Komisja Europejska wydała w poniedziałek 10 lipca tzw. decyzję stwierdzającą odpowiedni stopień ochrony. ochrona danych osobowych przy przekazywaniu danych przez Atlantyk, czyli z UE do Stanów Zjednoczonych. Ustanawia to ramy prawne dla przekazywania danych. Sąd UE odrzucił dwie poprzednie propozycje, co doprowadziło do niepewności prawnej dla przedsiębiorstw z UE i USA.
Komisja Europejska opublikowała pierwszy projekt decyzji w sprawie adekwatności ochrony danych ze Stanami Zjednoczonymi w grudniu po podpisaniu dekretu przez prezydenta USA Joe Bidena w październiku 2022 r.
Przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych zostało uznane przez Trybunał Sprawiedliwości Unii Europejskiej za nielegalne w dwóch przełomowych sprawach. W najnowszym werdykcie, znanym jako Schrems II (nazwany tak na cześć jego autora, Maxa Schremsa, przyp. red.), europejscy sędziowie wskazywali na nieproporcjonalny dostęp i niewystarczającą ochronę europejskich danych będących w posiadaniu amerykańskich służb bezpieczeństwa. Edward Snowden jako pierwszy zwrócił uwagę na ten problem w 2013 roku.
W październiku Amerykanie zaproponowali ugodę, która miała rozwiązać całą sytuację. Oprócz ograniczenia dostępu wywiadu USA do danych osobowych mieszkańców UE, Waszyngton ustanowił także niezależny mechanizm dochodzenia roszczeń.
„Dane osobowe mogą teraz swobodnie i bezpiecznie przepływać z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych” – powiedział komisarz ds. sprawiedliwości UE Didier Reynders na konferencji prasowej.
Decyzja o adekwatności ochrony danych
W zeszłym tygodniu sekretarz handlu USA Gina Raimondo ogłosiła, że wszystkie zobowiązania dotyczące wdrożenia ram prywatności zostały spełnione, w tym mechanizmu dochodzenia roszczeń i ograniczeń wywiadowczych.
Zdecydowaną większością głosów decyzję o adekwatności ochrony danych przyjęli również przedstawiciele państw członkowskich UE. Według komisarza Reyndersa Komisja poczyniła „znaczące postępy” i znalazła właściwą równowagę między bezpieczeństwem zbiorowym a prawami jednostki.
Ważnym uzupełnieniem orzeczenia jest to, że wszelkie przypadki nieprzestrzegania przez organizację wymogów Europejskiego Urzędu Ochrony Danych muszą być zgłaszane do Departamentu Handlu USA i Federalnej Komisji Handlu.
Doprecyzowano również warunki wydawania wezwań administracyjnych w celu uzyskania dostępu do danych przechowywanych przez firmy w Stanach Zjednoczonych Ameryki dla celów interesu publicznego oraz nakazów przeszukania.
Ponadto decyzja stwierdzająca odpowiedni stopień ochrony nakłada na służby wywiadowcze obowiązek ustalenia określonego okresu zatrzymywania danych i dodania uzasadnienia. Obejmuje to na przykład rodzaj przechowywanych informacji lub to, czy jest to konieczne do ochrony danej osoby.
Służby wywiadowcze będą nadzorowane przez Radę Nadzoru ds. Prywatności i Swobód Obywatelskich. Będzie miała dostęp do wszystkich istotnych dokumentów, w tym do informacji niejawnych.
Komisja będzie regularnie omawiać decyzję w sprawie adekwatności ochrony danych, począwszy od roku po jej wejściu w życie. Oceniony zostanie mechanizm odwoławczy i współpraca między władzami USA i UE. Oni przyjmą skargi w pierwszej kolejności.
Krytyczny
Jednak nie wszystkie strony były zadowolone z ostatecznej wersji orzeczenia.
W lutym Europejska Rada Ochrony Danych, która zrzesza wszystkie unijne organy ochrony danych, zwróciła uwagę na kilka punktów, które należy poprawić w decyzji. Dotyczy to przede wszystkim praw osób, których dane dotyczą, dalszego przekazywania danych oraz tymczasowego masowego gromadzenia danych.
Zdaniem europejskich regulatorów ochrony danych osobowych konieczne jest również uważne monitorowanie, jak mechanizm dochodzenia roszczeń będzie działał w praktyce oraz jak zasady konieczności i proporcjonalności będą interpretowane prawnie.
W szczególności termin „rozsądny dostęp do danych” może również nie być zgodny z Kartą praw podstawowych Unii Europejskiej. Orzecznictwo amerykańskie definiuje ten termin.
Kolejnym kontrowersyjnym aspektem jest mechanizm regresu. Oprócz urzędu ochrony swobód obywatelskich w jego skład wchodzi również sąd kontroli ochrony danych. Nie jest jednak całkowicie niezależna, gdyż należy do władzy wykonawczej Stanów Zjednoczonych.
Szremy III?
„Zwykłe deklarowanie czegoś„ nowego ”,„ solidnego ” lub„ skutecznego ”nie wystarczy w Trybunale Sprawiedliwości”, powiedział austriacki działacz Max Schrems, który nadal monitoruje transfery danych przez Atlantyk. Dodał, że „aby to zadziałało”, należałoby również zmienić amerykańskie prawo dotyczące nadzoru.
Zapytany o możliwy nowy proces Schremsa III, komisarz Reynders powiedział, że jego zdaniem przydatne byłoby przetestowanie nowego systemu, zanim aktywista pozwie go do sądu. Dodał, że spotkał się ze Schremsem i innymi interesariuszami przed wprowadzeniem nowych ram.
Schrems spodziewa się, że najnowsza wersja decyzji stwierdzającej odpowiedni stopień ochrony „powróci do sądu na początku przyszłego roku”. Sąd mógłby wtedy „nawet zawiesić nową umowę do czasu kontroli merytorycznej”.
„Zagorzały miłośnik zombie. Praktyk mediów społecznościowych. Niezależny przedsiębiorca. Subtelnie czarujący organizator”.