17 marca br. Kongresowa Służba Badawcza (Congressional Research Service) opublikowała raport przedstawiający możliwe dalsze działania po stronie amerykańskiej po wydaniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) głośnego wyroku w sprawie Schrems II. Dokument może szczególnie zainteresować przedsiębiorców, którzy przekazują dane osobowe na linii UE – USA.
Kongresowa Służba Badawcza jest organem władzy ustawodawczej związanym z Kongresem Stanów Zjednoczonych, zajmującym się kwestiami porządku publicznego. Podejmuje działania głównie dla członków kongresu, ich komitetów i personelu.
Wyrok TSUE
Przypomnijmy, że w lipcu ubiegłego roku TSUE zakwestionował tzw. Tarczę Prywatności (Privacy Shield) jako podstawę do transferu danych osobowych z UE do USA. Orzeczenie w tej sprawie wprowadziło duże zamieszanie, bowiem od dnia publikacji wyroku Tarcza Prywatności nie może bowiem de facto stanowić podstawy prawnej do przekazywania danych osobowych do USA. Warto zauważyć, że na dzień wydania wyroku przez TSUE z Tarczy Prywatności korzystało niemal 5400 podmiotów, zarówno z sektora prywatnego, jak i publicznego (pełna lista podmiotów jest dostępna pod adresem https://www.privacyshield.gov/list). Transatlantyckie przepływy danych są integralną częścią stosunków gospodarczych między USA i Europą, których wartość szacowana jest na 5,5 biliona dolarów (4,62 biliona euro).
Różne scenariusze
Kongresowa Służba Badawcza przedstawiła w swoim raporcie działania, które mogą zostać podjęte przez władze USA w związku z wyrokiem Schrems II. Organ przedstawił swoją analizę na trzech płaszczyznach, tj.:
- działanie wykonawcze – w ocenie twórcy raportu, prezydent USA może wydać zarządzenie wykonawcze ograniczające zbiorcze gromadzenie danych wywiadowczych i zapewniające dodatkowe mechanizmy odwoławcze, takie jak urząd wykonawczy lub trybunał uprawniony do rozpatrywania skarg i wydawania wiążących decyzji w sprawie środowiska wywiadowczego;
- dyplomacja – organ zwrócił uwagę, że urzędnicy z USA i UE mogą podjąć próbę wypracowania odpowiednich rozwiązań na poziomie dyplomatycznym. Mogłyby one zmierzać – przykładowo – do wypracowania nowych ram prawnych, zastępujących dotychczasową Tarczę Prywatności;
- ustawodawstwo – autorzy raportu wskazali, że Kongres USA może wprowadzić stosowną ustawę, której celem będzie zmiana tzw. ustawy o kontroli wywiadu (Foreign Intelligence Surveillance Act). Nowe przepisy zmierzać by miały do wprowadzenia zakazu zbiorowego gromadzenia danych wywiadowczych oraz wymogu uzyskania zgody sądu w każdym przypadku prowadzenia działań wywiadowczych względem konkretnych osób. W ocenie organu, znowelizowane ustawodawstwo mogłoby również gwarantować prawo do skutecznego egzekwowania swoich praw (np. skarga do właściwego organu).
Kompleksowe przepisy jako rozwiązanie problemu
Kongresowa Służba Badawcza zwróciła uwagę na pojawiające się komentarze, że przyjęcie przez USA kompleksowego prawa o ochronie danych osobowych mogłoby ułatwić m.in. podmiotom komercyjnym dokonywanie zgodnych z prawem transferów danych osobowych na linii UE – USA. Takie rozwiązanie mogłoby również zwiększyć prawdopodobieństwo, że Komisja Europejska – stosownie do art. 45 RODO – stwierdzi, że USA zapewniają odpowiedni poziom ochrony.
Zdaniem twórców raportu, przyjęcie odpowiednich rozwiązań spowodowałoby, że przedsiębiorcy, którzy transferują dane osobowe za ocean nie musieliby polegać na aktualnie stosowanych mechanizmach, takich jak SCC (standardowe klauzule umowne).
Treść raportu:
Polecamy także:
Przekazywanie danych do USA ponownie pod znakiem zapytania – część I
Przekazywanie danych do USA ponownie pod znakiem zapytania – część II
Przekazywanie danych do USA ponownie pod znakiem zapytania – część III