Michał Nosowski
Data Privacy Framework czyli projekt nowej decyzji dotyczącej transferów danych do USA

Na stronie internetowej Komisji Europejskiej pojawił się projekt "Data Privacy Framework", czyli decyzji o odpowiednim poziomie ochrony danych osobowych, które są transferowane USA. To coś, na co czekało wiele osób z branży. Obecnie bowiem przekazywanie danych obywateli UE do Stanów Zjednoczonych nie jest oparte o stabilny fundament prawny.
Poprzedniczki nowej decyzji, czyli decyzje dotyczące programów "Safe Harbour" i "Privacy Shield" zostały uznane za nieważne przez Trybunał Sprawiedliwości Unii Europejskiej. Nie spowodowało to naturalnie, że transfer danych do USA został zakończony. W tej sytuacji poszukiwano alternatywnych rozwiązań i w praktyce decydowano się korzystać z tzw. Standardowych Klauzul Umownych. Dyplomatycznie rzecz ujmując, ich wykorzystanie w tym celu też jest bardzo wątpliwe, więc bezpiecznej podstawy przekazywania danych do kontrahentów zza oceanu nie ma.
Jeśli chcesz przeczytać więcej o unieważnieniu poprzednich decyzji dot. transferów danych do USA, zapraszam Cię do przeczytania mojego wpisu pt. "Wszystkie sprawy Maxa Schremsa, czyli jeden człowiek i RODO"
Gdybyś natomiast chciał poczytać o transferach danych na podstawie Standardowych Klauzul Umownych, to artykuł na ten temat jest tutaj: Standardowe klauzule umowne i przekazywanie danych do USA. Czy to możliwe?
Skąd się wziął Data Privacy Framework?
Komunikat Komisji Europejskiej dot. Data Privacy Framework nie wziął się znikąd. Odwołuje się on bowiem do porozumienia (Trans – Atlantic Data Privacy Framework) z marca 2022 r., zawartego pomiędzy UE a USA. Na jego podstawie USA zobowiązały się do wzmocnienia ochrony prywatności w odniesieniu do działań amerykańskich służb wywiadowczych. W praktyce – działalność służb miała być bardziej adekwatna i proporcjonalna. Mechanizmy odwoławcze miały być jeszcze silniejsze, a nadzór jeszcze dokładniejszy.
W związku z tym prezydent Biden wydał w październiku 2022 r. Executive Order 14086, w ramach którego ustalenia zawarte w porozumieniu pomiędzy EU a USA zostały implementowane do systemu prawnego USA. To zaś otworzyło Komisji Europejskiej drogę do przyjęcia oficjalnego projektu decyzji o adekwatności.
Czym jest decyzja o adekwatności?
Decyzja o adekwatności polega na tym, że Komisja Europejska „uznaje” dane państwo spoza EOG za spełniające należyte standardy dotyczące ochrony danych. Te standardy nie muszą być dokładnie takie same jak w RODO, ale powinny prezentować „podobny poziom”. A w przypadku unijnego rozumienia ochrony danych osobowych "podobny" generalnie oznacza wysoki.
Jak się pewnie domyślacie, decyzja o adekwatności dotycząca USA jest bardzo pożądana. USA to bowiem lider jeśli chodzi o dostawy usług IT, które wymagają transferów danych. Dodatkowo, wymiana handlowa pomiędzy UE a USA jest ogromna – a to też wymaga przekazywania danych osobowych.
W przypadku USA sprawa jest o tyle specyficzna, że decyzja nie obejmuje wszystkich transferów do USA, a jedynie te, których stroną są podmioty (firmy), które dołączyły do specjalnego programu i zobowiązały się do przestrzegania wynikających z niego zasad.
I zasady te mają zagwarantować, że dana firma spełni wymogi dotyczące ochrony danych osobowych, w sposób analogiczny jak ten, który wynika z RODO.
Co to w praktyce oznacza?
Klienci takiej firmy mogą przesłać do niej dane bez żadnego dodatkowego badania czy dany kraj spełnia jakieś standardy albo nie – skoro KE uznała, że jest OK, to klient już nie musi tego badać. Nie jest konieczne też zawieranie dodatkowych umów (nie mówię tu o kwestii umów powierzenia przetwarzania), np. opartych o standardowe klauzule umowne. Innymi słowy, taka decyzja umożliwia sprawne i obciążone niewielkimi wymogami formalnymi transfery danych.
Poprzednie decyzje w tym przedmiocie, czyli te dotyczące programów „Safe Harbour” i „Privacy Shield”, zostały uznane za nieważne przez TSUE. Komisja Europejska uznała chyba, że do trzech razy sztuka i próbuje jeszcze raz tego samego - acz z kilkoma usprawnieniami.
Co zakłada sama decyzja ws. Data Privacy Framework?
Najważniejsze założenia DPF są następujące:
podmioty z USA, które będą chciały dołączyć do programu DPF i być objęte decyzją o adekwatności muszą przejść przez proces certyfikacji w Departamencie Handlu USA,
podmioty certyfikowane będą musiały przestrzegać analogicznych zasad przetwarzania danych jak te opisane w RODO (np. zgodności z prawem, minimalizacji, ograniczenia celu, integralności i poufności itp.),
DPF będzie odnosił się zarówno do działalności administratorów jak i podmiotów przetwarzających z USA,
podmioty certyfikowane muszą informować osoby o przetwarzaniu ich danych i umożliwiać realizację praw osób na zasadach analogicznych jak te, które wynikają z RODO,
certyfikacja udzielana jest na rok – po upływie tego czasu podmiot musi się „recertyfikować”,
departament handlu może sprawdzać czy podmiot certyfikowany spełnia warunki wynikające z DPF,
fałszywe powoływanie się na certyfikację wynikającą z DPF będzie wyraźnie zabronione,
podmioty danych powinny mieć prawo do złożenia darmowej skargi na nieprzestrzeganie ich praw dot. ochrony danych, zarówno bezpośrednio do podmiotu certyfikowanego jak i do niezależnego podmiotu zajmującego się rozpoznawaniem takich skarg,
skargi będzie można składać także do krajowych organów nadzorczych z UE – podmiot certyfikowany powinien współpracować z takim organem nadzorczym,
skargi będzie można składać też bezpośrednio do Departamentu Handlu USA, FTC (Federal Trade Commission – amerykańskiej agencji zajmującej się ochroną konsumentów), a w ostateczności do specjalnego organu arbitrażowego przy Departamentu Handlu – gdyby wszystkie inne środki zawiodły).
Brzmi znajomo? Tak, bardzo podobne uregulowania były już w Privacy Shield. Wprawdzie wymogi ochrony danych są opisane bardziej szczegółowo, mamy też więcej organizacji, do których możemy się odwołać, ale rewolucji nie ma.
Co z przetwarzaniem danych przez służby wywiadowcze?
Decyzja bardzo szczegółowo opisuje to w jakich przypadkach amerykańskie służby mogą mieć dostęp do danych przetwarzanych przez organizacje z USA. Mamy więc opis procedur federalnych i stanowych, przepisy dot. dostępu do danych telekomunikacyjnych i inne szczegóły dot. tego jak i kiedy organy ścigania mogą uzyskać dostęp do informacji dotyczących konkretnych osób fizycznych.
Siłą rzeczy, mamy też dość rozległy opis programów szpiegowskich, prowadzonych przez amerykańskie służby na podstawie przepisów FISA 702 i Executive Order 12333. Wygląda na to więc, że Komisja Europejska wzięła sobie do serca sugestię TSUE, że ta kwestia nie była dostatecznie mocno zbadana w przypadku poprzednich decyzji o adekwatności. Dodatkowo, teraz oceniono to wszystko przez pryzmat nowej decyzji prezydenta USA, czyli EO 14086, która ma zapewnić dodatkowe zabezpieczenia prywatności osób z UE.
Jakie to zabezpieczenia? Przede wszystkim nowe procedury i mechanizmy weryfikacyjne, mające zapobiegać śledzeniu osób, które nie są podejrzewane o żadne działania skutkujące zagrożeniem dla bezpieczeństwa USA. To nie wszystko, bo decyzja wprowadza jeszcze dwie nowe instytucje:
Rzecznik Ochrony Wolności Obywatelskich – to osoba odpowiedzialna za zapewnienie przestrzegania przez agencje wywiadowcze USA prywatności i praw podstawowych. Ludzie z UE będą mogli do niego złożyć skargę na nieprawidłowe przetwarzanie ich danych (jeśli się o tym dowiedzą),
Sąd Rewizyjny ds. Ochrony Danych Osobowych – to sąd złożony ze specjalistów, którzy mają być niezależni od rządu USA. Osoby fizyczne z UE będą mogły odwołać się od decyzji Rzecznika Ochrony Wolności Obywatelskich właśnie do tego sądu. Sąd będzie mógł uzyskiwać odpowiednie informacje od agencji wywiadowczych, i będzie mógł podejmować wiążące decyzje naprawcze. Przykładowo, jeżeli uzna, że dane zostały zebrane z naruszeniem zabezpieczeń przewidzianych w prawie USA, będzie mógł nakazać usunięcie danych. Aby jeszcze bardziej usprawnić działania tego Sądu, w każdej sprawie wybierze on specjalnego przedstawiciela z odpowiednim doświadczeniem, który będzie wspierał sąd i zapewni reprezentację interesów skarżącego oraz rzetelne poinformowanie Trybunału o faktycznych i prawnych aspektach sprawy.
Co teraz się stanie?
Komisja Europejska przekaże projekt decyzji do zaopiniowania Europejskiej Radzie Ochrony Danych. Potem projekt zostanie zaakceptowany przez przedstawicieli państw członkowskich, a na końcu dojdzie do formalnego przyjęcia go przez Komisję Europejską – oczywiście to dotyczy scenariusza, że po drodze nie pojawią się jakiekolwiek przeszkody i Komisja Europejska będzie zmotywowana aby doprowadzić sprawę do końca.
Czy to ma sens skoro tak niewiele się zmienia?
Trzeba sobie powiedzieć jasno, że kluczowy mechanizm, który został skrytykowany w wyroku TSUE ws. Schrems II nadal będzie istniał. Służby USA mogą mieć dostęp do danych transferowanych do USA. I ten dostęp może zakładać przeszukiwanie całych zbiorów danych, niekoniecznie należących tylko do jednej osoby.
Innymi słowy, śledzenie obywateli UE może następować bez uprzedniej kontroli sądowej. Prawo USA przewiduje bowiem, że sąd (tzw. FISC) jedynie weryfikuje jakie grupy będą podlegały monitorowaniu przez służby (np. potencjalni terroryści), nie konkretni obywatele.
Max Schrems już wyraził pogląd, że ta decyzja o adekwatności nie jest wystarczająca i nie spełnia wymogów wynikających z wyroku ws. Schrems II. To zaś zapewne oznacza, że znowu spróbuje zakwestionować ją przed TSUE. Moje zdanie jest takie, że jeżeli TSUE nie „uelastyczni” swojego wcześniejszego stanowiska, to szansa na uznanie, że kolejny program dot. transferów danych pomiędzy UE a USA jest nieważny, będzie duża. W konsekwencji DPF podzieli los swoich poprzedników i trafi do kosza.
Co zyskamy? Kilkanaście miesięcy, może kilka lat względnej stabilności. Jeśli bowiem DPF zostanie przyjęty przez Komisję Europejską, to zanim sprawa trafi do TSUE, minie trochę czasu. A to będzie oznaczało, że giganci jak Google, Facebook czy Microsoft będą mogli zaczerpnąć oddech i sprzedawać usługi w UE. To oczywiście nie jest dalekowzroczne działanie, ale być może Komisja Europejska uznała, że w obecnej sytuacji to jedyne możliwe wyjście.
Jeśli masz jakieś dodatkowe pytania dotyczące transferów danych do USA, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.