This document is an excerpt from the EUR-Lex website
Document 52016PC0237
Proposal for a COUNCIL DECISION on the conclusion, on behalf of the European Union, of an Agreement between the United States of America and the European Union on the protection of personal information relating to the prevention, investigation, detection, and prosecution of criminal offenses
Wniosek DECYZJA RADY dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
Wniosek DECYZJA RADY dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
COM/2016/0237 final - 2016/0126 (NLE)
KOMISJA EUROPEJSKA
Bruksela, dnia 29.4.2016
COM(2016) 237 final
2016/0126(NLE)
Wniosek
DECYZJA RADY
dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
UZASADNIENIE
1.KONTEKST WNIOSKU
•Przyczyny i cele wniosku
Grupa kontaktowa wysokiego szczebla, składająca się z urzędników wysokiego szczebla z Komisji, prezydencji Rady i Departamentów: Sprawiedliwości, Bezpieczeństwa Wewnętrznego i Stanu Stanów Zjednoczonych, została powołana w listopadzie 2006 r., aby zbadać sposoby umożliwiające UE i USA bliższą i skuteczniejszą współpracę, jeśli chodzi o wymianę informacji na temat egzekwowania prawa przy jednoczesnym zapewnieniu ochrony danych osobowych i prywatności. W sprawozdaniu końcowym z października 2009 r. 1 grupa ta doszła do wniosku, że najlepszym rozwiązaniem będzie zawarcie umowy międzynarodowej, zobowiązującej zarówno UE, jak i USA do przestrzegania wspólnych zasad ochrony danych w odniesieniu do transatlantyckiego przekazywania danych w obszarze egzekwowania prawa. Korzyścią takiego rozwiązania byłoby ustanowienie podstawowych zasad skutecznej ochrony prywatności i danych osobowych regulujących wszelką wymianę informacji na temat egzekwowania prawa; ponadto gwarantowałoby ono najwyższy poziom pewności prawa.
W dniu 3 grudnia 2010 r. Rada przyjęła decyzję upoważniającą Komisję do rozpoczęcia negocjacji dotyczących umowy między Unią Europejską i Stanami Zjednoczonymi Ameryki w sprawie ochrony danych osobowych w przypadku ich przekazywania i przetwarzania do celów zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania, w ramach współpracy policyjnej i sądowej w sprawach karnych (zwanej dalej „umową ramową”) 2 .
W dniu 28 marca 2011 r. Komisja rozpoczęła negocjacje. W dniu 8 września 2015 r. strony parafowały tekst umowy.
Umowa ramowa ustanawia (po raz pierwszy w historii) kompleksowe ramy zasad ochrony danych i zabezpieczeń w przypadku przekazywania informacji osobowych 3 do celów egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE lub jej państwami członkowskimi z drugiej strony. Celem umowy jest zarówno zapewnienie wysokiego poziomu ochrony danych, jak i poprawa współpracy między stronami. Umowa ramowa nie jest wprawdzie podstawą prawną przekazywania informacji osobowych do USA, będzie ona jednak w razie konieczności uzupełniać zabezpieczenia w zakresie ochrony danych w obowiązujących i przyszłych umowach dotyczących przekazywania danych lub w przepisach krajowych zezwalających na takie przekazywanie.
Stanowi to znaczną poprawę w porównaniu z obecną sytuacją, w której informacje osobowe są przekazywane przez Atlantyk na podstawie instrumentów prawnych (umów międzynarodowych lub przepisów krajowych), które zasadniczo zawierają nieskuteczne przepisy dotyczące ochrony danych osobowych lub takich przepisów w ogóle nie przewidują.
• Spójność z przepisami obowiązującymi w tej dziedzinie polityki
Umowa ramowa zwiększy ochronę wszystkich danych osobowych osób w UE, których te dane dotyczą, w przypadku wymiany takich danych z USA do celów egzekwowania przepisów prawa karnego. Dzięki ustanowieniu kompleksowych ram obejmujących gwarancje ochrony danych umowa będzie stanowiła uzupełnienie obowiązujących umów (zarówno umów dwustronnych między państwami członkowskimi i USA, jak i umów między UE i USA), na podstawie których dane osobowe są przesyłane do USA do celów egzekwowania prawa, w przypadku gdy i o ile umowy te nie zapewniają wymaganego poziomu ochrony i zabezpieczeń.
Ponadto umowa zagwarantuje „siatkę bezpieczeństwa” dla przyszłych umów między UE lub jej państwami członkowskimi i USA, poniżej której wymagany poziom ochrony nie będzie mógł zejść. Jest to ważna gwarancja na przyszłość i zdecydowane przejście od sytuacji obecnej, w której zabezpieczenia, środki ochrony i prawa muszą być negocjowane od nowa w przypadku każdej nowej umowy.
Ogólnie umowa ramowa przysporzy znacznej wartości dodanej ze względu na zwiększenie poziomu ochrony osób w UE, których te dane dotyczą, zgodnie z wymogami unijnego prawa pierwotnego i wtórnego. Po raz pierwszy w historii umowa wprowadzi instrument ochrony danych obejmujący w kompleksowy i spójny sposób wszelkie przekazywanie danych w danym obszarze (tj. transatlantyckie wymiany danych w dziedzinie współpracy policyjnej i współpracy sądowej w sprawach karnych). Ponadto w umowie ramowej zostaną potwierdzone w kontekście transatlantyckim ogólne wymogi dotyczące międzynarodowego przekazywania danych określone w przyszłej dyrektywie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (zwanej dalej „dyrektywą w sprawie policji”), przyjętej w dniu 14 kwietnia 2016 r. 4 . W świetle powyższego umowa ramowa posłuży za precedens w przypadku możliwych podobnych umów z pozostałymi partnerami międzynarodowymi.
•Spójność z innymi politykami Unii
Oczekuje się, że umowa ramowa będzie miała znaczny wpływ na współpracę z policją i organami ścigania w Stanach Zjednoczonych. Dzięki ustanowieniu wspólnych i kompleksowych ram zawierających zasady i gwarancje dotyczące ochrony danych umowa umożliwi organom ścigania w UE lub jej państwach członkowskich, z jednej strony, i USA, z drugiej strony, bardziej skuteczną współpracę. Ponadto zapewni, aby obowiązujące umowy zawierały wszystkie konieczne środki ochrony. Umożliwi to ciągłość współpracy organów ścigania, zapewniając jednocześnie większą pewność prawa przy przekazywaniu danych. Umowa ułatwi także zawieranie przyszłych umów w sprawie przekazywania danych z USA w sektorze egzekwowania przepisów prawa karnego, jako że zabezpieczenia służące ochronie danych będą już uzgodnione i nie będzie konieczne ich ponowne negocjowanie. Co więcej, ustalenie wspólnych norm w tym kluczowym, lecz złożonym obszarze współpracy jest ważnym osiągnięciem, które może w znacznym stopniu przyczynić się do odbudowy zaufania w dziedzinie transatlantyckich przepływów danych.
2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ
•Podstawa prawna
Podstawą prawną niniejszego wniosku jest art. 16 TFUE w związku z art. 218 ust. 6 lit. a) TFUE.
•Pomocniczość
Umowa ramowa wchodzi w zakres wyłącznych kompetencji UE zgodnie z art. 3 ust. 2 TFUE. Zasada pomocniczości nie ma zatem zastosowania.
•Proporcjonalność
Umowa ramowa przewiduje gwarancje ochrony danych wymagane w wytycznych negocjacyjnych Rady. Są one uznawane za niezbędne elementy zapewniające wymagany poziom ochrony w przypadku przekazywania danych osobowych do państwa trzeciego, zarówno na mocy Karty praw podstawowych UE, jak i zmieniającego się dorobku prawnego UE. Ani znacznie mniejszego zestawu takich gwarancji, ani instrumentu o mniejszej mocy wiążącej nie można było uznać za wystarczające do zapewnienia takiego poziomu ochrony. Wniosek nie wykracza zatem poza to, co jest niezbędne do osiągnięcia celu politycznego, jakim jest ustanowienie ram ochrony danych osobowych w przypadku ich przekazywania między Stanami Zjednoczonymi, z jednej strony, a Unią Europejską lub jej państwami członkowskimi, z drugiej strony, w kontekście egzekwowania prawa.
•Wybór instrumentu
Ustanowienie wiążących ram ochrony danych osobowych, które będą uzupełniały obowiązujące umowy i będą stanowiły podstawę dla przyszłych umów, może być zapewnione jedynie dzięki umowie międzynarodowej zawartej między UE i Stanami Zjednoczonymi.
Ponadto, jak podkreślono w sprawozdaniu grupy kontaktowej wysokiego szczebla z października 2009 r., umowa międzynarodowa gwarantuje najwyższy poziom pewności prawa.
3.WYNIKI OCEN EX-POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW
•Oceny ex-post/kontrole sprawności obowiązującego prawodawstwa
Nie dotyczy.
•Konsultacje z zainteresowanymi stronami
Komisja regularnie składała specjalnemu komitetowi Rady pisemne i ustne sprawozdania dotyczące postępów w negocjacjach. Również Parlament Europejski był regularnie informowany o postępach, zarówno w formie pisemnej, jak i ustnej, za pośrednictwem Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych.
•Gromadzenie i wykorzystanie wiedzy eksperckiej
Inicjatywa stanowi realizację wytycznych negocjacyjnych Rady z dnia 3 grudnia 2010 r.
•Ocena skutków
Ocena skutków nie była konieczna. Umowa będąca przedmiotem wniosku jest zgodna z wytycznymi negocjacyjnymi Rady.
•Sprawność regulacyjna i uproszczenie
Nie dotyczy.
•Prawa podstawowe
Postanowienia umowy ramowej mają na celu ochronę podstawowego prawa do ochrony danych osobowych i prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu, jak zapisano odpowiednio w art. 8 i art. 47 Karty praw podstawowych Unii Europejskiej.
4.WPŁYW NA BUDŻET
Umowa będąca przedmiotem wniosku nie ma wpływu na budżet.
5.ELEMENTY FAKULTATYWNE
•Plany wdrożenia i monitorowanie, ocena i sprawozdania
Wdrożenie umowy przez państwa członkowskie będzie niezbędne, lecz nie przewiduje się konieczności wprowadzenia większych zmian w przepisach krajowych, jako że postanowienia materialne umowy ramowej w znacznym stopniu odzwierciedlają zasady, które już obowiązują w odniesieniu do organów UE lub organów krajowych na mocy prawa UE lub prawa krajowego.
•Szczegółowe objaśnienia poszczególnych postanowień wniosku
Umowa ramowa, zgodnie z wytycznymi negocjacyjnymi Rady, obejmuje pięć kategorii postanowień: (i) postanowienia horyzontalne; (ii) zasady ochrony danych i związane z tym zabezpieczenia; (iii) prawa osób fizycznych; (iv) aspekty dotyczące stosowania umowy i nadzoru; oraz (v) postanowienia końcowe.
(i) Postanowienia horyzontalne
(i) Cel umowy (Artykuł 1)
Aby osiągnąć cel umowy (tj. zapewnić wysoki poziom ochrony informacji osobowych oraz poprawić współpracę w obszarze egzekwowania prawa), umowa ramowa ustanawia ramy ochrony informacji osobowych w przypadku ich przekazywania między USA, z jednej strony, a UE lub jej państwami członkowskimi, z drugiej strony, do celów zapobiegania przestępstwom, w tym terroryzmowi, ich śledzenia, wykrywania i ścigania albo wykonywania kar kryminalnych. Odniesienie do pojęcia „zapobieganie przestępstwom, ich śledzenie, wykrywanie i ściganie albo wykonywanie kar kryminalnych” (zwanego dalej łącznie „egzekwowaniem prawa”) zapewnia zgodność umowy z konstrukcją obecnego i przyszłego dorobku prawnego UE w zakresie ochrony danych (w szczególności z rozdzielnością rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych („ogólnego rozporządzenia o ochronie danych” 5 ) i „dyrektywy w sprawie policji” pod względem zakresu tych aktów).
Dzięki określeniu, że sama umowa ramowa nie jest podstawą prawną dla jakiegokolwiek przekazywania informacji osobowych oraz że zawsze wymagana jest (oddzielna) podstawa prawna, w art. 1 wyjaśniono, iż umowa ramowa jest prawdziwą umową w sprawie przestrzegania praw podstawowych ustanawiającą zestaw środków ochronnych i zabezpieczających mających zastosowanie do takiego przekazywania.
(ii) Definicje (Artykuł 2)
Podstawowe pojęcia zastosowane w umowie ramowej zostały zdefiniowane w art. 2. Definicje dotyczące informacji osobowych, przetwarzania informacji osobowych, stron, państwa członkowskiego i właściwego organu są zgodne pod kątem merytorycznym z definicjami tych pojęć określonymi w innych umowach między UE i USA lub w dorobku prawnym UE w zakresie ochrony danych.
(iii) Zakres umowy (Artykuł 3)
W art. 3 umowy ramowej określono zakres umowy ramowej. W artykule tym zapewnia się, aby środki ochrony i zabezpieczenia przewidziane w umowie ramowej miały zastosowanie do wszystkich rodzajów wymian danych odbywających się w kontekście transatlantyckiej współpracy organów ścigania w sprawach karnych. Obejmuje to przekazywanie na podstawie przepisów krajowych, umów między UE i USA (np. ·traktatu o pomocy prawnej UE-USA), umów między państwami członkowskimi i USA ( ·traktatów o pomocy prawnej, porozumień o zacieśnieniu współpracy w zakresie zapobiegania poważnej przestępczości i jej zwalczania, porozumień lub ustaleń w sprawie informacji antyterrorystycznych), jak również konkretnych umów umożliwiających przekazywanie danych osobowych przez podmioty prywatne do celów egzekwowania prawa (np. na mocy umowy UE-USA w sprawie danych dotyczących przelotu pasażera 6 (PNR) oraz w ramach Programu śledzenia środków finansowych należących do terrorystów 7 (TFTP)). Zakres jest sformułowany pod kątem przekazywania danych, tj. obejmuje zasadniczo wszystkie formy przekazywania danych do celów egzekwowania przepisów prawa karnego między UE i USA, niezależnie od obywatelstwa lub miejsca pobytu przedmiotowej osoby, której dotyczą dane.
Umowa ramowa nie będzie obejmowała przekazywania danych osobowych (ani innych form współpracy) między organami z USA i państw członkowskich odpowiedzialnymi za zapewnienie bezpieczeństwa narodowego.
(iv) Niedyskryminacja (Artykuł 4)
Artykuł 4 stanowi, że każda strona wdroży umowę ramową, nie stosując żadnej arbitralnej lub nieuzasadnionej dyskryminacji między obywatelami własnego kraju i obywatelami kraju drugiej strony.
Artykuł ten uzupełnia i wzmacnia inne postanowienia umowy (w szczególności artykuły ustanawiające zabezpieczenia dla osób fizycznych, takie jak dostęp do danych, możliwość ich sprostowania i administracyjne środki zaskarżenia, zob. poniżej), jako że zapewnia traktowanie obywateli europejskich zasadniczo na równi z obywatelami USA w przypadku praktycznego wdrażania postanowień umowy przez organy z USA.
(v) Skutki umowy (Artykuł 5)
Jeśli chodzi o obowiązujące umowy między UE lub jej państwami członkowskimi i USA, umowa ramowa uzupełni je w razie konieczności, tj. w przypadku gdy i o ile brak w nich będzie niezbędnych zabezpieczeń służących ochronie danych 8 .
Skuteczne wdrożenie umowy ramowej (a w szczególności artykułów dotyczących praw osób fizycznych) jest oparte na założeniu zgodności z mającymi zastosowanie międzynarodowymi przepisami dotyczącymi przekazywania danych. To założenie nie jest ani automatyczne, ani ogólne oraz — jak wszystkie założenia — może zostać obalone. Nie jest to założenie automatyczne, ponieważ jego spełnienie wyraźnie zależy od skutecznego wdrożenia umowy ramowej przez USA, a bardziej konkretnie – jak bezpośrednio wynika z art. 5 ust. 2 – od skutecznego wdrożenia artykułów dotyczących praw osób fizycznych (w szczególności w zakresie dostępu do danych, możliwości ich sprostowania i administracyjnych środków zaskarżenia). Nie jest to również założenie ogólne: jako że umowa ramowa nie jest samodzielnym instrumentem umożliwiającym przekazywanie danych, takie założenie z konieczności jest analizowane indywidualnie dla poszczególnych przypadków, tj. przez ocenę, czy połączenie umowy ramowej i konkretnej podstawy prawnej umożliwiającej przekazywanie zapewnia poziom ochrony zgodny z unijnymi przepisami dotyczącymi ochrony danych. Innymi słowy, inaczej niż w przypadku ustalenia dotyczącego adekwatności, postanowienie to nie przewiduje blokowego uznania poziomu ochrony zapewnianej w USA jako takiej ani ogólnego zezwolenia na przekazywanie informacji.
(ii) Zasady ochrony danych i związane z tym zabezpieczenia
Opisane poniżej artykuły obejmują istotne zasady regulujące przetwarzanie danych osobowych, jak również kluczowe zabezpieczenia i ograniczenia.
(i) Celowość i ograniczenia stosowania (Artykuł 6)
Zgodnie z Kartą praw podstawowych UE i dorobkiem prawnym UE art. 6 nakłada obowiązek stosowania zasady celowości do wszelkiego przekazywania danych osobowych objętego umową ramową, zarówno w przypadku przekazywania w odniesieniu do konkretnych przypadków, jak i w przypadku, gdy USA i UE lub jej państwa członkowskie zawierają umowę zezwalającą na zbiorcze przekazywanie danych osobowych. Przetwarzanie (obejmujące przekazywanie) może mieć miejsce jedynie w wyraźnie określonych i prawnie uzasadnionych celach w ramach zakresu umowy ramowej, tj. w celach zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych, w tym w odniesieniu do terroryzmu.
Ponadto dalsze przetwarzanie informacji osobowych przez organy (ścigania, regulacyjne lub administracyjne) inne niż pierwszy organ danej strony otrzymujący dane jest możliwe pod warunkiem, że przetwarzanie to nie jest niezgodne z celami, dla których dane zostały pierwotnie przekazane, oraz że ten inny organ spełnia wszystkie pozostałe postanowienia umowy ramowej.
W szczególnych przypadkach właściwy organ odpowiedzialny za przekazanie może również nałożyć dodatkowe warunki (np. dotyczące wykorzystania danych).
Ponadto informacje osobowe mogą być przetwarzane tylko wtedy, gdy są bezpośrednio zgodne z celami tego przetwarzania oraz nie wykraczają poza te cele i nie są nadmiernie szerokie w stosunku do tych celów.
Artykuł 6 stanowi kluczowe postanowienie umowy: zapewnia stosowanie zabezpieczeń przez cały „cykl życia” zestawu danych od momentu pierwotnego przekazania danych z UE do chwili ich przetwarzania przez właściwe organy w USA i odwrotnie, jak również podczas możliwej dalszej wymiany lub dalszego przetwarzania przez inny organ USA lub —– w przypadku przekazywania danych z USA do właściwego organu UE lub (jednego z) jej państw członkowskich – podczas możliwej dalszej wymiany lub dalszego przetwarzania przez inny organ UE lub jej państwa członkowskiego.
(ii) Dalsze przekazywanie informacji (Artykuł 7)
Ograniczenie dalszego przekazywania danych, jak określono w art. 7, oznacza, że w przypadku, gdy organ USA zamierza przekazać dalej dane – które otrzymał z UE lub jednego z jej państw członkowskich – państwu trzeciemu lub organizacji międzynarodowej, które nie podlegają umowie, będzie musiał najpierw uzyskać zgodę organu ścigania w UE, który dokonał pierwotnego przekazania danych do Stanów Zjednoczonych. Zasada ta ma również zastosowanie w przypadku, gdy organ UE lub jednego z jej państw członkowskich zamierza przekazać dalej dane, które otrzymał z USA, państwu trzeciemu lub organizacji międzynarodowej.
Podejmując decyzję o wyrażeniu zgody na dalsze przekazanie danych, organ, który dokonał pierwotnego przekazania, będzie musiał uwzględnić wszystkie istotne czynniki, w tym cel, dla którego pierwotnie przekazano dane, oraz fakt, czy państwo trzeci lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony informacji osobowych. Może także objąć transfer szczególnymi warunkami.
Ponadto – w odniesieniu do artykułów dotyczących celowości (zob. poniżej art. 6), okresów zatrzymywania informacji (zob. poniżej art. 12) i danych wrażliwych (zob. poniżej art. 13) – w artykule tym wyraźnie uwzględniono szczególną wrażliwość zbiorczego przekazywania danych dotyczących osób, na których nie ciąży podejrzenie (np. dane PNR każdego pasażera odbywającego lot, niezależnie od tego, czy istnieje wobec niego jakiekolwiek konkretne podejrzenie), poprzez zawarcie wymogu, zgodnie z którym wszelkie dalsze przekazywanie informacji osobowych, „innych niż dotyczących konkretnych spraw”, może się odbywać jedynie po spełnieniu szczególnych warunków określonych w umowie, które należycie uzasadniają dalsze przekazywanie tych informacji.
Szczególny przypadek dalszego przekazywania danych do innego państwa w UE (np. francuska policja dzieli się z niemiecką policją informacjami otrzymanymi od FBI z USA) również został uwzględniony w tym artykule (ust. 4) dzięki zapisowi, że jeżeli według mających zastosowanie przepisów takie przekazanie wymaga uprzedniej zgody, organ, który pierwotnie przesłał informacje (np. FBI z USA), nie będzie mógł odmówić zgody na takie przekazanie ani nałożyć na takie przekazanie szczególnych warunków z powodu ochrony danych (jako że wszystkie organy w tym przypadku podlegają umowie ramowej).
(iii) Jakość i integralność informacji (Artykuł 8)
Strony podejmą rozsądne działania, aby przekazane dane osobowe były przechowywane z taką trafnością, terminowością, kompletnością i dokładnością, jakie są konieczne i odpowiednie do zgodnego z prawem przetwarzania informacji. Jeśli organ otrzymujący lub przekazujący informacje stwierdzi poważne wątpliwości co do trafności, terminowości, kompletności i dokładności danych osobowych, które otrzymał lub przekazał, powiadamia o tym, o ile to możliwe, właściwy organ przekazujący lub otrzymujący dane.
(iv) Bezpieczeństwo informacji (Artykuł 9) i Zgłoszenie incydentu związanego z bezpieczeństwem informacji (Artykuł 10)
Te artykuły przyczyniają się do zapewnienia wysokiego poziomu bezpieczeństwa danych osobowych podlegających wymianie między stronami umowy ramowej.
Po pierwsze, zgodnie z art. 9, strony zapewniają wprowadzenie odpowiednich uzgodnień technicznych, uzgodnień w zakresie bezpieczeństwa i uzgodnień organizacyjnych w celu ochrony informacji osobowych przed wystąpieniem przypadkowego lub nielegalnego zniszczenia, przypadkowej utraty lub nieuprawnionego dostępu do informacji osobowych, ich nieuprawnionego ujawnienia, modyfikacji lub innej formy przetwarzania. Ustalenia te obejmują również zapis, zgodnie z którym dostęp do danych osobowych będzie przyznawany jedynie upoważnionym pracownikom.
Po drugie, zgodnie z art. 10, w przypadku incydentu związanego z bezpieczeństwem, w wyniku którego występuje znaczne ryzyko wystąpienia szkody, należy niezwłocznie podjąć odpowiednie działania, aby złagodzić szkodę, w tym powiadomić organ przekazujący informacje oraz, w przypadkach uzasadnionych okolicznościami incydentu, osobę, której dane dotyczą. Wyjątki od obowiązku powiadamiania są wymienione w sposób wyczerpujący w tym postanowieniu i odpowiadają rozsądnym ograniczeniom (np. z powodów bezpieczeństwa narodowego).
(v) Przechowywanie dokumentacji (Artykuł 11)
Strony ustanawiają skuteczne metody (takie jak rejestry) wykazywania zgodności z prawem operacji przetwarzania i wykorzystywania informacji osobowych.
Wymóg ten stanowi znaczące zabezpieczenie dla osób fizycznych, jako że obarcza organy ścigania prawa ciężarem wykazania, że przedmiotowa operacja przetwarzania danych została przeprowadzona zgodnie z prawem. Obowiązek udokumentowania operacji przetwarzania danych w szczególności powoduje, że w przypadku nielegalnego przetwarzania danych będzie istniał „ślad”. Powinno to ułatwić rozpatrywanie skarg oraz składanie wniosków dotyczących legalności operacji przetwarzania danych.
(vi) Okres zatrzymywania danych (Artykuł 12)
Przetwarzanie danych będzie podlegało szczególnym okresom zatrzymywania danych, aby zagwarantować, że dane nie będą przechowywane przez czas dłuższy niż jest to konieczne i właściwe. Aby określić długość takich okresów zatrzymywania danych, należy wziąć pod uwagę szereg elementów, w szczególności cel przetwarzania lub wykorzystania danych, charakter danych oraz wpływ na prawa i interesy osób, których dane dotyczą.
W artykule określono również, że jeśli strony zawierają umowę o zbiorczym przekazywaniu danych, umowa ta musi zawierać szczególny zapis dotyczący obowiązującego okresu zatrzymywania danych. Przyjmując to postanowienie, strony akceptują zasadę, zgodnie z którą umowy o zbiorczym przekazywaniu powinny zawierać określony okres zatrzymywania danych, dzięki czemu nie będzie konieczne jego ponowne negocjowanie.
Okresy zatrzymywania danych będą podlegały okresowym przeglądom, aby ustalić, czy zmiana okoliczności wymaga jakiejkolwiek zmiany obowiązującego okresu zatrzymywania danych.
Aby zachować przejrzystość, długość okresów zatrzymywania danych będzie publikowana lub w inny sposób podawana do wiadomości publicznej.
(vii) Specjalne kategorie danych (Artykuł 13)
Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne lub przekonania religijne lub inne, członkostwo w związkach zawodowych lub informacji osobowych dotyczących zdrowia lub życia seksualnego może następować jedynie przy zachowaniu odpowiednich zabezpieczeń przewidzianych prawem (np. zamaskowanie informacji po osiągnięciu celu, dla którego przetwarzano dane, lub wymóg wyrażenia zgody przez organ nadzoru na udostępnienie informacji).
W umowach zezwalających na zbiorcze przekazywanie danych osobowych konieczne będzie sprecyzowanie norm i warunków, po spełnieniu których możliwe będzie przetworzenie szczególnych kategorii danych.
Postanowienia dotyczące specjalnych kategorii danych są spójne z wymogiem, zgodnie z którym przetwarzanie jest bezpośrednio zgodne z celami tego przetwarzania oraz nie wykracza poza te cele na podstawie art. 6 dotyczącego celowości i ograniczeń stosowania.
(viii) Decyzje zautomatyzowane (Artykuł 15)
Przetwarzanie danych, które może prowadzić do decyzji mającej negatywne skutki dla osoby fizycznej (np. w kontekście profilowania), nie może się opierać jedynie na zautomatyzowanym przetwarzaniu informacji osobowych, chyba że jest to dozwolone na podstawie prawa krajowego oraz pod warunkiem, że zapewniono właściwe zabezpieczenia, w tym istnieje możliwość uzyskania interwencji ludzkiej.
(ix) Przejrzystość (Artykuł 20)
Osoby fizyczne są uprawnione do otrzymywania informacji (za pośrednictwem ogólnych lub indywidualnych zawiadomień oraz przy zachowaniu „uzasadnionych ograniczeń”) dotyczących celu przetwarzania i możliwego dalszego wykorzystania ich danych osobowych, przepisów lub zasad regulujących takie przetwarzanie, tożsamości osób trzecich, którym zostaną ujawnione ich dane osobowe, jak również dostępnych mechanizmów dostępu do danych, ich sprostowania i środków zaskarżenia.
Podnoszenie świadomości osób fizycznych na temat tego, kiedy i przez kogo przetwarzane są dotyczące ich dane, przyczynia się do umożliwienia osobom fizycznym wykonywania ich prawa dostępu do danych, sprostowania danych lub wniesienia środków zaskarżenia (zob. poniżej art. 16–19).
(iii) Prawa osób fizycznych
Te prawa mają szczególne znaczenie dla ochrony osób, których dane dotyczą i które po raz pierwszy będą miały możliwość skorzystania z praw ogólnego zastosowania w odniesieniu do dowolnego transatlantyckiego przekazywania danych osobowych w obszarze egzekwowania przepisów prawa karnego.
(i) Dostęp do danych i ich sprostowanie (Artykuł 16 i 17)
Prawo dostępu do danych upoważnia każdą osobę fizyczną do zażądania i uzyskania dostępu do dotyczących jej danych osobowych. Powody ograniczenia dostępu są określone w sposób wyczerpujący i odpowiadają uzasadnionym ograniczeniom (np. zapewnienie bezpieczeństwa narodowego, uniemożliwienie utrudniania dochodzeń i śledztw w sprawach karnych, ochrona praw i wolności innych osób). Uzyskanie dostępu do danych nie może być powiązane z nadmiernymi wydatkami dla osoby, której dane dotyczą.
Prawo do sprostowania danych umożliwia wszystkim osobom fizycznym złożenie wniosku o korektę lub sprostowanie ich danych osobowych w przypadku, gdy dane te są niedokładne lub zostały przetworzone w niewłaściwy sposób. Może to obejmować uzupełnienie danych, ich usunięcie, zablokowanie lub inne środki lub metody mające na celu usunięcie niedokładności lub zaprzestanie niewłaściwego przetwarzania.
Jeśli właściwy organ kraju otrzymującego dane stwierdzi – na wniosek osoby fizycznej, na skutek zawiadomienia od podmiotu przekazującego informacje osobowe lub w wyniku własnego dochodzenia – że informacje są niedokładne lub zostały niewłaściwie przetworzone, organ ten podejmuje środki w postaci uzupełnienia, usunięcia, zablokowania danych lub inne środki służące korekcie lub sprostowaniu.
Jeśli zezwala na to prawo krajowe, każda osoba fizyczna jest uprawniona do upoważnienia organu nadzoru (tj. krajowego organu ochrony danych właściwego dla osoby w UE, której dane dotyczą) do złożenia w jej imieniu wniosku o dostęp do danych lub ich sprostowanie Ta możliwość bezpośredniego wykonywania praw za pośrednictwem organu i w ramach systemu prawnego, który jest znany osobom, których dane dotyczą, powinna w konkretny sposób ułatwić tym osobom wykonywanie swoich praw.
W przypadku odmowy lub ograniczenia dostępu do danych lub ich sprostowania organ, do którego złożono wniosek, udziela osobie fizycznej (lub jej należycie upoważnionemu przedstawicielowi) odpowiedzi zawierającej powody odmowy lub ograniczenia dostępu do danych lub ich sprostowania. Obowiązek udzielenia osobie fizycznej uzasadnionej odpowiedzi ma na celu umożliwienie i ułatwienie wykonywania jej praw do wniesienia administracyjnych i sądowych środków zaskarżenia w przypadku odmowy lub ograniczenia dostępu/sprostowania przez przedmiotowy organ ścigania.
(ii) Administracyjne środki zaskarżenia (Artykuł 18)
W przypadku, gdy osoba fizyczna nie zgadza się z decyzją dotyczącą jej wniosku o dostęp do danych osobowych lub ich sprostowanie, jest ona uprawniona do wniesienia administracyjnego środka zaskarżenia. Jeśli chodzi o prawo dostępu do danych oraz ich sprostowania, aby skutecznie wykonywać to prawo, przedmiotowa osoba, której dane dotyczą, jest uprawniona do upoważnienia w tym zakresie organu nadzoru (tj. krajowego organu ochrony danych właściwego dla osoby w UE, której dane dotyczą) lub innego przedstawiciela, jeśli jest to dozwolone na mocy obowiązujących przepisów krajowych.
Organ, do którego się zwrócono, udzieli przedmiotowej osobie, której dane dotyczą, odpowiedzi na piśmie, w której wskaże, w stosownych przypadkach, podjęte działania usprawniające lub naprawcze.
(ii) Sądowe środki zaskarżenia (Artykuł 19)
Obywatele państw każdej ze stron mogą złożyć w sądzie skargę dotyczącą i) odmowy dostępu do danych, ii) odmowy sprostowania danych lub iii) nielegalnego ujawnienia danych przez organy drugiej strony.
Po stronie USA zostało to odzwierciedlone w ustawie o sądowych środkach odwoławczych podpisanej przez prezydenta Baracka Obamę w dniu 24 lutego 2016 r. Umowa ta rozszerzy obowiązywanie tych trzech powodów wniesienia sądowych środków zaskarżenia określonych w amerykańskiej ustawie o prywatności z 1974 r., które są obecnie ograniczone do obywateli USA i stałych rezydentów, na obywateli „państw objętych ustawą” 9 . W czwartym motywie preambuły umowy ramowej wyjaśniono, że to rozszerzenie będzie również obejmowało dane przekazywane na mocy takich umów, jak PNR i TFTP. Wraz z przyjęciem ustawy o sądowych środkach odwoławczych artykuł 19 znacznie zwiększy zatem ochronę sądową obywateli UE.
Mimo że ustawa o sądowych środkach odwoławczych zawiera szereg ograniczeń (w szczególności będzie ona miała zastosowanie jedynie do danych dotyczących obywateli „państw objętych ustawą” – których dane zostały przekazane przez organy ścigania prawa z UE – zwłaszcza do obywateli UE, lecz nie tylko), w art. 19 umowy ramowej uwzględniono od dawna wysuwany postulat UE.
Postanowienie to odpowiada wytycznym politycznym przewodniczącego Jeana-Claude'a Junckera, zgodnie z którymi „USA muszą [...] zagwarantować, by wszyscy obywatele UE mogli korzystać z przysługujących im praw do ochrony danych także i w sprawach toczących się przed amerykańskimi sądami, niezależnie od tego, czy zamieszkują na terytorium Stanów Zjednoczonych. Zlikwidowanie takiej dyskryminacji jest niezbędne dla odbudowy zaufania w relacjach transatlantyckich”. Podobnie postanowienie to odpowiada rezolucji Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, w której Parlament zwrócił się o bezzwłoczne wznowienie negocjacji z USA dotyczących umowy ramowej, aby „prawa obywateli UE były traktowane na równi z prawami obywateli Stanów Zjednoczonych (...)” oraz aby zapewnić „skuteczne i możliwe do wyegzekwowania (...) sądowe środki odwoławcze dla wszystkich obywateli UE w Stanach Zjednoczonych bez jakiejkolwiek dyskryminacji” 10 .
W art. 19 ust. 3 wyjaśniono, że rozszerzenie trzech wyżej wymienionych sądowych środków zaskarżenia jest bez uszczerbku dla innych możliwości wniesienia sądowych środków odwoławczych dostępnych w odniesieniu do przetwarzania danych (np. na mocy ustawy o procedurze administracyjnej, ustawy o prywatności w kontekście łączności elektronicznej lub ustawy o swobodnym dostępie do informacji). Te inne podstawy prawne wniesienia sądowych środków zaskarżenia są otwarte dla wszystkich osób z UE, których dane dotyczą, objętych przekazywaniem danych do celów egzekwowania prawa, niezależnie od ich obywatelstwa lub miejsca pobytu.
(iv) Aspekty dotyczące stosowania umowy ramowej i nadzoru
(i) Rozliczalność (Artykuł 14)
Należy wprowadzić środki propagujące odpowiedzialność organów przetwarzających dane osobowe objęte umową ramową. W szczególności jeśli dane osobowe są dalej przekazywane przez organ otrzymujący innym organom, organy te powinny być powiadamiane o zabezpieczeniach obowiązujących na mocy tej umowy, jak również o możliwych dodatkowych warunkach (ograniczających), które nałożono na przekazanie zgodnie z art. 6 ust. 3 (dotyczącym celowości i ograniczeń stosowania). Na poważne uchybienia należy reagować za pomocą odpowiednich i odstraszających sankcji karnych, cywilnych lub administracyjnych.
Środki na rzecz propagowania odpowiedzialności obejmują również, w stosownych przypadkach, wstrzymanie dalszego przekazywania danych osobowych do podmiotów stron, które to podmioty nie są objęte umową ramową, jeśli nie zapewniają one skutecznej ochrony informacji osobowych w świetle celu umowy (a w szczególności postanowień dotyczących celowości i dalszego przekazywania). Postanowienie to uwzględnia sytuację, w której dane osobowe są przesyłane przez organ UE do organu federalnego w USA (tj. organu objętego umową), a następnie dalej przekazywane organowi egzekwowania prawa na szczeblu stanowym. Na mocy obowiązujących zasad konstytucyjnych USA mają ograniczone możliwości nałożenia na swoje stany wiążących przepisów na szczeblu międzynarodowym 11 . Aby zachować ciągłość ochrony danych przekazanych do agencji federalnych w USA, a następnie przesłanych do organów ścigania prawa na szczeblu stanowym, artykuł ten (i) uwzględnia w swoim zakresie „inne organy” stron (tj. organy nieobjęte zakresem tej umowy, takie jak organy stanowe w USA); (ii) przewiduje, że będą one informowane o zabezpieczeniach zapewnionych na podstawie umowy ramowej; oraz (iii) przewiduje, że przekazywanie do takich organów zostanie w razie konieczności wstrzymane, jeśli organy te nie będą zapewniały skutecznej ochrony danych osobowych w świetle celu umowy ramowej, a w szczególności w kontekście artykułów dotyczących celowości i dalszego przekazywania.
Poprzez dążenie do zapewnienia, aby właściwe organy egzekwowania prawa odpowiadały za przestrzeganie postanowień umowy ramowej, artykuł ten jest istotnym elementem skutecznego systemu egzekwowania prawa i nadzoru w ramach umowy. Ułatwi on również składanie wniosków przez osoby fizyczne w przypadku uchybień (i związanej z nimi odpowiedzialności organów publicznych).
Ponadto organy UE będą miały możliwość wyrażenia wątpliwości wobec swoich odpowiedników z USA i będą mogły otrzymać od nich informacje na temat tego, w jaki sposób przestrzegają one swoich obowiązków wynikających z art. 14 (w tym na temat środków podjętych w tym względzie). Również w kontekście wspólnych przeglądów (zob. art. 23 poniżej) szczególna uwaga zostanie poświęcona skutecznemu wdrożeniu tego artykułu.
(ii) Skuteczny nadzór (Artykuł 21)
Strony posiadają co najmniej jeden organ publiczny wypełniający niezależne funkcje nadzoru i wykonujący uprawnienia w tym zakresie, obejmujące między innymi przegląd, dochodzenia i podejmowanie interwencji. Organy te mają prawo do przyjmowania i rozpatrywania skarg od osób fizycznych, dotyczących wdrażania umowy ramowej, oraz przekazywania przypadków naruszenia prawa związanych z tą umową do celów ścigania lub wszczęcia postępowania dyscyplinarnego. Ze względu na właściwości systemu USA funkcje nadzoru, które w UE wypełniają organy ochrony danych, będą tam sprawowane łącznie przez organy nadzoru (w tym głównych urzędników ds. ochrony prywatności, inspektorów generalnych, komisje nadzoru prywatności i swobód obywatelskich itp.).
Artykuł ten uzupełnia zabezpieczenia dostępne na podstawie postanowień dotyczących dostępu do danych, ich sprostowania i administracyjnych środków zaskarżenia. W szczególności umożliwia on osobom fizycznym wnoszenie do niezależnych organów skarg w odniesieniu do wdrażania umowy ramowej przez drugą stronę.
(iii) Współpraca między organami nadzoru (Artykuł 22)
Organy nadzoru będą współpracowały w celu zapewnienia skutecznego wdrożenia umowy, w szczególności w odniesieniu do systemu pośredniego wykonywania praw osób fizycznych w zakresie dostępu do danych, ich sprostowania i wniesienia administracyjnych środków zaskarżenia (zob. art. 16–18 poniżej).
Ponadto należy ustanowić krajowe punkty kontaktowe, które będą pomagać w ustalaniu organu nadzoru, do którego należy zwrócić się w danej sprawie. Szczególnie ze względu na istnienie kilku organów nadzoru w USA ustanowienie centralnego „punktu obsługi” dla wniosków o pomoc i współpracę ma przyczynić się do skutecznego rozpatrywania tych wniosków.
(iv) Wspólny przegląd (Artykuł 23)
Strony będą dokonywały okresowych wspólnych przeglądów wdrażania i skuteczności umowy ramowej, poświęcając szczególną uwagę skutecznemu wdrażaniu artykułów dotyczących praw osób fizycznych (dostęp do danych, sprostowanie, wniesienie administracyjnych i sądowych środków zaskarżenia), jak również kwestii przekazywania do jednostek terytorialnych nieobjętych umową (tj. poszczególnych stanów w USA). Pierwszy wspólny przegląd przeprowadzony zostanie nie później niż trzy lata od daty wejścia w życie niniejszej umowy, a następne w regularnych odstępach czasu.
W skład odpowiednich delegacji powinni wchodzić przedstawiciele zarówno organów ochrony danych, jak i organów egzekwowania prawa / organów sądowych, a ustalenia poczynione w trakcie wspólnych przeglądów należy publikować.
(v) Postanowienia końcowe
Umowa ramowa zawiera szereg postanowień końcowych dotyczących następujących elementów:
powiadomienie drugiej strony o wszelkich aktach prawnych, które w istotny sposób wpływają na wdrożenie umowy. USA będą w szczególności powiadamiać UE o wszelkich środkach związanych ze stosowaniem przepisów ustawy o sądowych środkach odwoławczych (art. 24);
konsultacje w przypadku sporów dotyczących sposobu interpretacji lub stosowania umowy (art. 25);
możliwość zawieszenia umowy przez jedną ze stron w przypadku istotnego naruszenia postanowień umowy przez drugą stronę (art. 26);
terytorialny zakres stosowania umowy w celu uwzględnienia szczególnej sytuacji Zjednoczonego Królestwa, Irlandii i Danii (art. 27);
nieokreślony okres obowiązywania umowy (co jest uzasadnione charakterem umowy, która stanowi ramy zapewniające ochronę i zabezpieczenia, jak również w świetle możliwości zawieszenia i rozwiązania umowy) (art. 28);
możliwość rozwiązania umowy przez każdą ze stron poprzez powiadomienie drugiej strony, przy założeniu, że informacje osobowe przekazane przed rozwiązaniem umowy nadal będą przetwarzane zgodnie z postanowieniami umowy ramowej (art. 29, ust. 2 i 3);
wejście w życie umowy pierwszego dnia miesiąca następującego po dniu, w którym strony powiadomiły się wzajemnie o zakończeniu swoich wewnętrznych procedur związanych z jej zatwierdzeniem (art. 29, ust. 1);
postanowienie dotyczące języka umowy (bezpośrednio poprzedzające podpis) stanowiące, że (i) umowa będzie podpisana w języku angielskim oraz sporządzona przez UE w pozostałych 23 językach urzędowych UE; (ii) po podpisaniu umowy zapewniona będzie możliwość uwierzytelnienia tekstu umowy w którymkolwiek z tych pozostałych języków urzędowych UE poprzez wymianę not dyplomatycznych z USA; (iii) w razie rozbieżności między autentycznymi wersjami językowymi umowy rozstrzygająca jest wersja w języku angielskim.
2016/0126 (NLE)
Wniosek
DECYZJA RADY
dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 w związku z jego art. 218 ust. 6 lit. a),
uwzględniając wniosek Komisji Europejskiej,
uwzględniając zgodę Parlamentu Europejskiego 12 ,
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1)Zgodnie z decyzją Rady [...] z dnia [...] 13 w dniu XX XXXX 2016 r. podpisano umowę między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem (zwaną dalej „umową”), z zastrzeżeniem jej zawarcia w późniejszym terminie.
(2)Umowa ma na celu ustanowienie kompleksowych ram zasad ochrony danych i zabezpieczeń w przypadku przekazywania informacji osobowych do celów egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE lub jej państwami członkowskimi z drugiej strony. Celem umowy jest zapewnienie wysokiego poziomu ochrony danych, a tym samym poprawa współpracy między stronami. Umowa ramowa nie jest wprawdzie podstawą prawną przekazywania informacji osobowych do USA, będzie ona jednak w razie konieczności uzupełniać zabezpieczenia w zakresie ochrony danych w obowiązujących i przyszłych umowach dotyczących przekazywania danych lub w przepisach krajowych zezwalających na takie przekazywanie.
(3)Unia posiada kompetencje obejmujące wszystkie postanowienia umowy. W szczególności Unia przyjęła dyrektywę 2016/XXX/UE 14 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych.
(4)Unia Europejska posiada wyłączne kompetencje w zakresie, w jakim umowa może mieć wpływ na wspólne przepisy Unii lub może zmienić ich zakres.
(5)Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, który jest załączony do TUE i TFUE, Zjednoczone Królestwo i Irlandia nie są związane postanowieniami ustanowionymi w tej umowie, dotyczącymi przetwarzania danych osobowych w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 (Współpraca sądowa w sprawach karnych) lub rozdział 5 (Współpraca policyjna) TFUE, jeżeli Zjednoczone Królestwo i Irlandia nie są związane przepisami wymagającymi zgodności z tą umową.
(6)Zgodnie z art. 1 i 2 Protokołu 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszej decyzji i w związku z tym nie jest związana umową ani objęta zakresem jej stosowania.
(7)Należy zatwierdzić umowę w imieniu Unii,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Niniejszym zatwierdza się w imieniu Unii Europejskiej umowę między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem.
Tekst umowy dołącza się do niniejszej decyzji.
Artykuł 2
Przewodniczący Rady wyznacza osobę upoważnioną do dokonania, w imieniu Unii, powiadomienia, o którym mowa w art. 29 ust. 1 umowy, w celu wyrażenia zgody Unii Europejskiej na związanie się postanowieniami umowy.
Artykuł 3
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej 15 .
Sporządzono w Brukseli dnia r.
W imieniu Rady
Przewodniczący
KOMISJA EUROPEJSKA
Bruksela, dnia 29.4.2016
COM(2016) 237 final
ZAŁĄCZNIK
UMOWA MIĘDZY STANAMI ZJEDNOCZONYMI AMERYKI A
UNIĄ EUROPEJSKĄ W SPRAWIE OCHRONY INFORMACJI OSOBOWYCH POWIĄZANYCH Z ZAPOBIEGANIEM PRZESTĘPSTWOM, ICH ŚLEDZENIEM, WYKRYWANIEM I ŚCIGANIEM
towarzyszący
wnioskowi dotyczącemu decyzji Rady
w sprawie zawarcia, w imieniu Unii Europejskiej, umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
UMOWA MIĘDZY STANAMI ZJEDNOCZONYMI AMERYKI A
UNIĄ EUROPEJSKĄ W SPRAWIE OCHRONY INFORMACJI OSOBOWYCH POWIĄZANYCH Z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
SPIS TREŚCI
Preambuła
Artykuł 1: Cel
Artykuł 2: Definicje
Artykuł 3: Zakres
Artykuł 4: Niedyskryminacja
Artykuł 5: Skutki umowy
Artykuł 6: Celowość i ograniczenia stosowania
Artykuł 7: Dalsze przekazywanie informacji
Artykuł 8: Utrzymanie jakości i integralności informacji
Artykuł 9: Bezpieczeństwo informacji
Artykuł 10: Zgłoszenie incydentu związanego z bezpieczeństwem informacji
Artykuł 11: Przechowywanie dokumentacji
Artykuł 12: Okres zatrzymywania informacji
Artykuł 13: Specjalne kategorie informacji osobowych
Artykuł 14: Rozliczalność
Artykuł 15: Decyzje podejmowane w sposób automatyczny
Artykuł 16: Dostęp do informacji
Artykuł 17: Sprostowanie informacji
Artykuł 18: Administracyjne środki zaskarżenia
Artykuł 19: Sądowe środki zaskarżenia
Artykuł 20: Przejrzystość
Artykuł 21: Skuteczny nadzór
Artykuł 22: Współpraca między organami nadzoru
Artykuł 23: Wspólny przegląd
Artykuł 24: Notyfikacja
Artykuł 25: Konsultacje
Artykuł 26: Zawieszenie
Artykuł 27: Terytorialny zakres stosowania
Artykuł 28: Okres obowiązywania umowy
Artykuł 29: Wejście w życie i rozwiązanie umowy
MAJĄC NA UWADZE, że Stany Zjednoczone Ameryki i Unia Europejska zobowiązują się zapewnić wysoki poziom ochrony informacji osobowych wymienianych w kontekście zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania;
ZAMIERZAJĄC ustanowić trwałe ramy prawne ułatwiające wymianę informacji, co jest kluczowe dla zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania, w trosce o ochronę swych demokratycznych społeczeństw i wspólnych wartości;
ZAMIERZAJĄC w szczególności ustanowić standardy ochrony wymiany informacji osobowych na podstawie zarówno obowiązujących obecnie, jak i przyszłych umów zawartych między USA a UE i jej państwami członkowskimi w dziedzinie zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania;
UZNAJĄC, że niektóre obowiązujące umowy między stronami dotyczące przetwarzania informacji osobowych wykazały, że umowy te zapewniają odpowiedni poziom ochrony danych w ramach tych umów, strony potwierdzają, że niniejszej umowy nie należy interpretować jako wprowadzającej do tych umów zmiany, warunki lub innego rodzaju odstępstwa; odnotowując jednakże fakt, że obowiązki ustanowione w art. 19 niniejszej umowy dotyczącym sądowych środków zaskarżenia miałyby zastosowanie w odniesieniu do wszystkich przypadków przekazywania danych, które wchodzą w zakres niniejszej umowy, oraz że jest to bez uszczerbku dla jakiegokolwiek przyszłego przeglądu lub zmiany tych umów zgodnie z ich treścią;
UZNAJĄC ugruntowane tradycje obu stron w zakresie poszanowania prawa do prywatności, w tym te odzwierciedlone w zasadach ochrony prywatności i danych osobowych do celów egzekwowania prawa opracowanych przez grupę kontaktową wysokiego szczebla UE-USA ds. wymiany informacji oraz ochrony prywatności i danych osobowych, w Karcie praw podstawowych Unii Europejskiej i mających zastosowanie przepisach UE, w konstytucji Stanów Zjednoczonych Ameryki i mających zastosowanie przepisach USA oraz w zasadach uczciwej praktyki informacyjnej opracowanych przez Organizację Współpracy Gospodarczej i Rozwoju; oraz
UZNAJĄC zasady proporcjonalności i konieczności oraz zasadności i racjonalności, wprowadzone w życie przez strony w ich odpowiednich ramach prawnych;
Stany Zjednoczone Ameryki i Unia Europejska UZGODNIŁY, CO NASTĘPUJE:
Artykuł 1: Cel Umowy
1. Celem niniejszej umowy jest zapewnienie wysokiego poziomu ochrony informacji osobowych i usprawnienie współpracy między Stanami Zjednoczonymi a Unią Europejską i jej państwami członkowskimi w zakresie zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania.
2. W tym celu niniejsza umowa ustanawia ramy ochrony informacji osobowych przekazywanych między Stanami Zjednoczonymi Ameryki, z jednej strony, a Unią Europejską i jej państwami członkowskimi, z drugiej strony.
3. Niniejsza umowa sama w sobie nie jest podstawą prawną dla jakiegokolwiek przekazywania informacji osobowych. Do przekazywania takich danych zawsze wymagana jest podstawa prawna.
Artykuł 2: Definicje
Do celów niniejszej umowy:
1.„informacje osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, przez powołanie się w szczególności na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;
2.„przetwarzanie informacji osobowych” oznacza każdą operację lub zbiór operacji obejmujących gromadzenie, utrzymanie, wykorzystanie, zmianę, organizację lub strukturę, ujawnienie lub rozpowszechnianie tych informacji lub dysponowanie nimi;
3.„strony” oznaczają Unię Europejską oraz Stany Zjednoczone Ameryki;
4.„państwo członkowskie” oznacza państwo członkowskie Unii Europejskiej;
5.„właściwy organ” oznacza, w przypadku Stanów Zjednoczonych Ameryki, amerykańskie krajowe organy ścigania odpowiedzialne za zapobieganie przestępstwom, w tym terroryzmowi, oraz ich śledzenie, wykrywanie lub ściganie, a w przypadku Unii Europejskiej – organ Unii Europejskiej i organ danego państwa członkowskiego odpowiedzialny za zapobieganie przestępstwom, w tym terroryzmowi, oraz ich śledzenie, wykrywanie lub ściganie.
Artykuł 3: Zakres
1. Niniejsza umowa ma zastosowanie do informacji osobowych przekazywanych między właściwymi organami jednej ze stron a właściwymi organami drugiej strony, lub przekazywanych w inny sposób zgodnie z zawartą między Stanami Zjednoczonymi Ameryki a Unią Europejską i jej państwami członkowskimi umową w sprawie zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania.
2. Niniejsza umowa nie ma wpływu i jest bez uszczerbku dla przekazywania danych lub innych form współpracy innych niż te, o których mowa w art. 2 ust. 5, między organami państw członkowskich i Stanów Zjednoczonych Ameryki odpowiedzialnymi za zapewnienie bezpieczeństwa narodowego.
Artykuł 4: Niedyskryminacja
Każda ze stron może wywiązuje się ze swoich zobowiązań wynikających z niniejszej umowy do celów ochrony informacji osobowych własnych obywateli i obywateli drugiej strony niezależnie od ich obywatelstwa i bez arbitralnej lub nieuzasadnionej dyskryminacji.
Artykuł 5: Skutki umowy
1. Niniejsza umowa stanowi w stosownych przypadkach uzupełnienie postanowień dotyczących ochrony informacji osobowych określonych w umowach międzynarodowych zawartych między stronami lub między Stanami Zjednoczonymi Ameryki a państwami członkowskimi, dotyczących kwestii objętych zakresem niniejszej umowy, jednak nie zastępuje ona tych postanowień.
2. Strony podejmują wszelkie niezbędne środki w celu wdrożenia niniejszej umowy, w tym w szczególności swoich zobowiązań w zakresie dostępu do danych, ich sprostowania oraz administracyjnych i sądowych środków zaskarżenia przysługujących osobom fizycznym, których te dane dotyczą. Środki ochrony i zaskarżenia określone w niniejszej umowie przysługują osobom fizycznym i podmiotom w sposób, w jaki są one wdrażane w mających zastosowanie przepisach krajowych każdej ze stron. W przypadku Stanów Zjednoczonych Ameryki zobowiązania tego państwa mają zastosowanie w sposób zgodny z jego podstawowymi zasadami federalizmu.
3. Wykonując ust. 2, przetwarzanie informacji osobowych przez Stany Zjednoczone Ameryki, jak i Unię Europejską i jej państwa członkowskie, w odniesieniu do spraw wchodzących w zakres niniejszej umowy, uznaje się za zgodne z odpowiednimi przepisami stron dotyczącymi ochrony danych, wprowadzającymi ograniczenia lub warunki międzynarodowego przekazywania informacji osobowych, i nie należy wymagać dodatkowego zezwolenia na mocy tych przepisów.
Artykuł 6: Celowość i ograniczenia stosowania
1. Przekazanie informacji osobowych odbywa się w określonych celach dozwolonych podstawą prawną mającą zastosowanie do danego przypadku przekazania informacji, jak określono w art. 1.
2. Dalsze przetwarzanie informacji osobowych przez jedną ze stron nie może być niezgodne z celami, dla których zostały one przekazane. Zgodne z celami przetwarzanie obejmuje przetwarzanie zgodnie z postanowieniami istniejących umów międzynarodowych i pisemnych ram międzynarodowych dotyczących zapobiegania poważnym przestępstwom oraz ich wykrywania, śledzenia i ścigania. Wszelkie przetwarzanie takich informacji osobowych przez inne krajowe organy ścigania, organy regulacyjne lub administracyjne musi odbywać się z poszanowaniem innych postanowień niniejszej umowy.
3. Niniejszy artykuł pozostaje bez uszczerbku dla możliwości nałożenia przez właściwy organ przekazujący dane dodatkowych warunków w danej sprawie, w zakresie w jakim zezwalają na to obowiązujące ramy prawne dotyczące zezwoleń na przekazywanie danych. Warunki takie nie mogą obejmować ogólnych warunków ochrony danych, tj. nie można nałożyć warunków, które nie są związane z konkretnymi okolicznościami danej sprawy. Jeśli odnośne informacje podlegają warunkom, właściwy organ odbierający dane musi ich przestrzegać. Właściwy organ przekazujący informacje może również zażądać od organu odbierającego przedstawienia wyjaśnień na temat sposobu wykorzystania przekazanych informacji.
4. W przypadku zawarcia przez Stany Zjednoczone Ameryki, z jednej strony, i Unię Europejską lub jej państwo członkowskie, z drugiej strony, umowy w sprawie przekazywania informacji osobowych innych niż dotyczących konkretnych spraw, dochodzeń lub postępowań sądowych, konkretne cele, w jakich informacje te są przekazywane i przetwarzane, określa się dodatkowo w tej umowie.
5. Strony zapewniają w swoich odpowiednich przepisach przetwarzanie informacji osobowych w sposób, który jest bezpośrednio zgodny z celami tego przetwarzania oraz nie wykracza poza te cele i nie jest nadmiernie szeroki w stosunku do tych celów.
Artykuł 7: Dalsze przekazywanie informacji
1. Jeśli właściwy organ jednej strony przekazał informacje osobowe dotyczące konkretnej sprawy właściwemu organowi drugiej strony, informacje te mogą zostać przekazane państwu niezwiązanemu postanowieniami niniejszej umowy lub organowi międzynarodowemu tylko po otrzymaniu uprzedniej zgody od właściwego organu, który pierwotnie przekazał te informacje.
2. Przy udzielaniu zgody na przekazanie informacji zgodnie z ust. 1 właściwy organ, który pierwotnie przekazał informacje, uwzględnia wszystkie istotne czynniki, takie jak waga przestępstwa, cele pierwotnego przekazania informacji oraz fakt, czy państwo niezwiązane postanowieniami niniejszej umowy lub odnośny organ międzynarodowy zapewnia odpowiedni poziom ochrony informacji osobowych. Może on także objąć dany transfer danych szczególnymi warunkami.
3. W przypadku zawarcia przez Stany Zjednoczone Ameryki, z jednej strony, i Unię Europejską lub jej państwo członkowskie, z drugiej strony, umowy w sprawie przekazywania informacji osobowych innych niż dotyczących konkretnych spraw, dochodzeń lub postępowań sądowych, dalsze przekazywanie tych informacji osobowych może odbywać się wyłącznie zgodnie z konkretnymi warunkami określonymi w tej umowie, które należycie uzasadniają dalsze przekazanie tych informacji. Umowa przewiduje również odpowiednie mechanizmy przekazywania informacji między właściwymi organami.
4. Żadne z postanowień niniejszego artykułu nie może być interpretowane jako naruszające jakiekolwiek wymogi, obowiązki lub praktyki, zgodnie z którymi przed dalszym przekazaniem danych innemu państwu lub organowi związanemu postanowieniami niniejszej umowy należy otrzymać uprzednią zgodę od właściwego organu, który pierwotnie przekazał dane, pod warunkiem że poziom ochrony danych w takim państwie lub organie nie stanowi podstawy do odmówienia zgody na takie przekazanie danych lub do nałożenia określonych warunków takiego przekazania danych.
Artykuł 8: Utrzymanie jakości i integralności informacji
Strony podejmują stosowne kroki w celu dopilnowania, aby informacje osobowe były utrzymywane z zachowaniem dokładności, trafności, terminowości i kompletności koniecznej i stosownej w celu ich przetwarzania zgodnie z prawem. W tym celu właściwe organy ustanawiają procedury, których celem jest zapewnienie jakości i integralności informacji osobowych, obejmujące następujące elementy:
a) środki, o których mowa w art. 17;
b) jeśli właściwy organ przekazujący informacje stwierdzi poważne wątpliwości co do trafności, terminowości, kompletności i dokładności tych informacji osobowych lub oceny, którą przekazał, powiadamia o tym, o ile to możliwe, właściwy organ odbierający informacje;
c) jeśli właściwy organ odbierający informacje stwierdzi poważne wątpliwości co do trafności, terminowości, kompletności i dokładności informacji osobowych otrzymanych od organu rządowego lub oceny przeprowadzonej przez właściwy organ przekazujący informacje w zakresie ich dokładności lub wiarygodności źródła, powiadamia o tym, o ile to możliwe, właściwy organ przekazujący informacje.
Artykuł 9: Bezpieczeństwo informacji
Strony zapewniają wprowadzenie odpowiednich uzgodnień technicznych, uzgodnień w zakresie bezpieczeństwa i uzgodnień organizacyjnych w celu ochrony informacji osobowych przed wystąpieniem poniższych zdarzeń:
a) przypadkowego lub bezprawnego zniszczenia;
b) przypadkowej utraty; oraz
c) nieuprawnionego ujawnienia, modyfikacji, dostępu lub innego rodzaju przetwarzania.
Uzgodnienia takie obejmują odpowiednie zabezpieczenia dotyczące wydawania zezwoleń wymaganych do dostępu do informacji osobowych.
Artykuł 10: Zgłoszenie incydentu związanego z bezpieczeństwem informacji
1. Po ujawnieniu incydentu związanego z przypadkową utratą lub zniszczeniem, nieuprawnionym dostępem, ujawnieniem lub modyfikacją informacji osobowych, w przypadku którego występuje znaczne ryzyko wyrządzenia szkody, właściwy organ odbierający informacje niezwłocznie ocenia prawdopodobieństwo i zakres szkody względem osób fizycznych oraz względem integralności programu właściwego organu przekazującego informacje, i niezwłocznie podejmuje odpowiednie działania w celu złagodzenia takich szkód.
2. Działania mające na celu złagodzenie szkód obejmują powiadomienie właściwego organu przekazującego dane. Powiadomienie to może jednak:
a) zawierać odpowiednie ograniczenia w zakresie jego dalszego przekazywania;
b) zostać odroczone w czasie lub pominięte, gdyby jego przekazanie mogło zagrażać bezpieczeństwu narodowemu;
c) zostać odroczone w czasie, gdyby jego przekazanie mogło zagrażać operacjom w zakresie bezpieczeństwa publicznego.
3. Działania mające na celu złagodzenie szkód obejmują również powiadomienie danej osoby fizycznej, jeśli jest to stosowne po uwzględnieniu okoliczności danego zdarzenia, chyba że takie powiadomienie mogłoby zagrażać:
a) bezpieczeństwu publicznemu lub narodowemu;
b) oficjalnym śledztwom, dochodzeniom lub postępowaniom;
c) zapobieganiu przestępstwom oraz ich wykrywaniu, śledzeniu i ściganiu;
d) prawom i wolnościom innych osób, w szczególności ochronie ofiar i świadków.
4. Właściwe organy uczestniczące w przekazywaniu informacji osobowych mogą zwracać się o informacje w sprawie danego incydentu i reakcji na niego.
Artykuł 11: Przechowywanie dokumentacji
1. Strony ustanawiają skuteczne metody wykazywania zgodności z prawem operacji przetwarzania informacji osobowych, które mogą obejmować wykorzystanie dzienników zdarzeń lub innych rodzajów rejestrów.
2. Właściwe organy mogą wykorzystywać takie dzienniki zdarzeń lub rejestry w celu utrzymania prawidłowego funkcjonowania odnośnych baz danych lub plików, zapewnienia integralności i bezpieczeństwa danych oraz w razie konieczności w celu śledzenia procedur tworzenia kopii zapasowych.
Artykuł 12: Okres zatrzymywania informacji
1. Strony zapewniają w swoich odpowiednich ramach prawnych określone okresy zatrzymywania zapisów zawierających informacje osobowe, których celem jest dopilnowanie, by informacje osobowe nie były zatrzymywane dłużej, niż jest to konieczne i stosowne. Te okresy zatrzymywania informacji uwzględniają cele przetwarzania, charakter danych i organ przetwarzający te dane, wpływ na stosowne prawa i interesy osób, których dane te dotyczą, oraz inne mające zastosowanie względy prawne.
2. W przypadku zawarcia przez Stany Zjednoczone Ameryki, z jednej strony, i Unię Europejską lub jej państwo członkowskie, z drugiej strony, umowy w sprawie przekazywania informacji osobowych innych niż dotyczących konkretnych spraw, dochodzeń lub postępowań sądowych, umowy te będą zawierać szczegółowe, wzajemnie uzgodnione postanowienia dotyczące okresów zatrzymywania informacji.
3. Strony ustanawiają procedury okresowego przeglądu okresu zatrzymywania informacji w celu stwierdzenia, czy zmienione okoliczności wymagają dalszej modyfikacji obowiązującego okresu.
4. Strony publikują lub w inny sposób udostępniają publicznie informacje o długości tych okresów zatrzymywania informacji.
Artykuł 13: Specjalne kategorie informacji osobowych
1. Przetwarzanie informacji osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub inne, przynależność do związków zawodowych oraz informacji osobowych dotyczących stanu zdrowia i życia seksualnego odbywa się wyłącznie przy zagwarantowaniu odpowiednich zabezpieczeń przewidzianych prawem. Takie odpowiednie zabezpieczenia mogą obejmować: ograniczenie celów, dla których informacje mogą być przetwarzane, np. poprzez zezwolenie na przetwarzanie jedynie w indywidualnie rozpatrywanych przypadkach; maskowanie, usuwanie lub blokowanie tych informacji po osiągnięciu celu, dla którego były one przetwarzane; ograniczenie liczby osób upoważnionych do dostępu do tych informacji; wymóg odbycia specjalistycznych szkoleń przez pracowników, którzy mają dostęp do tych informacji; wymóg zatwierdzenia przez organ nadzoru w celu uzyskania dostępu do tych informacji; lub inne środki ochronne. Zabezpieczenia te należycie uwzględniają charakter informacji, szczególną wrażliwość tych informacji oraz cel, w jakim są one przetwarzane.
2. W przypadku zawarcia przez Stany Zjednoczone Ameryki, z jednej strony, i Unię Europejską lub jej państwo członkowskie, z drugiej strony, umowy w sprawie przekazywania informacji osobowych innych niż dotyczących konkretnych spraw, dochodzeń lub postępowań sądowych, umowy te będą zawierać dodatkowe szczegółowe postanowienia dotyczące standardów i warunków przetwarzania takich informacji, z należytym uwzględnieniem charakteru tych informacji i celu, w jakim są wykorzystywane.
Artykuł 14: Rozliczalność
1. Strony ustanawiają środki na rzecz propagowania odpowiedzialności za przetwarzanie informacji osobowych w ramach niniejszej umowy przez ich właściwe organy i ich wszelkie inne organy, którym informacje osobowe zostały przekazane. Środki te obejmują powiadomienie o zabezpieczeniach mających zastosowanie do przekazywania informacji osobowych zgodnie z niniejszą umową i o warunkach, które mogły zostać nałożone przez właściwy organ przekazujący informacje zgodnie z art. 6 ust. 3. Na poważne uchybienia należy reagować za pomocą odpowiednich i odstraszających sankcji karnych, cywilnych lub administracyjnych.
2. Środki określone w ust. 1 obejmują, w stosownych przypadkach, wstrzymanie przekazywania informacji osobowych organom składowych jednostek terytorialnych stron nieobjętych niniejszą umową, które nie zapewniły skutecznej ochrony informacji osobowych, mając na uwadze cel niniejszej Umowy, a w szczególności postanowienia niniejszej umowy dotyczące celowości i ograniczeń stosowania i dalszego przekazywania informacji.
3. W przypadku zarzutów dotyczących niewłaściwego wdrożenia niniejszego artykułu strona może zwrócić się do drugiej strony o dostarczenie odpowiednich informacji, w tym, w stosownych przypadkach, na temat środków podjętych na mocy niniejszego artykułu.
Artykuł 15: Decyzje zautomatyzowane
Decyzje wywołujące znaczące niekorzystne skutki dotyczące odnośnych interesów danej osoby fizycznej nie mogą być oparte wyłącznie na zautomatyzowanym przetwarzaniu informacji osobowych bez udziału człowieka, chyba że zezwalają na to przepisy krajowe i zapewniono odpowiednie zabezpieczenia obejmujące możliwość interwencji człowieka.
Artykuł 16: Dostęp do informacji
1. Strony dopilnowują, by każda osoba fizyczna miała prawo do ubiegania się o dostęp do swoich informacji osobowych i uzyskania ich, z zastrzeżeniem ograniczeń określonych w ust. 2. O taki dostęp można ubiegać się i uzyskać go od właściwego organu zgodnie z obowiązującymi ramami prawnymi państwa, w którym o to wystąpiono.
2. Uzyskanie takich informacji w konkretnej sprawie może podlegać odpowiednim ograniczeniom przewidzianym w prawie krajowym , przy uwzględnieniu uzasadnionych interesów danej osoby fizycznej, tak aby:
a) chronić prawa i wolności innych osób, w tym ich prywatność;
b) zapewnić bezpieczeństwo publiczne i narodowe;
c) chronić wrażliwe informacje dotyczące egzekwowania prawa;
d) zapobiegać utrudnianiu urzędowych lub prawnych dochodzeń, śledztw lub procedur;
e) unikać negatywnego wpływu na zapobieganie przestępstwom, ich wykrywanie, śledzenie lub ściganie oraz na wykonywanie kar kryminalnych;
f) w inny sposób chronić interesy określone w prawodawstwie dotyczące wolności informacji i publicznego dostępu do dokumentów.
3. Osoba fizyczna nie powinna ponosić nadmiernych kosztów jako warunku uzyskania dostępu do swoich informacji osobowych.
4. Osoba fizyczna jest uprawniona do upoważnienia, jeśli jest to dozwolone na mocy obowiązującego prawa krajowego, organu nadzoru lub innego przedstawiciela do złożenia w jej imieniu wniosku o dostęp do jej danych.
5. W przypadku odmowy lub ograniczenia dostępu właściwy organ bez zbędnej zwłoki przedstawi danej osobie fizycznej lub jej należycie upoważnionemu przedstawicielowi, o którym mowa w ust. 4, powody odmowy lub ograniczenia dostępu.
Artykuł 17: Sprostowanie informacji
1. Strony dopilnowują, by każda osoba fizyczna miała prawo ubiegania się o poprawienie lub sprostowanie swoich informacji osobowych, które jej zdaniem są niedokładne lub były przetwarzane w niewłaściwy sposób. Poprawienie lub sprostowanie informacji może obejmować ich uzupełnienie, usunięcie, zablokowanie lub inne środki lub metody eliminowania nieścisłości lub niewłaściwego przetwarzania. O takie poprawienie lub sprostowanie można ubiegać się i uzyskać je od właściwego organu zgodnie z obowiązującymi ramami prawnymi państwa, w którym o to wystąpiono.
2. W przypadku gdy właściwy organ odbierający stwierdzi na podstawie:
a) wniosku, o którym mowa w ust. 1;
b) powiadomienia przez podmiot przekazujący informacje; lub
c) własnych dochodzeń lub śledztw;
że informacje, które otrzymał na podstawie niniejszej umowy są nieścisłe lub były nieprawidłowo przetwarzane, podejmuje środki służące ich uzupełnieniu, usunięciu, zablokowaniu lub w stosownych przypadkach inne metody ich poprawienia lub sprostowania.
3. Osoba fizyczna jest uprawniona do upoważnienia, jeśli jest to dozwolone na mocy obowiązującego prawa krajowego, organu nadzoru lub innego przedstawiciela do złożenia w jej imieniu wniosku o poprawienie lub sprostowanie jej informacji osobowych.
4. W przypadku odmowy lub ograniczenia zakresu poprawienia lub sprostowania informacji właściwy organ bez zbędnej zwłoki przedstawi danej osobie fizycznej lub jej należycie upoważnionemu przedstawicielowi, o którym mowa w ust. 3, odpowiedź zawierającą powody odmowy lub ograniczenia zakresu poprawienia lub sprostowania.
Artykuł 18: Administracyjne środki zaskarżenia
1. Strony zapewniają, że każda osoba fizyczna ma prawo do skorzystania z administracyjnych środków zaskarżenia, jeśli uzna, że jej wniosek o dostęp na podstawie art. 16 lub wniosek o sprostowanie niedokładnych informacji lub informacji niewłaściwie przetwarzanych na podstawie art. 17 został niesłusznie odrzucony. O takie środki zaskarżenia można ubiegać się i uzyskać je od właściwego organu zgodnie z obowiązującymi ramami prawnymi państwa, w którym o to wystąpiono.
2. Osoba fizyczna jest uprawniona do upoważnienia, jeśli jest to dozwolone na mocy obowiązującego prawa krajowego, organu nadzoru lub innego przedstawiciela do złożenia w jej imieniu wniosku o skorzystanie z administracyjnych środków zaskarżenia.
3. Właściwy organ, do którego się zwrócono, przeprowadza odpowiednie procedury wyjaśniające i kontrolne i niezwłocznie odpowiada na piśmie, w tym w formie elektronicznej, informując o ich wynikach, w tym o podjętych w stosownych przypadkach działaniach usprawniających lub naprawczych. Postanowienia dotyczące powiadomienia o procedurze ubiegania się o nadzwyczajne administracyjne środki zaskarżenia zawarto w art. 20.
Artykuł 19: Sądowe środki zaskarżenia
1. Strony zapewniają w swoich odpowiednich ramach prawnych, z zastrzeżeniem wszelkich wymogów przewidujących uprzednie skorzystanie z administracyjnych środków zaskarżenia, prawo do skorzystania przez obywatela lub stronę z sądowych środków zaskarżenia w odniesieniu do:
a) odmowy przez właściwy organ dostępu do zapisów zawierających ich informacje osobowe;
b) odmowy przez właściwy organ wprowadzenia zmian w zapisach zawierających ich informacje osobowe; oraz
c) niezgodnego z prawem ujawnienia takich informacji świadomie lub celowo; w takim przypadku należy przewidzieć możliwość uzyskania odszkodowania za poniesioną szkodę.
2. O takie sądowe środki zaskarżenia można ubiegać się i uzyskać je zgodnie z obowiązującymi ramami prawnymi państwa, w którym o to wystąpiono.
3. Ustępy 1 i 2 pozostają bez uszczerbku dla wszelkich innych sądowych procedur odwoławczych w odniesieniu do przetwarzania informacji osobowych osób fizycznych zgodnie z prawem państwa, w którym złożono odnośny wniosek.
4. W przypadku zawieszenia lub wypowiedzenia niniejszej umowy art. 26 ust. 2 lub art. 29 ust. 3 nie stanowią podstawy do ubiegania się o sądowe środki zaskarżenia, które nie są już dostępne na mocy prawa danej strony.
Artykuł 20: Przejrzystość
1. Strony zapewniają powiadomienie osoby fizycznej, w odniesieniu do jej informacji osobowych, które to powiadomienie może być dokonane przez właściwe organy poprzez publikację powiadomień ogólnych lub poprzez konkretne powiadomienie, w formie i terminie przewidzianymi przez prawo właściwe dla organu dokonującego powiadomienia, w odniesieniu do:
a) celów przetwarzania takich informacji przez ten organ;
b) celów, dla których informacje te mogą być udostępniane innym organom;
c) przepisów lub zasad, na jakich odbywa się takie przetwarzanie;
d) stron trzecich, którym informacje te są ujawniane; oraz
e) dostępu do informacji, ich poprawiania lub sprostowania oraz dostępnych środków zaskarżenia.
2. Taki wymóg powiadomienia podlega uzasadnionym ograniczeniom przewidzianym w prawie krajowym w odniesieniu do kwestii określonych w art. 16 ust. 2 lit. a)-f).
Artykuł 21: Skuteczny nadzór
1. Strony ustanawiają jeden lub większą liczbę publicznych organów nadzoru, które:
(a) posiadają uprawnienia i wykonują funkcje w zakresie niezależnego nadzoru, w tym przeglądu, dochodzenia i interwencji w stosownych przypadkach z własnej inicjatywy;
b) posiadają uprawnienia do przyjmowania i rozpatrywania skarg wniesionych przez osoby fizyczne w odniesieniu do środków wdrażających niniejszą umowę; oraz
c) są uprawnione, w stosownych przypadkach, do zgłaszania naruszenia prawa dotyczącego niniejszej umowy do prokuratury lub w celu podjęcia działań dyscyplinarnych.
2. Unia Europejska zapewnia nadzór na mocy niniejszego artykułu przez organy ds. ochrony danych UE i państw członkowskich.
3. Stany Zjednoczone Ameryki zapewniają nadzór na mocy niniejszego artykułu łącznie przez więcej niż jeden organ; organy te mogą obejmować m.in. inspektorów generalnych, głównych urzędników ds. ochrony prywatności, urzędy rządowe ds. rozliczalności, komisje nadzoru prywatności i swobód obywatelskich, a także inne stosowne organy wykonawcze i ustawodawcze rozpatrujące odwołania w sprawach dotyczących prywatności i swobód obywatelskich.
Artykuł 22: Współpraca między organami nadzoru
1. Konsultacje między organami prowadzącymi nadzór zgodnie z art. 21 odbywają się odpowiednio w odniesieniu do wykonywania funkcji związanych z niniejszą umową, w celu zapewnienia skutecznego wykonania postanowień art. 16, 17 i 18.
2. Strony ustanawiają krajowe punkty kontaktowe, które będą pomagać w ustaleniu organu nadzoru, do którego należy zwrócić się w danej sprawie.
Artykuł 23: Wspólny przegląd
1. Strony będą dokonywać okresowych przeglądów strategii i procedur służących wdrażaniu niniejszej umowy oraz ich skuteczności. We wspólnych przeglądach należy zwrócić szczególną uwagę na kwestię skutecznego wdrażania środków ochrony na mocy art. 14 dotyczącego rozliczalności, art. 16 dotyczącego dostępu do informacji, art. 17 dotyczącego sprostowania informacji, art. 18 dotyczącego administracyjnych środków zaskarżenia oraz art. 19 dotyczącego sądowych środków zaskarżenia.
2. Pierwszy wspólny przegląd przeprowadzony zostanie nie później niż trzy lata od daty wejścia w życie niniejszej umowy, a następne w regularnych odstępach czasu. Strony wspólnie określają z wyprzedzeniem ich tryb i warunki oraz przekazują sobie informacje o składzie swoich delegacji, które powinny obejmować przedstawicieli publicznych organów nadzoru, o których mowa w art. 21 dotyczącym skutecznego nadzoru, a także przedstawicieli organów ścigania i wymiaru sprawiedliwości. Ustalenia przeglądów podaje się do wiadomości publicznej.
3. Jeśli strony lub Stany Zjednoczone i państwo członkowskie zawarły inną umowę, której przedmiot jest również objęty zakresem niniejszej umowy, i która przewiduje wspólne przeglądy, nie powiela się takich wspólnych przeglądów i w uzasadnionym stopniu ich ustalenia uwzględnia się w ustaleniach wspólnego przeglądu dokonywanego w ramach niniejszej umowy.
Artykuł 24: Notyfikacja
1. Stany Zjednoczone notyfikują Unii Europejskiej informacje o wszelkich decyzjach podjętych przez organy USA w odniesieniu do art. 19 oraz o wszelkich późniejszych zmianach w tej kwestii.
2. Strony dokładają wszelkich starań, aby powiadamiać się wzajemnie o wprowadzeniu w życie wszelkich aktów ustawodawczych lub przepisów wykonawczych mających istotny wpływ na wdrażanie niniejszej umowy, w miarę możliwości przed ich wejściem w życie.
Artykuł 25: Konsultacje
Wszelkie spory związane z interpretacją lub stosowaniem niniejszej umowy są przedmiotem konsultacji między stronami w celu osiągnięcia rozwiązania możliwego do zaakceptowania przez obie strony.
Artykuł 26: Zawieszenie
1. W przypadku istotnego naruszenia postanowień niniejszej umowy każda ze stron może zawiesić niniejszą umowę w całości lub w części po pisemnym powiadomieniu drugiej strony drogą dyplomatyczną. Takie pisemne powiadomienie może nastąpić dopiero po rozsądnym okresie konsultacji, w wyniku których nie osiągnięto rozwiązania danej kwestii, a zawieszenie wchodzi w życie dwadzieścia dni od daty otrzymania takiego powiadomienia. Zawieszenie takie może zostać zniesione przez stronę zawieszającą po pisemnym powiadomieniu drugiej strony. Zawieszenie zostaje zniesione natychmiast po otrzymaniu takiego powiadomienia.
2. Niezależnie od wszelkich przypadków zawieszenia niniejszej umowy dane osobowe objęte jej zakresem i przekazane przed jej zawieszeniem są nadal przetwarzane zgodnie z niniejszą umową.
Artykuł 27: Terytorialny zakres stosowania
|
1. Niniejsza umowa ma zastosowanie do Danii, Zjednoczonego Królestwa lub Irlandii, jeśli Komisja Europejska poinformuje Stany Zjednoczone Ameryki na piśmie, że Dania, Zjednoczone Królestwo lub Irlandia podjęły decyzję o związaniu się niniejszą umową. 2. Jeśli Komisja Europejska poinformuje Stany Zjednoczone Ameryki przed wejściem w życie niniejszej umowy, że będzie ona miała zastosowanie do Danii, Zjednoczonego Królestwa lub Irlandii, niniejsza umowa ma zastosowanie w odniesieniu do tych państw od dnia jej wejścia w życie. 3. Jeśli Komisja Europejska poinformuje Stany Zjednoczone po wejściu w życie niniejszej umowy, że ma ona zastosowanie wobec Danii, Zjednoczonego Królestwa lub Irlandii, umowa ma zastosowanie w odniesieniu do tych państw od pierwszego dnia miesiąca następującego po otrzymaniu powiadomienia przez Stany Zjednoczone Ameryki. |
Artykuł 28: Okres obowiązywania umowy
Niniejsza umowa zostaje zawarta na czas nieokreślony.
Artykuł 29: Wejście w życie i rozwiązanie umowy
1. Niniejsza umowa wchodzi w życie pierwszego dnia miesiąca następującego po dniu, w którym strony powiadomiły się wzajemnie o zakończeniu swoich wewnętrznych procedur związanych z jej wejściem w życie.
2. Każda ze stron może rozwiązać niniejszą umowę, powiadamiając o tym pisemnie drugą stronę drogą dyplomatyczną. Wypowiedzenie staje się skuteczne w terminie trzydziestu dni od daty otrzymania takiego powiadomienia przez drugą stronę.
3. Niezależnie od wszelkich przypadków rozwiązania niniejszej umowy informacje osobowe objęte jej zakresem i przekazane przed jej zawieszeniem są nadal przetwarzane zgodnie z niniejszą umową.
NA DOWÓD CZEGO niżej wymienieni pełnomocnicy podpisali niniejszą umowę.
Sporządzono w … dnia … 201... r. w dwóch egzemplarzach w języku angielskim. Zgodnie z prawem UE niniejsza umowa zostaje sporządzona przez UE również w języku bułgarskim, chorwackim, czeskim, duńskim, estońskim, fińskim, francuskim, greckim, hiszpańskim, irlandzkim, litewskim, łotewskim, maltańskim, niderlandzkim, niemieckim, polskim, portugalskim, rumuńskim, słowackim, słoweńskim, szwedzkim, węgierskim i włoskim. Te dodatkowe wersje językowe można uwierzytelnić poprzez wymianę not dyplomatycznych między Stanami Zjednoczonymi Ameryki a Unią Europejską. W razie rozbieżności między autentycznymi wersjami językowymi rozstrzygająca jest wersja w języku angielskim.
