrowania nie powinny uniemożliwiać jego stosowania ani osłabiać skuteczności zapewnianej przez nie ochrony. Na przykład wprowadzenie procesu po stronie klienta umożliwiającego zdalny dostęp do danych przed ich zaszyfrowaniem i wysłaniem kanałem komunikacyjnym lub po ich odszyfrowaniu u odbiorcy w praktyce osłabiłoby szyfrowanie. Zachowanie ochrony i skuteczności szyfrowania jest ważne, aby uniknąć negatywnego wpływu na poszanowanie życia prywatnego i poufności oraz zapewnić ochronę wolności wypowiedzi i wzrostu gospodarczego, które zależą od godnych zaufania technologii.

* Zgodnie z art. 3 decyzji KE o zapewnieniu odpowiedniego poziomu ochrony przez Ramy ochrony danych UE-USA. Spotkanie przeglądowe odbyło się w Waszyngtonie 18-19 lipca 2024 r., a Komisji Europejskiej towarzyszyło pięciu przedstawicieli EROD.

** Grupa wysokiego szczebla została zainicjowana przez Komisję Europejską w czerwcu 2023 r. i jest współprzewodniczą jej  Komisja Europejska i rotacyjna prezydencja Rady. Została utworzona w celu zbadania wyzwań stojących przed praktykami w dziedzinie egzekwowania prawa w związku z dostępem do danych oraz zaproponowania rozwiązań i zaleceń.

W czerwcu 2024 r. grupa wysokiego szczebla opublikowała 42 zalecenia dotyczące dalszego rozwoju polityki i prawodawstwa UE, podzielone na „środki budowania zdolności”, „współpracę z branżą i standaryzację” oraz „środki legislacyjne”. Zalecenia obejmują w szczególności szyfrowanie, współpracę z przemysłem, a także między organami ścigania oraz potrzebę zharmonizowanych przepisów dotyczących przechowywania danych.