Komisja Europejska przedstawiła dziś teksty prawne wdrażające zasady bezpiecznego transferu danych między UE i USA oraz komunikat, w którym podsumowano działania podjęte w celu odbudowy zaufania do transatlantyckiego przepływu danych po doniesieniach o inwigilacji z 2013 r.

Zgodnie z wytycznymi politycznymi przewodniczącego Junckera Komisja Europejska: (i) zreformowała unijne zasady ochrony danych, stosowane wobec wszystkich przedsiębiorstw działających na rynku UE; (ii) wynegocjowała umowę ramową między UE i USA, która zagwarantuje wysokie standardy ochrony danych podczas przekazywania danych z UE do Stanów Zjednoczonych do celów egzekwowania prawa; oraz (iii) wypracowała nowe, solidne ramy ochrony danych wymienianych w celach komercyjnych: zasady bezpiecznego transferu danych między UE i USA.

Dzisiaj Komisja opublikowała też projekt decyzji w sprawie odpowiedniej ochrony danych osobowych oraz teksty wdrażające zasady bezpiecznego transferu danych między UE i USA. Obejmują one zasady bezpiecznego transferu danych, których muszą przestrzegać przedsiębiorstwa, a także pisemne zobowiązania rządu Stanów Zjednoczonych (które zostaną opublikowane w amerykańskim rejestrze federalnym), dotyczące egzekwowania ustaleń, w tym gwarancji i ograniczeń dotyczących dostępu organów publicznych do danych.

Wiceprzewodniczący Komisji Andrus Ansip skomentował: „Zasady bezpiecznego transferu danych między UE i USA stają się rzeczywistością.Po obu stronach Atlantyku trwają prace nad zapewnieniem, by dane osobowe obywateli były w pełni chronione, a my – gotowi na wyzwania ery cyfrowej.W praktyce to przedsiębiorstwa będą musiały wdrożyć nowe zasady;jesteśmy z nimi w stałym kontakcie, aby zagwarantować, że przygotowania są prowadzone w optymalny sposób.Dołożymy starań, na szczeblu UE i na arenie międzynarodowej, by podnieść poziom zaufania do gospodarki cyfrowej.To niezbędny krok na drodze do budowy naszej cyfrowej przyszłości".

Komisarz Věra Jourová dodała: „Ochrona danych osobowych jest moim priorytetem, zarówno na szczeblu UE, jak i we współpracy z naszymi partnerami międzynarodowymi.Zasady bezpiecznego transferu danych między UE i USA to solidne nowe ramy, których podstawą są konsekwentne egzekwowanie przepisów, ułatwienie osobom fizycznym dochodzenia roszczeń oraz bezprecedensowe pisemne zobowiązania naszych amerykańskich partnerów w sprawie gwarancji i ograniczeń dotyczących dostępu organów publicznych do danych z uwagi na względy bezpieczeństwa narodowego.Co więcej, prezydent Obama podpisał ustawę o sądowych środkach odwoławczych, która daje obywatelom UE możliwość egzekwowania prawa do ochrony danych osobowych przed amerykańskimi sądami. W najbliższym czasie wystąpimy z wnioskiem o podpisanie umowy ramowej między UE i USA, obejmującej gwarancje dotyczące przekazywania danych do celów egzekwowania prawa.W ten sposób Europa i Ameryka będą mogły wspólnie odbudować zaufanie do transatlantyckiego przepływu danych".

W wyniku analiz Komisji stwierdzono, że poziom ochrony danych po przyjęciu zasad będzie odpowiedni: gwarancje obowiązujące w przypadku przepływu danych między UE i USA zgodnie z nowymi zasadami będą takie same, jak standardy ochrony danych w UE. Nowy system spełnia wymogi określone przez Trybunał Sprawiedliwości w orzeczeniu z dnia 6 października 2015 r. Władze Stanów Zjednoczonych zobowiązały się, że zasady bezpiecznego transferu danych będą rygorystycznie stosowane. Potwierdziły też, że krajowe organy bezpieczeństwa nie prowadzą inwigilacji na masową skalę.

Zapewnią to następujące czynniki:

• Rygorystyczne obowiązki nałożone na przedsiębiorstwa i konsekwentne egzekwowanie przepisów: Nowe zasady będą przejrzyste i obejmą skuteczne mechanizmy nadzoru, aby zagwarantować, że przedsiębiorstwa przestrzegają swoich zobowiązań. Przedsiębiorstwa, które będą łamać zasady, będą mogły zostać ukarane i wyłączone z programu. Nowe zasady obejmują też zaostrzone warunki dalszego przekazywania danych przez przedsiębiorstwa uczestniczące w programie.
• Wyraźne zabezpieczenia i wymogi przejrzystości regulujące dostęp administracji rządowej USA do danych osobowych: Po raz pierwszy w historii rząd Stanów Zjednoczonych przedstawił Unii pisemne zapewnienie Urzędu Dyrektora Krajowych Służb Wywiadowczych, że dostęp organów publicznych do danych osobowych związany z kwestiami bezpieczeństwa narodowego będzie podlegać wyraźnym ograniczeniom, zabezpieczeniom i mechanizmom nadzoru. Uniemożliwi to nieograniczony dostęp do danych osobowych. Amerykański sekretarz stanu John Kerry obiecał, że Europejczycy będą mieli możliwość dochodzenia roszczeń wobec amerykańskich służb wywiadowczych za pośrednictwem rzecznika praw obywatelskich w Departamencie Stanu – niezależnego od krajowych służb bezpieczeństwa. Rzecznik praw obywatelskich będzie zajmował się skargami i pytaniami obywateli i poinformuje ich, czy w danym przypadku przestrzegano obowiązujących przepisów. Wszystkie pisemne zobowiązania zostaną opublikowane w amerykańskim rejestrze federalnym.
• Skuteczna ochrona praw obywateli UE, obejmująca różne możliwości dochodzenia roszczeń: Przedsiębiorstwa będą miały 45 dni na rozpatrzenie skargi. Bezpłatnie będzie można skorzystać z alternatywnej metody rozwiązywania sporów. Obywatele UE będą też mogli zwrócić się do krajowych organów ochrony danych w swoim państwie, które skontaktują się z Federalną Komisją Handlu, aby zagwarantować, że nierozpatrzone skargi europejskich obywateli zostaną zbadane i rozpatrzone. Jeżeli sprawa nie zostanie rozwiązana w inny sposób, w ostateczności będzie można zastosować mechanizm arbitrażu – gwarantujący możliwe do wyegzekwowania na drodze prawnej rozwiązanie. Przedsiębiorstwa mogą też zobowiązać się do zastosowania sugestii europejskich organów ochrony danych. Obowiązkowo muszą to zrobić przedsiębiorstwa przetwarzające dane osobowe.
• Wspólny mechanizm corocznego przeglądu: Mechanizm ten obejmie monitorowanie funkcjonowania zasad bezpiecznego transferu danych, w tym zobowiązań i zapewnień dotyczących dostępu do danych do celów egzekwowania prawa i bezpieczeństwa narodowego. Przegląd przeprowadzać będą Komisja Europejska i Departament Handlu USA, przy współpracy specjalistów z krajowych służb wywiadu z USA i europejskich organów ochrony danych. Komisja będzie korzystać ze wszystkich dostępnych źródeł informacji, w tym sprawozdań przedsiębiorstw dotyczących liczby rządowych wniosków o udostępnienie danych. Komisja zorganizuje też doroczny szczyt w sprawie ochrony prywatności z udziałem zainteresowanych organizacji pozarządowych i innych podmiotów. Jego przedmiotem będą ogólne zmiany w amerykańskich zasadach ochrony prywatności i ich wpływ na Europejczyków. Na podstawie corocznego przeglądu Komisja opublikuje sprawozdanie dla Parlamentu Europejskiego i Rady.

Dalsze działania

Po konsultacji z komitetem złożonym z przedstawicieli państw członkowskich i uzyskaniu opinii unijnych organów ochrony danych (Grupa Robocza Art. 29) kolegium będzie mogło przyjąć ostateczną decyzję. W międzyczasie strona amerykańska poczyni niezbędne przygotowania do wprowadzenia nowych ram regulacyjnych, mechanizmów monitorowania i powołania odrębnego rzecznika praw obywatelskich.

W dniu 24 lutego prezydent Obama podpisał przyjętą przez Kongres ustawę o sądowych środkach odwoławczych. Wkrótce Komisja wystąpi z wnioskiem o podpisanie umowy ramowej. Decyzja w sprawie zawarcia umowy powinna zostać przyjęta przez Radę po uzyskaniu zgody Parlamentu Europejskiego.