„Do trzech razy sztuka?”, czyli US/EU Data Privacy Framework jako kolejne porozumienie w sprawie ochrony danych pomiędzy Unią Europejską a USA.

EU/US Data Privacy Framework, czyli Zasady ramowe ochrony danych pomiędzy Unią Europejską a Stanami Zjednoczonymi wdrożone decyzją Komisji Europejskiej z 10 lipca 2023 i wydane przez Departament Handlu USA (EU-U.S. DPF) to trzecie już porozumienie skierowane do przedsiębiorstw sektora prywatnego, umożliwiające zgodne z prawem przesyłanie danych osobowych z UE do USA z gwarancją prywatności obywateli UE wynikających z europejskich przepisów o ochronie danych osobowych. Na podstawie tego porozumienia, poszczególne organizacje w USA będą zobowiązane do utworzenia takich warunków przepływu danych, aby prawa obywateli UE nie mogły zostać naruszone oraz aby umożliwiały dostęp do skutecznej procedury dochodzenia praw w przypadku ich naruszenia.

W stronę porozumienia

Po unieważnieniu dwóch poprzednich porozumień: Safe Harbor Framework na mocy wyroku TSUE „Schrems I” w 2015 r. oraz Privacy Shield Framework na mocy wyroku TSUE „Schrems II” w 2020 r., Komisja Europejska, jak i administracja w USA przystąpiły do negocjacji w sprawie nowego porozumienia. Październik 2022 r. przyniósł pierwsze wyczekiwane zmiany w zakresie zmian regulacyjnych w Stanach Zjednoczonych. Wprowadzone rozporządzenie wykonawcze (EO 14086) w USA uwzględniało zasady proporcjonalności i niezbędności (brakujących elementów Privacy Shield 2016) w zakresie transferu danych w takim stopniu, w jakim wymagane jest przeprowadzenie operacji wywiadowczych przez federalne organy USA. Ponadto w celu zwiększenia bezpieczeństwa transferu danych powołano dwa federalne urzędy: Inspektora Ochrony Wolności Obywatelskich (CLPO) zatwierdzającego działania wywiadowcze, rozpatrującego skargi i podejmującego wiążące decyzje, oraz Sąd Odwoławczy ds. Ochrony Danych (DPRC), złożonego z doświadczonych, niezależnych od rządu pracowników i rozpatrującego apelacje od decyzji CLPO.
Wskutek wprowadzonych zmian przez rząd USA, a także negocjacji z Komisją Europejską, 10 lipca 2023 r. Komisja Europejska wydała Decyzję adekwatności w sprawie odpowiedniego poziomu ochrony danych osobowych w ramach UE/US Data Privacy Framework.

Procedura samocertyfikacji w programie UE-U.S. Data Privacy Framework

Z perspektywy podmiotów prywatnych, konstrukcja EU-U.S. Data Privacy Framework jest zbliżona do Safe Harbor i Privacy Shield. Amerykańskie podmioty, aby przystąpić do programu, muszą oświadczyć, że przestrzegają zasad porozumienia oraz spełnić dwa główne wymogi związane z transferem danych, mianowicie:

• muszą wykazać, że kwalifikują się do udziału w programie EU-U.S. DPF (m.in., że posiadają siedzibę na terytorium USA i podlegają Federalnej Komisji Handlu USA lub Departamentowi Transportu Stanów Zjednoczonych).
• powinny opracować plan dotyczący polityki prywatności zgodny z EU-U.S. DPF, obejmujący zapewnienie zgodności z zasadami wynikającymi z porozumienia, deklarację o zamiarze przestrzegania zasad ochrony danych (składane raz do roku), niezależny mechanizm ds. danych osobowych organizacji uczestniczącej, informację dla osób, których dane dotyczą o ich uprawnieniach oraz publicznie dostępną politykę prywatności.

Poszczególne organizacje-uczestnicy przystępując do EU-U.S. DPF będą zobowiązane do określenia swoich działań względem danych osobowych otrzymywanych z UE, ze wskazaniem jakie dane będą obejmować tę organizację, oraz wskazania celów, w jakich informacje będą przetwarzane, z uwzględnieniem rodzaju danych, oraz podmiotów trzecich, którym dane są ujawniane. Zatwierdzenia dokonuje Międzynarodowa Administracja Handlu (ITA). Podmioty europejskie w celu sprawdzenia, czy dana organizacja jest objęta programem EU-U.S. DPF, mają dostęp do odpowiedniej Listy Organizacji objętych porozumieniem i spełniających wymogi transferu danych.¹

Uprawnienia podmiotów przetwarzania danych

Poszczególne organizacje przystępujące do Porozumienia EU-U.S. Data Privacy Framework będą zobowiązane do zapewnienia poszczególnych uprawnień dla podmiotów z Europejskiego Obszaru Gospodarczego (EOG). Organizacja-uczestnik programu musi zagwarantować uprawnienia dotyczące dostępności do informacji i dochodzenia roszczeń, w szczególności:

• Przekazać informacje na temat rodzaju gromadzonych danych,
• Powiadomić o celach gromadzenia i wykorzystywania danych,
• Przekazać informacje o rodzaju lub tożsamości podmiotów trzecich, którym ujawniane są dane osobowe,
• Zagwarantować ograniczenie wykorzystania i ujawniania danych osobowych,
• Umożliwić dostęp do własnych danych osobowych,
• Powiadomić o odpowiedzialności organizacji w przypadku przekazania danych osobowych,
• Powiadomić o konieczności udostępnienia danych osobowych w odpowiedzi na zgodne z prawem żądanie organów władzy publicznej,
• Zapewnić rozsądne i odpowiednie bezpieczeństwo danych osobowych,
• Przesłać odpowiedź na złożoną przez obywatela UE skargę w terminie nie dłuższym niż 45 dni (skargę dotyczącą przestrzegania EU-U.S. DPF złożoną do organizacji-uczestnika),
• Zapewnić bezpłatne, niezależne rozstrzyganie sporów w celu rozwiązania problemów podmiotów związanych z ochroną danych,
• Zapewnić możliwość powołania się na wiążący arbitraż w celu rozpatrzenia każdej skargi, że organizacja naruszyła swoje zobowiązania wobec podmiotu danych wynikające z zasad EU-U.S. DPF i która nie została rozwiązana w inny sposób.

Aktualne wyzwania i spory

Mimo pozytywnych opinii dotyczących wzmacniania ochrony transferu danych, treść porozumienia budziła wątpliwości wśród instytucji europejskich. Projekt porozumienia był przedmiotem opinii dokonanych zarówno przez Europejską Rade Ochrony Danych, jak i Parlament Europejski, które wskazywały swoje obawy, obejmujące zbytnią złożoność i brak przejrzystości, utrzymywanie się problemów po Privacy Shield, możliwe dalsze nieuzasadnione transfery danych, utrzymująca się możliwość prowadzenia masowego zbioru danych przez organy federalne USA, lub niewielka ilość informacji dotyczących zaskarżeń.

Opinia Europejskiej Rady Ochrony Danych

Europejska Rada Ochrony Danych (EDPB) wydała swoją opinię z 28 lutego 2023 r. na temat projektu decyzji Komisji Europejskiej o wystarczającym poziomie ochrony danych osobowych w ramach EU/US Data Privacy Framework, który zastąpił unieważniony Privacy Shield. EDPB przyjęła z zadowoleniem znaczące ulepszenia wprowadzone do projektu decyzji, takie jak wprowadzenie wymogów odzwierciedlających zasady niezbędności i proporcjonalności dla zbierania danych przez służby wywiadowcze USA oraz nowy mechanizm rekompensaty dla osób, których dane są przekazywane do USA. Jednocześnie EDPB wyraziła swoje obawy odnośnie do struktury porozumienia EU-U.S. DPF.
Europejska Rada Ochrony Danych podkreśla jednak w swojej opinii, że:

• struktura załączników i numeracja mogą powodować utrudnienia w zakresie szukania informacji, a to może skutkować niejasnością nowych ram ochrony,
• występują braki definicyjne niektórych istotnych terminów takich jak przedstawiciel lub podmiot przetwarzający. Ponadto niektóre terminy jak „przetwarzanie” może być rozumiane w różnych kontekstach, co prowadzi do niepewności prawa i wystąpienia możliwych luk,
• mimo zmian i dodatkowych rozwiązań, zasady EU-U.S. DPF pozostają w dużej mierze niezmienione w porównaniu do Privacy Shield, w szczególności, jeśli chodzi o mechanizmy dochodzenia roszczeń,
• konieczne jest zbadanie procedury dochodzenia roszczeń z rozporządzenia EO 14086. DPRC w swoim powiadomieniu skierowanym do skarżącego informuje, że albo nie stwierdzono naruszeń, albo wydano decyzję wymagającą zastosowania środków zaradczych. Decyzja DPRC wydawana jest bez możliwości odwołania się od niej,
• porozumienie wymaga usprawnienia systemu przetwarzania w przypadku przekazania danych podmiotom trzecim,
• niezasadny jest wyjątek od prawa wglądu do publicznie dostępnych informacji na temat podmiotów danych z rejestrów publicznych. Zgodnie z prawem UE podmioty zawsze mają prawo dostępu, niezależnie czy informacja jest publiczna, czy nie.

EDPB podkreśliła, że wysoki poziom zabezpieczenia danych jest niezbędny dla ochrony praw i wolności osób w UE, dlatego zaapelowała o poprawę poziomu transferu danych z uwzględnieniem jej wniosków przez Komisję Europejską.²

Opinia Parlamentu Europejskiego

Kolejną opinię wydał Parlament Europejski w jednej ze swoich rezolucji z 11 maja 2023 r. W rezolucji Parlament również wyraził ogólne zadowolenie z postępów poczynionych przez USA w zakresie ochrony danych osobowych obywateli UE. Jednocześnie Parlament podkreślił, że niektóre kwestie pozostają nierozwiązane i wymagają dalszych wyjaśnień, takie jak zakres i skuteczność ograniczeń nałożonych na działania wywiadowcze USA, niezależność i przejrzystość nowego mechanizmu zadośćuczynienia oraz wpływ orzecznictwa sądowego USA na ochronę danych osobowych.

Między innymi uznano obawy EDPB dotyczące praw osób, których dane dotyczą, braku kluczowych definicji, oraz tych związanych z brakiem odpowiedniego zabezpieczenia ze strony EO 14086 w przypadku masowego gromadzenia danych w tym brak zgody niezależnego organu i szczegółowych zasad gromadzenia danych. Parlament Europejski wskazał też uwagi odnośnie do EO 14086, mianowicie:

• w przypadku inwigilacji obywateli UE nie mają oni zagwarantowanych takich samych praw i możliwości odwoławczych jak obywatele USA oraz
• zastosowanie EO 14086 nie jest jasne, precyzyjne ani przewidywalne oraz może zostać zmienione lub odwołane w dowolnym momencie przez prezydenta USA.

Parlament wezwał Komisję do uwzględnienia tych obaw w trakcie negocjacji oraz zaapelował o zapewnienie pełnego udziału Parlamentu i organów krajowych ds. ochrony danych w procesie oceny adekwatności oraz o regularne przeglądy decyzji o adekwatności co najmniej co trzy lata. Tym samym Parlament Europejski stwierdził, że USA nie posiadała jeszcze odpowiedniego stopnia bezpieczeństwa transferu danych.³

Konfrontacja EU-U.S. Data Privacy Framework

Wzywamy negocjatorów, aby w dalszym ciągu pracowali nad długotrwałym rozwiązaniem zapewniającym ochronę prywatności w przypadku przepływów transatlantyckich, aby uniknąć decyzji w sprawie Schrems III

– Max Schrems

Część osób zadaje sobie pytanie: czy EU-U.S. Data Privacy Framework przetrwa, czy podzieli los dwóch poprzednich porozumień?
Max Schrems działający w ramach Europejskiego Centrum Praw Cyfrowych NOYB, już zapowiedział skonfrontowanie postanowień EU-U.S. DPF z praktyką stosowania zasad porozumienia. Zarzuca, że treść porozumienia jest sformułowana w sposób zbyt ogólny oraz że prawo USA nie jest w stanie zapewnić odpowiedniej ochrony danych obywateli UE. Postuluje zmiany w zakresie stosowania testu proporcjonalności amerykańskiego prawa dotyczącego nadzoru zgodnie z art. 8 Karty Praw Podstawowych UE, stworzenie skuteczniejszych środków odwoławczych oraz wskazuje na konieczność zaktualizowania zabezpieczeń prywatności. Czy to oznacza, że EU-U.S. DPF może stać się przedmiotem kolejnego postępowania przed TSUE? Możliwe, ale jedno z postępowań dotyczących EU-U.S. DPF już się odbyło.

7 września 2023 r. Philippe Latombe zakwestionował przed Sądem Generalnym Unii Europejskiej EU-U.S. DPF, stwierdzając, że narusza on EU-U.S. DPF oraz Kartę Praw Podstawowych UE i domagając się zawieszenia postanowień porozumienia. Latombe wskazał, że tekst EU-U.S. DPF został opublikowany tylko w języku angielskim oraz że jego treść nie została opublikowana w Dzienniku Urzędowym UE, co może godzić w procedurę prawotwórczą. Mimo obaw, 12 października 2023 r. skarga została odrzucona ze względu na to, że powód nie może udowodnić szkody ani indywidualnej, ani zbiorowej.^{4, 5}

Stosowanie Standardowych Klauzul Umownych, czyli jak zabezpieczyć swoją działalność

Mimo przyjęcia zasad dla nowego programu nadal możliwym sposobem na zabezpieczenie podstawy prawnej dla transferu danych osobowych do USA jest stosowanie SCC (standardowych klauzul umownych) zgodnych z nowym wzorem wprowadzonym przez Komisję Europejską decyzją wykonawczą 2021/915 z dnia 4 czerwca 2021 r. Stosowanie SCC może okazać się wskazane, ponieważ nawet jeśli importerzy danych uczestniczą w programie EU-U.S. Data Privacy Framework, takie rozwiązanie zabezpiecza ciągłość działania i współpracy na wypadek kolejnego unieważnienia decyzji Komisji Europejskiej przez TSUE, a tym samym końca programu EU-U.S. DPF.⁶

Warto przy tym upewnić się, że zastosowano aktualne SCC z 2021 r. w celu uniknięcia ewentualnych naruszeń i kar nałożonych przez organy nadzorcze. Co więcej, administratorzy danych powinni wykonać odpowiednie czynności zapewniające zgodność transferu takich danych jak ocena skutków transferu (w celu zapewnienia zgodności z unijnymi standardami ochrony) czy sprawdzenie mechanizmów, którymi posługują się importerzy pod kątem zgodności z europejskimi standardami ochrony danych.

Współautor: Miłosz Bohdziewicz, Legal Intern

Subskrybuj "Blog: Prawo Nowych Technologii"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego newslettera.

Zobacz pozostałe materiały na ten temat

Przypisy

[1] How to Join the Data Privacy Framework (DPF) Program (part 1)

[2] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework | European Data Protection Board

[3] European Parliament resolution of 11 May 2023 on the adequacy of the protection afforded by the EU-US Data Privacy Framework (2023/2501(RSP)

[4] French lawmaker challenges transatlantic data deal before EU court – POLITICO

[5] EU General Court denies interim EU-US Data Privacy Framework halt

[6] European Commission Approves Proposed EU-US Data Privacy Framework (DPF)