GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Transfer danych do USA – co na to EROD?

Transfer danych do USA - co na to EROD?

Transfer danych do USA - co na to EROD?

W kontekście transferu danych do USA rozpoczęła się procedura oceny adekwatności ochrony zapewnianej przez Transatlantyckie Ramy Ochrony Danych (Data Privacy Framework – DPF) – następcy Privacy Shield. Komisja Europejska opublikowała projekt decyzji stwierdzającej adekwatność poziomu ochrony danych osobowych 13 grudnia 2022 r., a niedawno Europejska Rada Ochrony Danych przedstawiła niewiążącą opinię na jej temat. Trzeba podkreślić, że jest to jedynie opinia i Komisja Europejska może – ale nie musi – zwrócić uwagę na kwestie podniesione przez EROD. Nie oznacza to jednak, że sama opinia jest bez znaczenia, bowiem EROD przedstawiła w niej dobre i złe strony obecnej propozycji. Może być to pomocne przy ewentualnej ocenie, czy Data Privacy Framework jest zgodna z traktami UE i jak się to ma do poprzednio obowiązującej Privacy Shield.

Ogólne aspekty ochrony danych

Pierwszą kwestią, na którą zwrócono uwagę, jest okoliczność, że przestrzeganie zasad DPF przez certyfikowane przez DPF organizacje może podlegać pewnym ograniczeniom. EROD zaleca przy tym, żeby zakres tych wyłączeń był jaśniejszy i bardziej szczegółowy. Dodatkowo powinny zostać wskazane zabezpieczenia odpowiednie do tych wyłączeń.

Co ciekawe EROD zwraca też uwagę na systematykę i numerację aneksów do DPF. Wskazano, że ich obecny stan powoduje, że odpowiednie informacje są trudne do znalezienia. Dodatkowo wypunktowano brak spójności terminologii zastosowanej w dokumencie, jak i brak definicji dla kilku ważnych pojęć takich jak: „agent” czy  „procesor”.

Następca Privacy Shield zatwierdzony przez prezydenta USA

Zmiany po Privacy Shield

EROD w swoim dokumencie analizuje również, jakie zmiany zostały zaimplementowane na podstawie wyroku Schrems II. Część wymagań wskazanych w wyroku zostało spełnionych, jednakże liczne kwestie podniesione przez Grupę Roboczą art. 29 i poprzednie roczne raporty na temat Privacy Shield nie zostały zaadresowane. EROD zauważa również, że pomimo szeregu zmian i dodatkowych wyjaśnień zawartych w motywach projektu decyzji, zasady DPF, których muszą przestrzegać certyfikowane organizacje, pozostają zasadniczo niezmienione w odniesieniu do zasad mających zastosowanie w ramach Privacy Shield.

Prawo dostępu, sprostowania, usunięcia

W Data Privacy Framework, prawa podmiotów danych do dostępu, sprostowania, usunięcia danych realizowane są przez zasadę dostępu (Access principle). Ta kwestia pozostała niezmieniona w odniesieniu do Tarczy Prywatności. EROD zwraca uwagę na dość wąską interpretację prawa dostępu. Stwierdza, że dostęp do danych powinien być zapewniony w zakresie, w jakim organizacja DPF przetwarza dane osobowe, a nie tylko wtedy, gdy je „przechowuje”. Ponadto wyjątek co do prawa dostępu ma bardzo szeroki zakres, tj. obejmuje publicznie dostępnie informacje i informacje pochodzące z baz publicznych. EROD wskazuje, że zgodnie z prawem UE osoby, których dane dotyczą, zawsze mają prawo dostępu do swoich danych, niezależnie od tego, czy zostały one upublicznione.

Kolejną kwestią jest prawo do sprzeciwu, czyli prawo do odmowy, na podstawie prawnych przesłanek, przetwarzania swoich danych osobowych na określonych warunkach w ramach prawnych państwa trzeciego. DPF zapewnia prawo do sprzeciwu (opt-out) wobec ujawnienia danych osobowych stronie trzeciej lub wykorzystania danych osobowych w celu istotnie innym. Ponadto osoby fizyczne mogą skorzystać  z prawa do rezygnacji w dowolnym momencie z wykorzystywania ich danych osobowych do celów marketingu bezpośredniego. Niestety nie jest wyjaśnione, w jakich pozostałych przypadkach można skorzystać z tego prawa.

Przekazywanie danych do USA ponownie pod znakiem zapytania – część I

Dalsze przekazywanie danych

Dane osobowe transferowane na podstawie DPF, mogą być dalej przekazywanie wyłącznie w ograniczonych i określonych celach, na podstawie umowy między organizacją DPF a stroną trzecią (lub porównywalnym porozumieniem w ramach grupy korporacyjnej) i tylko wtedy, gdy umowa ta wymaga od strony trzeciej zapewnienia takiego samego poziomu ochrony, jaką zapewniają zasady DPF.

EROD podniosła, że przy danych HR administrator jest zwolniony z obowiązku zawarcia umowy ze stroną trzecią w przypadku dalszego przekazywania przy „okazjonalnych związanych z zatrudnieniem potrzebach operacyjnych”.

Ponadto EROD wskazała, że Komisja powinna wyjaśnić w decyzji DPF, że zabezpieczenia ustanowione przez importera danych z UE przy dalszym przekazaniu powinny być efektywne w kontekście ram prawnych państwa trzeciego.

Ogólny mechanizm zadośćuczynienia

EROD z zadowoleniem odniósł się do przedstawionych w projekcie decyzji siedmiu możliwych ścieżek dochodzenia roszczeń przysługujących podmiotom danych z UE, jeśli ich dane osobowe są przetwarzane z naruszeniem DPF.

Jak podkreśliła Komisja w swoim projekcie decyzji, „osobie, której dane dotyczą, należy zapewnić skuteczne administracyjne i sądowe środki odwoławcze”. Odzwierciedla to wymóg zawarty w art. 45 ust. 2 lit. a) RODO, zgodnie z którym Komisja w swojej ocenie odpowiedniego poziomu ochrony w państwie trzecim musi uwzględnić w szczególności „skuteczne środki administracyjne i dochodzenia roszczeń na drodze sądowej dla osób, których dane dotyczą, których dane osobowe są przekazywane”.

Jeżeli chodzi o możliwość  (w niektórych przypadkach) wnoszenia przez osoby fizyczne skarg do organu ochrony danych UE, EROD wnioskuje o dalsze informacje (i) na temat tego, czy możliwość udzielania porad przez organ ochrony danych UE w sprawie środków naprawczych lub kompensacyjnych może obejmować zalecenie grzywien, lub korzystanie z uprawnień dochodzenia roszczeń oraz (ii), w jakim stopniu działania unijnego organu ochrony danych byłyby brane pod uwagę jako dowód działań egzekucyjnych podjętych przez Federalną Komisję Handlową (FTC) lub Departament Transportu (DoT).

Dostęp organów publicznych USA do danych obywateli UE

W tej części opinii EROD wypowiedziało się na temat zasad DPF, na których podstawie amerykańskie organy ścigania i agencje wywiadowcze mogą uzyskać dostęp do danych obywateli UE w ramach ścigania przestępstw. EROD z zadowoleniem ocenia, że wszelkie ograniczenia dostępu do danych są oparte na zasadach wskazanych w konstytucji USA. Ponadto system środków śledczych organów ścigania w USA można uznać za ogólnie spełniający wymagania konieczności i proporcjonalności w odniesieniu do podstawowych praw do życia prywatnego i ochrony danych. EROD nie ma również uwag co do niezależnego sądowego nadzoru nad działaniami służb z zakresu dostępu do danych.

Co do zbierania danych na podstawie przesłanki ochrony bezpieczeństwa narodowego (national security) EROD w celu oceny ram prawnych dotyczących zbierania, dostępu i dalszego przetwarzania danych skupia się na analizie Sekcji 702 FISA (Foreign Intelligence Surveillance Act) oraz EO (Executive Order) 12333. Upraszczając, EROD ocenia pozytywnie nadzór i kontrole nad dostępem do danych w oparciu o przesłankę  bezpieczeństwa narodowego.

Ponadto EROD analizuje mechanizm zadośćuczynienia dotyczący skarg obywateli UE na działania wywiadu USA. Ma on 2 poziomy. W pierwszym z nich skargami zajmuję się Rzecznik Ochrony Wolności Obywatelskich, podlegający pod Biuro Dyrektora Wywiadu. Jak zauważa EROD, nie można stwierdzić, aby Rzecznik posiadał wymagany poziom niezależności z art. 47 Karty Praw Podstawowych. Natomiast drugi poziom tego mechanizmu – Sąd Rewizyjny ds. Ochrony Danych – nie jest podporządkowany hierarchicznie Prokuratorowi Generalnemu. Wątpliwości pozostają jednak przy tym, jak odwoływani i odwoływani będą „sędziowie”. Jednakże jak wskazuje EROD, całościowo mechanizm ten nie jest per se niewystarczający, wymagana jest jednakże dalsza jego analiza przez Komisję.

Wnioski

Na podstawie opinii EROD można wysnuć wniosek, że Transatlantyckie Ramy Ochrony Danych jako narzędzie transferów są w dużej części zgodne ze standardami europejskimi. Część kwestii wymaga pewnych poprawek, a część uzależniona jest od negocjacji ze stroną amerykańską. W finalnej ocenie ważnym elementem, będzie sama implementacja porozumienia. Ostateczny dokument może bowiem być idealny, ale praktyka stosowania może już być niezgodna ze standardami unijnymi. Ponadto na ławce rezerwowych spokojnie czeka już Max Schrems szykując się na wejście na boisko i odgwizdanie ewentualnej skargi do TSUE.

Źródło: https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf