2023-07-12
wydarzenia
Ochrona danych: Komisja Europejska przyjmuje nową decyzję stwierdzającą adekwatność ochrony w odniesieniu do bezpiecznego i zaufanego przepływu danych między UE a USA
Komisja Europejska przyjęła decyzję stwierdzającą adekwatność ochrony w odniesieniu do ram ochrony danych UE–USA.
W decyzji stwierdza się, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony – porównywalny z poziomem Unii Europejskiej – w odniesieniu do danych osobowych przekazywanych z UE amerykańskim firmom na podstawie nowych ram. Na podstawie nowej decyzji stwierdzającej adekwatność ochrony dane osobowe mogą bezpiecznie przepływać z UE do amerykańskich firm, które uczestniczą w tych ramach, i nie jest konieczne wprowadzanie dodatkowych zabezpieczeń w zakresie ochrony danych.
Ramy ochrony danych UE–USA wprowadzają nowe wiążące zabezpieczenia, które umożliwiają rozwiązanie wszystkich problemów zgłoszonych przez Trybunał Sprawiedliwości Unii Europejskiej. Chodzi m.in. o ograniczenie dostępu amerykańskich służb wywiadowczych do danych z UE do tego, co jest niezbędne i proporcjonalne, oraz ustanowienie sądu odwoławczego zajmującego się kwestiami ochrony danych (DPRC), do którego osoby fizyczne z UE będą miały dostęp. Nowe ramy wprowadzają znaczne usprawnienia w porównaniu z mechanizmem istniejącym w ramach Tarczy Prywatności. Na przykład jeżeli DPRC stwierdzi, że dane zostały zgromadzone z naruszeniem nowych zabezpieczeń, będzie mógł nakazać usunięcie danych. Nowe zabezpieczenia w dziedzinie dostępu rządu do danych zostaną uzupełnione obowiązkami, które będą musiały spełnić amerykańskie firmy importujące dane z UE.
Przewodnicząca Ursula von der Leyen powiedziała: Nowe ramy ochrony danych UE–USA zapewnią Europejczykom bezpieczny przepływ danych i dadzą pewność prawa dla przedsiębiorstw po obu stronach Atlantyku. W następstwie porozumienia co do zasady, które osiągnęłam w zeszłym roku z prezydentem Bidenem, Stany Zjednoczone wdrożyły bezprecedensowe zobowiązania umożliwiające ustanowienie nowych ram. Dziś podejmujemy ważny krok, by zbudować zaufanie obywateli do tego, że ich dane są bezpieczne, by pogłębić nasze więzi gospodarcze z USA, a jednocześnie potwierdzić wspólne wartości. To pokazuje, że dzięki współpracy możemy rozwiązywać najbardziej złożone kwestie.
Amerykańskie firmy mogą uczestniczyć w ramach ochrony danych UE–USA, zobowiązując się do przestrzegania szczegółowego zestawu obowiązków w zakresie ochrony danych. Chodzi tu na przykład o obowiązek usunięcia danych osobowych, gdy nie jest są one już konieczne do celu, w jakim zostały zgromadzone, oraz obowiązek zapewnienia ciągłości ochrony, gdy dane osobowe są udostępniane stronom trzecim.
Osoby fizyczne z UE skorzystają z kilku możliwości dochodzenia roszczeń w przypadku niewłaściwego przetwarzania ich danych przez amerykańskie firmy. Możliwości te obejmują nieodpłatne i niezależne mechanizmy rozstrzygania sporów oraz organ arbitrażowy.
Ponadto ramy prawne USA przewidują szereg zabezpieczeń dotyczących dostępu amerykańskich organów publicznych do danych przekazywanych na podstawie tych ram, zwłaszcza do celów ścigania przestępstw i ochrony bezpieczeństwa narodowego. Dostęp do danych jest ograniczony do tego, co jest niezbędne i proporcjonalne do ochrony bezpieczeństwa narodowego.
Osoby fizyczne z UE będą miały dostęp do niezależnego i bezstronnego mechanizmu dochodzenia roszczeń w związku z gromadzeniem i wykorzystywaniem ich danych przez amerykańskie agencje wywiadowcze. Mechanizm ten będzie obejmował również nowo utworzony sąd odwoławczy zajmujący się kwestiami ochrony danych (DPRC). Sąd ten będzie niezależnie badać i rozstrzygać skargi, w tym poprzez przyjmowanie wiążących środków naprawczych.
Zabezpieczenia wprowadzone przez USA ułatwią ponadto ogólnie transatlantycki przepływ danych, ponieważ będą miały zastosowanie również do transferu danych przy użyciu innych instrumentów, np. takich jak standardowe klauzule umowne i wiążące reguły korporacyjne.
Dalsze działania
Funkcjonowanie ram ochrony danych UE–USA będzie podlegać okresowym przeglądom przeprowadzanym przez Komisję Europejską we współpracy z przedstawicielami europejskich organów ochrony danych i właściwych organów USA.
Pierwszy przegląd zostanie przeprowadzony w ciągu roku od wejścia w życie decyzji stwierdzającej odpowiedni stopień ochrony w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone do amerykańskich ram prawnych i czy funkcjonują one skutecznie w praktyce.
Kontekst
Art. 45 ust. 3 rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) przyznaje Komisji uprawnienia do decydowania, w drodze aktu wykonawczego, czy państwo niebędące członkiem UE zapewnia „odpowiedni stopień ochrony”, tj. poziom ochrony danych osobowych zasadniczo odpowiadający stopniowi ochrony w UE. Skutkiem decyzji stwierdzających odpowiedni stopień ochrony jest to, że dane osobowe z UE (oraz Norwegii, Liechtensteinu i Islandii) mogą swobodnie przepływać do państwa trzeciego bez dalszych przeszkód.
Po tym jak Trybunał Sprawiedliwości Unii Europejskiej unieważnił poprzednią decyzję stwierdzającą odpowiedni stopień ochrony w ramach Tarczy Prywatności UE–USA, Komisja Europejska i rząd USA podjęły rozmowy na temat nowych ram, odnosząc się do kwestii poruszonych przez Trybunał.
W marcu 2022 r. przewodnicząca Ursula von der Leyen i prezydent Joe Biden oznajmili, że w następstwie negocjacji między komisarzem Didier Reyndersem a amerykańską sekretarz ds. handlu Giną Raimondo osiągnęli porozumienie co do zasady dotyczące nowych transatlantyckich ram przepływów danych. W październiku 2022 r. prezydent Biden podpisał dekret w sprawie wzmocnienia zabezpieczeń na potrzeby amerykańskiego rozpoznania radioelektronicznego, który został uzupełniony rozporządzeniami prokuratora generalnego USA Merricka Garlanda. Za pomocą tych dwóch instrumentów wdrożono do prawa USA zobowiązania podjęte przez Stany Zjednoczone w ramach porozumienia co do zasady i uzupełniono obowiązki amerykańskich firm wynikające z ram ochrony danych UE–USA.
Zasadniczym elementem ram prawnych USA dotyczących tych zabezpieczeń jest dekret Prezydenta Stanów Zjednoczonych w sprawie wzmocnienia zabezpieczeń na potrzeby amerykańskiego rozpoznania radioelektronicznego, w którym uwzględniono obawy wyrażone przez Trybunał Sprawiedliwości Unii Europejskiej w orzeczeniu w sprawie Schrems II z lipca 2020 r.
Ramami zarządza i monitoruje je Departament Handlu USA. Federalna Komisja Handlu USA będzie egzekwować przestrzeganie przepisów przez amerykańskie firmy.