PL PL
KOMISJA EUROPEJSKA
Bruksela, dnia 18.10.2017 r.
COM(2017) 611 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA
{SWD(2017) 344 final}
2
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA
1. PIERWSZY ROCZNY PRZEGLĄD – CEL, PRZYGOTOWANIE I PROCES
W swojej decyzji z dnia 12 lipca 2016 r.1 („decyzja w sprawie adekwatności ochrony”) Komisja stwierdziła, że Tarcza Prywatności UE-USA („Tarcza Prywatności”) zapewnia odpowiedni poziom ochrony danych osobowych, które zostały przekazane z Unii Europejskiej do organizacji w USA.
Tarcza Prywatności jest zgodna z zasadami oraz wymogami ustanowionymi przez Europejski Trybunał Sprawiedliwości w orzeczeniu w sprawie Schrems2, które unieważniło poprzednie ramy bezpiecznego transferu danych osobowych („bezpieczna przystań”). W porównaniu z ramami „bezpieczna przystań” Tarcza obejmuje kilka nowych elementów, które wzmacniają ochronę danych osobowych podczas ich przekazywania do USA. Elementy te dotyczą bardziej rygorystycznych obowiązków nakładanych na przedsiębiorstwa posiadające certyfikację Tarczy Prywatności, na przykład w odniesieniu do ograniczeń dotyczących tego, jak długo przedsiębiorstwo może zatrzymać dane osobowe (tzw. zasada „zatrzymywania danych”), lub warunków, na jakich dane mogą być przekazywane osobom trzecim poza ramami Tarczy (tzw. zasada „odpowiedzialności za wtórne przekazywanie”). Tarcza przewiduje również bardziej regularne i rygorystyczne monitorowanie prowadzone przez Departament Handlu (DoC) oraz znacznie zwiększa możliwości osób fizycznych z Unii Europejskiej w zakresie dochodzenia roszczeń. Ponadto Tarcza Prywatności opiera się na konkretnych pisemnych oświadczeniach i zapewnieniach ze strony rządu USA, że dostęp organów publicznych do danych osobowych przekazywanych w ramach Tarczy Prywatności do celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów leżących w interesie publicznym podlega wyraźnym ograniczeniom i środkom ochrony. W tym celu Tarcza zakłada stworzenie całkowicie nowego mechanizmu dochodzenia roszczeń - Rzecznika ds. Tarczy Prywatności.
Komisja zobowiązała się do dokonania corocznej oceny adekwatności i w tym celu dokonuje corocznego przeglądu funkcjonowania Tarczy Prywatności. Pierwszy roczny przegląd funkcjonowania Tarczy Prywatności jest zawarty w niniejszym sprawozdaniu. Przegląd objął wszystkie aspekty Tarczy Prywatności, a mianowicie wdrożenie, zarządzanie, nadzór i egzekwowanie zasad Tarczy Prywatności przez właściwe władze i organy USA, a także kwestie dotyczące dostępu organów publicznych USA do danych osobowych
1 Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, Dz.U. L 207 z 1.8.2016, s. 1.
2 Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 października 2015 r. w sprawie C-362/14, Maximilian Schrems przeciwko Data Protection Commissioner („wyrok w sprawie Schrems”).
3
przekazywanych w ramach Tarczy Prywatności do celów interesu publicznego, w szczególności bezpieczeństwa narodowego. W ramach przeglądu przeprowadzono również dialog w sprawie konkretnego tematu dotyczącego zautomatyzowanego procesu decyzyjnego oraz ocenę ubiegłorocznych zmian w systemie prawnym USA, które mogły mieć wpływ na funkcjonowanie Tarczy Prywatności.
Zasady Tarczy Prywatności obowiązują od dnia 1 sierpnia 2016 r. Biorąc pod uwagę fakt, że jest to pierwszy rok funkcjonowania tych zasad, prowadzony przez Komisję roczny przegląd ma na celu przede wszystkim sprawdzenie, czy wszystkie przewidziane w nich mechanizmy i procedury – z których wiele jest nowo utworzonych – są w pełni wdrożone i funkcjonują w sposób, który jest określony w decyzji w sprawie adekwatności ochrony. Ponadto Komisja położyła szczególny nacisk na sprawdzenie, czy i w jaki sposób różne organy USA zaangażowane we wdrażanie tych zasad wywiązały się ze swoich oświadczeń i zobowiązań, zarówno w zakresie zarządzania i nadzoru aspektów handlowych Tarczy Prywatności, jak i w odniesieniu do dostępu organów rządowych do danych osobowych.Zmiany, które zaszły w administracji USA w styczniu 2017 r., uwypukliły znaczenie tej kwestii.
W ramach przygotowań do rocznego przeglądu Komisja zbierała opinie i informacje zwrotne na temat wdrażania i funkcjonowania zasad Tarczy Prywatności od zainteresowanych stron, zwłaszcza od przedsiębiorstw posiadających certyfikację Tarczy Prywatności za pośrednictwem ich stowarzyszeń branżowych, jak również od organizacji pozarządowych (NGO) działających w dziedzinie praw podstawowych, a w szczególności praw cyfrowych i ochrony prywatności. Ponadto Komisja uzyskała pisemne informacje od władz USA zaangażowanych we wdrażanie tych zasad, w tym odpowiednie dokumenty i materiały.
Pierwszy roczny wspólny przegląd odbył się w dniach 18 i 19 września 2017 r.
w Waszyngtonie. Został on otwarty przez komisarz do spraw sprawiedliwości, konsumentów i równouprawnienia płci, Věrę Jourovą oraz amerykańskiego sekretarza handlu Wilbura Rossa. Roczny przegląd został przeprowadzony w imieniu UE przez przedstawicieli Dyrekcji Generalnej Komisji Europejskiej ds. Sprawiedliwości i Konsumentów. Delegacja UE obejmowała również ośmiu przedstawicieli wyznaczonych przez Grupę Roboczą Art. 29, organ doradczy skupiający krajowe organy ochrony danych w państwach członkowskich, oraz Europejskiego Inspektora Ochrony Danych.
Po stronie USA w przeglądzie uczestniczyli przedstawiciele DoC, Federalnej Komisji Handlu (FTC), Departamentu Transportu, Departamentu Stanu, Urzędu Dyrektora Krajowych Służb Wywiadowczych oraz Departamentu Sprawiedliwości, a także pełniący obowiązki Rzecznika ds. Tarczy Prywatności, członek Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi („PCLOB”) i Urząd Inspektora Generalnego Wspólnoty Wywiadowczej.
Ponadto wkład w omawiany przegląd wnieśli przedstawiciele niezależnych organizacji ds.
rozstrzygania sporów w ramach Tarczy Prywatności, Amerykańskie Stowarzyszenie
4
Arbitrażowe (American Arbitration Association) zarządzające panelem arbitrażowym w ramach Tarczy Prywatności oraz niektóre przedsiębiorstwa posiadające certyfikację Tarczy Prywatności.
Roczny przegląd został uzupełniony dodatkowymi, publicznie dostępnymi materiałami, takimi jak orzeczenia sądowe, przepisy wykonawcze i procedury właściwych organów USA, sprawozdania i badania organizacji pozarządowych, sprawozdania na temat przejrzystości wydane przez przedsiębiorstwa posiadające certyfikację Tarczy Prywatności, artykuły prasowe i inne doniesienia medialne.
2. USTALENIA, WNIOSKI I ZALECENIA
Roczny przegląd wykazał, że władze USA ustanowiły niezbędne struktury i procedury w celu zapewnienia właściwego funkcjonowania Tarczy Prywatności. Proces certyfikacji był zarządzany w sposób ogólnie zadowalający, a ponad 2400 spółek uzyskało do tej pory certyfikację. Władze USA wprowadziły mechanizmy rozpatrywania skarg i egzekwowania przepisów oraz procedury w celu ochrony praw osób fizycznych. Obejmuje to również nowe dodatkowe środki dochodzenia roszczeń dla osób fizycznych z UE, takie jak panel arbitrażowy i Rzecznika ds. Tarczy Prywatności. Pełniący obowiązki Rzecznika ds. Tarczy Prywatności został wyznaczony w związku ze zmianą administracji w styczniu 2017 r., natomiast powołanie stałego Rzecznika ds. Tarczy Prywatności jest w toku. Współpraca z europejskimi organami ochrony danych została wzmocniona. W zakresie dostępu do danych osobowych przez organy publiczne do celów związanych z bezpieczeństwem narodowym nadal obowiązują w USA odpowiednie środki ochrony, w szczególności te ustanowione w oparciu o dyrektywę polityczną Prezydenta nr 28 z 2014 r., która określa ograniczenia i środki ochrony dotyczące wykorzystania danych osobowych przez krajowe organy bezpieczeństwa, niezależnie od narodowości osoby fizycznej. W tym kontekście należy również zauważyć, że sekcja 702 amerykańskiej ustawy o kontroli wywiadu (FISA) ma wygasnąć w dniu 31 grudnia 2017 r. i że propozycje reform są obecnie omawiane przez Kongres USA.
Szczegółowe ustalenia faktyczne dotyczące funkcjonowania wszystkich aspektów zasad Tarczy Prywatności po pierwszym roku jej funkcjonowania są przedstawione w dokumencie roboczym służb Komisji w sprawie rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (SWD(2017) 344 final) załączonym do niniejszego sprawozdania.
Na podstawie tych ustaleń Komisja uznaje, że USA nadal zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych organizacjom w USA przez Unię w ramach Tarczy Prywatności.
Jednocześnie Komisja uważa, że praktyczne wdrożenie zasad Tarczy Prywatności może być w dalszym ciągu usprawniane, aby zapewnić zgodne z zamierzeniami stosowanie gwarancji i środków ochrony przewidzianych w tych zasadach.
5
W tym celu Komisja przedstawia następujące zalecenia:
2.1. Przedsiębiorstwa nie powinny mieć możliwości publicznego powoływania się na certyfikację Tarczy Prywatności, zanim nie zostanie ona sfinalizowana przez DoC W trakcie rocznego przeglądu okazało się, że przedsiębiorstwa, które złożyły wniosek o przyznanie certyfikatu w ramach Tarczy Prywatności, ale których certyfikacja nie została jeszcze sfinalizowana przez DoC, mogą już publicznie powoływać się na certyfikację Tarczy Prywatności. W związku z tym może istnieć rozbieżność między informacjami, które są publicznie dostępne, a wykazem DoC dotyczącym podmiotów uczestniczących w programie Tarczy Prywatności, który to wykaz nie obejmuje przedsiębiorstw przed finalizacją certyfikacji. Tego rodzaju rozbieżność wywołuje niepewność osób fizycznych z UE i przedsiębiorstw w UE, które zamierzają przekazać dane do USA, zwiększa ryzyko fałszywych oświadczeń dotyczących uczestnictwa w programie i podważa wiarygodność całości zasad.
W związku z tym Komisja zaleca, by przedsiębiorstwa nie miały prawa do podawania do publicznej wiadomości informacji na temat ich certyfikacji Tarczy Prywatności przed sfinalizowaniem certyfikacji przez DoC oraz wpisaniem przedsiębiorstwa do wykazu podmiotów uczestniczących w programie Tarczy Prywatności. Informacje udzielone przez DoC przedsiębiorstwom na temat procesu certyfikacji, w tym informacje dostępne na stronie internetowej Tarczy Prywatności, powinny zostać zmienione, aby doprecyzować, że przedsiębiorstwa nie mogą publicznie powoływać się na certyfikację Tarczy Prywatności, zanim nie zostaną włączone do wykazu podmiotów uczestniczących w programie Tarczy Prywatności.
2.2. Proaktywne i regularne wyszukiwanie fałszywych oświadczeń przez DoC
Komisja zaleca, aby DoC aktywnie i regularnie wyszukiwał fałszywe oświadczenia dotyczące uczestnictwa w programie Tarczy Prywatności, nie tylko w kontekście procesu certyfikacji, tj.
w odniesieniu do przedsiębiorstw, które wszczęły, lecz nie sfinalizowały certyfikacji, a mimo to już ogłaszają swój udział w programie, ale również bardziej ogólnie w odniesieniu do przedsiębiorstw, które nigdy nie złożyły wniosku o certyfikację, ale wydają publiczne oświadczenia wskazujące, że spełniają wymogi Tarczy Prywatności. W tym celu DoC powinien podjąć dodatkowe działania, obejmujące również wyszukiwanie w internecie. Jak wskazują wnioski z doświadczeń nabytych w ramach programu „bezpieczna przystań” - poprzednika Tarczy Prywatności - wprowadzające w błąd praktyki nie należą do rzadkości i mogą osłabić wiarygodność i niezawodność całego systemu.
2.3. Bieżące monitorowanie przestrzegania zasad Tarczy Prywatności przez DoC
Komisja zaleca, aby DoC przeprowadzał kontrole przestrzegania zasad w regularnych odstępach czasu. Kontrole przestrzegania zasad mogłyby przybierać formę np.
kwestionariuszy dotyczących przestrzegania zasad wysłanych do reprezentatywnej próby przedsiębiorstw posiadających certyfikację w sprawie konkretnej kwestii (np. dalsze
6
przekazywanie danych, zatrzymywanie danych). DoC mógłby również regularnie zwracać się z prośbą o coroczne sprawozdania na temat przestrzegania zasad (w drodze samooceny albo zewnętrznych przeglądów przestrzegania zasad) do przedsiębiorstw posiadających certyfikację, które chcą być objęte ponowną certyfikacją. DoC mógłby wówczas skorzystać z rocznych sprawozdań dotyczących przestrzegania zasad w celu identyfikacji potencjalnych problemów związanych ze spełnianiem warunków, które mogą wymagać podjęcia dalszych działań, zanim przedsiębiorstwo będzie mogło zostać objęte ponowną certyfikacją, lub w celu wykrycia wymagających poprawy niedociągnięć systemowych w funkcjonowaniu zasad.
2.4. Usprawnienie działań informacyjnych
Komisja zachęca DoC i organy ochrony danych do kontynuowania i dalszego wzmacniania działań informacyjnych, które zostały już podjęte w minionym roku.
W celu zapewnienia bardziej skutecznych mechanizmów ochrony dla osób fizycznych z UE, organy ochrony danych, we współpracy z Komisją, mogą wzmocnić działania w celu informowania obywateli UE o sposobach korzystania z przysługujących im praw na mocy Tarczy Prywatności, w szczególności na temat sposobu wnoszenia skarg.
2.5. Poprawa współpracy między organami egzekwowania prawa
Komisja zaleca, aby DoC i organy ochrony danych współpracowały, w stosownych przypadkach również z FTC, w celu opracowania wytycznych dotyczących interpretacji niektórych pojęć zawartych w programie Tarczy Prywatności, które wymagają dalszych wyjaśnień. Leżałoby to w interesie wzmocnionej współpracy między organami wdrażania i egzekwowania przepisów po obu stronach Atlantyku oraz przyczyniłoby się do większej spójności w interpretacji zasad Tarczy Prywatności i większej pewności prawa dla przedsiębiorstw.
Zasada odpowiedzialności za wtórne przekazywanie i definicja danych o zasobach ludzkich nasunęły się w wyniku pierwszego rocznego przeglądu jako przykłady pojęć, które mogłyby zostać objęte dodatkowym wyjaśnieniem.
2.6. Badanie dotyczące zautomatyzowanego procesu decyzyjnego
Aby wyciągnąć dokładniejsze wnioski w sprawie zautomatyzowanego procesu decyzyjnego, w tym w perspektywie kolejnego rocznego przeglądu, Komisja zleci wykonanie badania mającego na celu zgromadzenie dowodów faktycznych i dokonanie dalszej oceny zasadności zautomatyzowanego procesu decyzyjnego dotyczącego przekazywania danych na podstawie Tarczy Prywatności
2.7. Uwzględnienie w ustawie o kontroli wywiadu środków ochrony przewidzianych w dyrektywie politycznej Prezydenta nr 28
Zbliżająca się debata na temat ponownego zatwierdzenia sekcji 702 ustawy o kontroli wywiadu (FISA) stanowi dla administracji i Kongresu USA jedyną w swoim rodzaju okazję
7
do wzmocnienia środków ochrony prywatności zawartych w ustawie o kontroli wywiadu.
W tym kontekście Komisja ma nadzieję, że Kongres pozytywnie rozpatrzy uwzględnienie w FISA środków ochrony oferowanych przez dyrektywę polityczną Prezydenta nr 28 (PPD) w odniesieniu do osób spoza USA, z myślą o zapewnieniu stabilności i ciągłości tych środków. Wszelkie dalsze reformy, zarówno pod względem znaczących ograniczeń, jak i pod względem proceduralnych środków ochrony, należy realizować w duchu dyrektywy politycznej Prezydenta nr 28 i tym samym zapewniać ochronę niezależnie od obywatelstwa lub kraju zamieszkania.
2.8. Szybkie mianowanie Rzecznika ds. Tarczy Prywatności
Komisja wzywa administrację USA do potwierdzenia politycznego zobowiązania dotyczącego urzędu Rzecznika ds. Tarczy Prywatności, stanowiącego ważny element zasad Tarczy Prywatności jako całości, poprzez niezwłoczne mianowanie stałego Rzecznika ds.
Tarczy Prywatności.
2.9. Szybkie mianowanie członków Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (The Privacy and Civil Liberties Oversight Board - PCLOB) oraz wydanie sprawozdania PCLOB na temat dyrektywy politycznej Prezydenta nr 28
Jako niezależna agencja w strukturze władzy wykonawczej PCLOB pełni ważną funkcję w odniesieniu do ochrony prywatności i swobód obywatelskich w dziedzinie polityki zwalczania terroryzmu i jej wdrażania. Komisja zaleca szybkie wyznaczenie brakujących członków PCLOB przez administrację USA, tak aby PCLOB była w stanie wypełniać wszystkie aspekty tej funkcji.
Ponadto, biorąc pod uwagę znaczenie dyrektywy politycznej Prezydenta nr 28 dla ograniczeń i środków ochrony mających zastosowanie do dostępu organów rządowych do danych pochodzących z rozpoznania radioelektronicznego, a tym samym dla dokonywanego przez Komisję okresowego przeglądu oceny adekwatności, Komisja wzywa administrację USA do publicznego ogłoszenia sprawozdania PCLOB na temat wdrożenia dyrektywy politycznej Prezydenta nr 28.
2.10. Bardziej terminowe i kompletne przedkładanie danych na temat istotnych zmian przez władze USA
Komisja zaleca, aby władze USA proaktywnie wypełniały swoje zobowiązanie do terminowego dostarczania Komisji wyczerpujących informacji na temat wszelkich zmian, które mogłyby mieć znaczenie dla programu Tarczy Prywatności, w tym zmian, które mogą budzić wątpliwości co do ochrony przewidzianej w ramach programu.
