Prezydent Stanów Zjednoczonych Joe Biden wydał zarządzenie wykonawcze wdrażające umowę UE-USA Data Privacy Framework. W związku z tym, po dwóch latach niepewności, specjaliści ds. prywatności przygotowują się do wznowienia transferu danych osobowych przez Atlantyk bez wątpliwości związanych ze stosowaniem alternatywnych mechanizmów, takich jak standardowe klauzule umowne.
Schrems II, czyli plaża po sztormie
Po wyroku Trybunału Sprawiedliwości Unii Europejskiej ws. Schrems II stosowany przedtem mechanizm transferu danych oparty o tzw. Tarczę Prywatności (Privacy Shield) przestał obowiązywać. Transfery do USA od tej pory musiały się zwykle opierać na standardowych klauzach umownych, które same w sobie były w praktyce trudne do stosowania, biorąc pod uwagę identyfikowane ryzyka transferowe (w szczególności możliwość dostępu amerykańskich służb do danych Europejczyków).
Data Privacy Framework
Kiedy USA i UE osiągnęły w marcu porozumienie w sprawie nowego porozumienia, które miało rozwiązać obawy TSUE dotyczące Tarczy Prywatności, nazwano je Transatlantyckimi Ramami Ochrony Danych (Data Privacy Framework). Wskazano, że dotyczą one jedynie zabezpieczeń w sferze bezpieczeństwa narodowego, które są odrębne od komercyjnych zasad Tarczy Prywatności. Ten akt obejmuje trzy elementy: zasady ochrony danych handlowych, zgodnie z którymi organizacje amerykańskie mogą dokonywać samocertyfikacji, zarządzenie prezydenckie oraz regulacje Departamentu Sprawiedliwości.
Zasady ochrony danych „handlowych”
Ponieważ w wyroku Schrems II TSUE nie zakwestionował podstawowych zasad zawartych w Tarczy Prywatności, większość zainteresowanych stron uważała, że pozostaną one nietknięte. Pomimo tego władze USA wskazały, że chociaż zmiany tych zasad, które wciąż są w fazie finalizacji, nie powinny znacząco wpłynąć na istotne obowiązki organizacji korzystających z Tarczy Prywatności, są jednak wciąż ważne. A ponieważ zasady Tarczy Prywatności były negocjowane podczas finalizacji ogólnego rozporządzenia o ochronie danych UE, odzwierciedlały one jego przepisy materialne, ale nadal odnosiły się do dyrektywy UE o ochronie danych z 1995 roku. Władze USA wskazały, że nowy akt zaktualizuje wszystkie odniesienia do zasadach tak, aby odnosiły się bezpośrednio do RODO.
Bezpieczeństwo narodowe
Podsumowując, rozporządzenie wykonawcze i regulacje Departamentu Sprawiedliwości mają na celu zaradzenie dwóm uchybieniom, które TSUE wskazał w związku z unieważnieniem Tarczy Prywatności:
- ograniczenia prawa do prywatności muszą być zawężone do przypadków bezwzględnie koniecznych i pozostawać proporcjonalne oraz
- zapewnić prawo do zadośćuczynienia z powodu bezprawnego nadzoru państwa.
Rozporządzenie wykonawcze wymaga zatem, aby amerykańskie służby ograniczyły działania wywiadowcze do tego, co jest konieczne i proporcjonalne. Pod względem merytorycznym dekret nakłada ograniczenia dot. konieczności i proporcjonalności po pierwsze wyraźnie je nakazując, po wtóre precyzując, co ten nakaz oznacza, a na końcu wskazując mechanizmy nadzoru weryfikujące przestrzeganie przez agencje wywiadowcze nowych zasad.
Sąd ds. Ochrony Danych
Zarządzenie wykonawcze jest powiązane z przepisami Departamentu Sprawiedliwości, w celu stworzenia dwuinstancyjnego systemu dochodzenia roszczeń. Powołany zostaje więc nowy Sąd ds. Ochrony Danych, w celu rozpatrywania skarg dotyczących legalności działań służb.
Dyrektor Biura Ochrony Swobód Obywatelskich Narodowego Wywiadu będzie służył jako pierwsze ogniwo tego systemu. Biuro otrzyma i zbada roszczenia osób fizycznych złożone za pośrednictwem odpowiedniego organu publicznego w danym stanie. W przypadku stwierdzenia naruszenia Biuro będzie musiało określić odpowiednie środki zaradcze.
Po zakończeniu dochodzenia Biura osoba fizyczna może złożyć wniosek o ponowne rozpatrzenie sprawy do nowo utworzonego Sądu ds. Ochrony Danych, który jest drugą instancją w tym systemie.
Co dalej?
Komisja Europejska rozpocznie teraz ocenę adekwatności stopnia ochrony zapewnianego przez ten mechanizm. Proces ten, wymaga od Komisji przedstawienia projektu stwierdzenia odpowiedniego stopnia ochrony, od EROD wydania niewiążącej opinii, od państw członkowskich UE głosowania nad zatwierdzeniem decyzji, a od Kolegium Komisarzy Komisji Europejskiej formalnego jej przyjęcia. Na każdym etapie tego procesu Parlament Europejski może również wziąć pod uwagę niewiążącą opinię EROD.
Historycznie rzecz biorąc (przy poprzednich mechanizmach), proces ten trwał cztery lub pięć miesięcy po sfinalizowaniu oceny projektu przez komisję.
Źródło:
Posłuchaj podcastu klikając TUTAJ
