KOMISJA EUROPEJSKA
Bruksela, dnia 19.12.2018
COM(2018) 860 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności
{SWD(2018) 497 final}
English
Select your language
Official EU languages:
Access to European Union law
EUR-Lex
Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
Document 52018DC0860
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the second annual review of the functioning of the EU-U.S. Privacy Shield
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności
COM/2018/860 final
- Date of document:
- 19/12/2018
- Date of dispatch:
- 19/12/2018; Przekazano do Rady
- Date of dispatch:
- 19/12/2018; Przekazano do Parlamentu
- Author:
- Komisja Europejska, Dyrekcja Generalna ds. Sprawiedliwości i Konsumentów
- Responsible body:
- JUST
- Form:
- Sprawozdanie
- Legal basis:
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- Related document(s):
-
- 52018SC0497 Relation
- EUROVOC descriptor:
- Subject matter:
- Directory code:
-
- 13.20.60.00 Polityka przemysłowa i rynek wewnętrzny / Polityka przemysłowa: działania sektorowe / Technologie informatyczne, telekomunikacja i przetwarzanie danych
- 16.20.00.00 Nauka, informacja, edukacja i kultura / Rozpowszechnianie informacji
- 19.40.00.00 Przestrzeń wolności, bezpieczeństwa i sprawiedliwości / Programy
Language
HTML
DOC
PDF
1.DRUGI ROCZNY PRZEGLĄD – CEL, PRZYGOTOWANIE I PROCES
W dniu 12 lipca 2016 r. Komisja przyjęła decyzję („decyzja w sprawie adekwatności ochrony”), w której stwierdziła, że Tarcza Prywatności UE-USA („Tarcza Prywatności”) zapewnia odpowiedni poziom ochrony danych osobowych, które zostały przekazane z UE do organizacji w USA 1 . W decyzji w sprawie adekwatności ochrony przewidziano w szczególności coroczną ocenę wszystkich aspektów funkcjonowania zasad ochrony przez Komisję. Pierwszy roczny przegląd został przeprowadzony w dniach 18-19 września 2017 r. w Waszyngtonie, a w dniu 18 października 2017 r. Komisja przyjęła sprawozdanie dla Parlamentu Europejskiego i Rady 2 wraz z towarzyszącym dokumentem roboczym służb Komisji (SWD(2017) 344 final) 3 .
Na podstawie swoich ustaleń dokonanych w ramach pierwszego przeglądu Komisja uznała, że USA nadal zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych organizacjom w USA przez Unię w ramach Tarczy Prywatności. Jednocześnie Komisja wskazała, że praktyczne wdrożenie zasad Tarczy Prywatności może być w dalszym ciągu usprawniane, aby zapewnić zgodne z zamierzeniami stosowanie gwarancji i środków ochrony przewidzianych w tych zasadach. W tym celu Komisja przedstawiła dziesięć zaleceń.
Niniejsze sprawozdanie jest podsumowaniem drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności. W niniejszym sprawozdaniu oraz w towarzyszącym mu dokumencie roboczym służb Komisji (SWD(2018) 497 final) zastosowano taką samą strukturę, jak w sprawozdaniu z pierwszego przeglądu rocznego. W obu dokumentach uwzględniono wszystkie aspekty funkcjonowania Tarczy Prywatności, również w kontekście zmian, które miały miejsce w ciągu ubiegłego roku. Jednym z głównych elementów ocenianych przez Komisję była kwestia realizacji jej zaleceń z pierwszego przeglądu rocznego.
Przygotowując drugi roczny przegląd, Komisja zebrała informacje od zainteresowanych stron (w szczególności od przedsiębiorstw posiadających certyfikację Tarczy Prywatności, za pośrednictwem ich stowarzyszeń branżowych, jak również od organizacji pozarządowych (NGO) działających w dziedzinie praw podstawowych, a w szczególności praw cyfrowych i ochrony prywatności), a także od odpowiednich organów USA zaangażowanych we wdrażanie tych zasad.
Posiedzenie w sprawie drugiego rocznego przeglądu odbyło się w Brukseli w dniach 18-19 października 2018 r. Przegląd został rozpoczęty przez komisarz do spraw sprawiedliwości, konsumentów i równouprawnienia płci Věrę Jourovą, amerykańskiego sekretarza handlu Wilbura Rossa, przewodniczącego Federalnej Komisji Handlu Josepha Simonsa oraz przewodniczącą Europejskiej Rady Ochrony Danych Andreę Jelinek. Przegląd w imieniu UE przeprowadzili przedstawiciele Dyrekcji Generalnej Komisji Europejskiej ds. Sprawiedliwości i Konsumentów. Delegacja UE obejmowała również siedmiu przedstawicieli wyznaczonych przez Europejską Radę Ochrony Danych (niezależny organ tworzony przez przedstawicieli krajowych organów ochrony danych państw członkowskich UE oraz Europejskiego Inspektora Ochrony Danych).
Po stronie USA w przeglądzie uczestniczyli przedstawiciele Departamentu Handlu, Departamentu Stanu, Federalnej Komisji Handlu, Departamentu Transportu, Urzędu Dyrektora Krajowych Służb Wywiadowczych, Departamentu Sprawiedliwości oraz członkowie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, a także urzędnik pełniący obowiązki Rzecznika ds. Tarczy Prywatności i Inspektor Generalny Wspólnoty Wywiadowczej. Ponadto na posiedzeniach poświęconych omawianemu przeglądowi informacji udzielali przedstawiciele organizacji oferującej usługi niezależnego rozstrzygania sporów w ramach Tarczy Prywatności oraz Amerykańskiego Stowarzyszenia Arbitrażowego (American Arbitration Association). Źródłem informacji dla przeglądu były także prezentacje organizacji posiadających certyfikację Tarczy Prywatności na temat wypełniania przez przedsiębiorstwa wymogów określonych w przedmiotowych zasadach.
Ustalenia Komisji zostały uzupełnione o analizę przeprowadzoną na jej zlecenie oraz o publicznie dostępne materiały, takie jak orzeczenia sądowe, przepisy wykonawcze i procedury właściwych organów USA, sprawozdania i badania organizacji pozarządowych, sprawozdania na temat przejrzystości udostępniane przez przedsiębiorstwa posiadające certyfikację Tarczy Prywatności, roczne sprawozdania dostarczane przez niezależne mechanizmy ochrony prawnej oraz doniesienia medialne.
Tegoroczny przegląd przeprowadzono w kontekście wyzwań z zakresu ochrony danych, które coraz częściej mają charakter globalny, czego przykładem może być sprawa Facebooka i Cambridge Analytica. Unia Europejska i USA zdają sobie sprawę, że w obszarze ochrony danych osobowych mają do czynienia z podobnymi wyzwaniami. W trakcie przeglądu obie strony położyły nacisk na konieczność uporania się z tego rodzaju nadużyciami dotyczącymi danych osobowych, m.in. poprzez stanowcze czynności z zakresu egzekwowania prawa podejmowane przez unijny organ ochrony danych i amerykańskiej Federalnej Komisji Handlu.
W sprawozdaniu Komisji uwzględniono również aktualną debatę na temat federalnego ustawodawstwa USA dotyczącego ochrony prywatności. Konwergencja pomiędzy naszymi dwoma systemami w perspektywie długoterminowej wzmocniłaby fundamenty, na których opierają się zasady Tarczy Prywatności.
2.USTALENIA I WNIOSKI
Zakres drugiego rocznego przeglądu obejmował zarówno „aspekty handlowe” zasad Tarczy Prywatności, jak i kwestie dotyczące dostępu organów rządowych do danych osobowych.
W obszarze „aspektów handlowych”, tj. kwestii zarządzania obowiązkami przedsiębiorstw posiadających certyfikację, nadzorowania tych obowiązków i ich egzekwowania, Komisja odnotowała, że zgodnie z jej zaleceniami wynikającymi z pierwszego rocznego przeglądu Departament Handlu dodatkowo wzmocnił proces certyfikacji i wprowadził nowe procedury nadzoru. W szczególności Departament Handlu wprowadził nową procedurę, w ramach której podmioty występujące po raz pierwszy o certyfikację mają obowiązek wstrzymać się z publikacją oświadczeń o swoim uczestnictwie w Tarczy Prywatności do czasu zakończenia ich przeglądu certyfikacyjnego przez Departament Handlu. Ponadto Departament Handlu wprowadził nowe mechanizmy wykrywania potencjalnych problemów dotyczących zgodności z przepisami, takie jak wyrywkowe kontrole na miejscu (w okresie objętym rocznym przeglądem takim kontrolom poddano około 100 organizacji) oraz monitorowanie publicznych sprawozdań ze stosowania praktyk związanych z ochroną prywatności przez uczestników Tarczy Prywatności. W ramach wyszukiwania fałszywych oświadczeń o stosowaniu przedmiotowych zasad Departament Handlu wykorzystuje obecnie w sposób aktywny różnego rodzaju narzędzia, np. kwartalny przegląd przedsiębiorstw, w przypadku których stwierdzono większe prawdopodobieństwo złożenia fałszywych oświadczeń, a także system wyszukiwania grafiki i tekstu w internecie. W efekcie wprowadzenia omawianych nowych praktyk i procedur od czasu pierwszego rocznego przeglądu Departament Handlu przekazał ponad 50 spraw do Federalnej Komisji Handlu, która z kolei podjęła czynności egzekucyjne w tych przypadkach, w których samo przekazanie sprawy okazało się niewystarczające do skłonienia danego przedsiębiorstwa do przestrzegania zasad.
W obszarze czynności egzekucyjnych Komisja odnotowała, że w ramach działań z zakresu aktywnego monitorowania zgodności z zasadami Tarczy Prywatności Federalna Komisja Handlu wydała ostatnio nakazy administracyjne wobec pewnej liczby uczestników Tarczy Prywatności, by zobowiązać ich do przekazania informacji. Federalna Komisja Handlu potwierdziła również, że prowadzi postępowanie wyjaśniające w sprawie Facebooka i Cambridge Analytica. Komisja uznaje nowe, bardziej aktywne podejście Federalnej Komisji Handlu w kwestii monitorowania przestrzegania zasad za istotną zmianę, wyraża jednak ubolewanie, że na obecnym etapie Federalna Komisja Handlu nie była w stanie przedstawić dalszych informacji na temat prowadzonych ostatnio postępowań. Komisja informuje, że będzie uważnie monitorować rozwój sytuacji w tym obszarze.
W ramach drugiego rocznego przeglądu uwzględniono również istotne zmiany w systemie prawnym USA dotyczące obszaru ochrony prywatności. Dotyczą one w szczególności zainicjowanych przez Departament Handlu konsultacji na temat podejścia w kwestii ochrony danych na poziomie federalnym, a także podjętej przez Federalną Komisję Handlu analizy obecnych własnych kompetencji w obszarze ochrony prywatności oraz skuteczności podejmowanych przez nią działań naprawczych.
Jak pokazuje sprawa Facebooka i Cambridge Analytica oraz inne ujawnione przypadki, wskazana byłaby dalej idąca konwergencja sposobów reagowania UE i USA. W tym duchu Komisja odnotowała powyższe inicjatywy z dużym zainteresowaniem i wniosła własny wkład w proces konsultacji Departamentu Handlu, przekazując uwagi na piśmie 4 .
W kwestiach dotyczących dostępu do danych osobowych i ich wykorzystania przez organy publiczne USA drugi roczny przegląd koncentruje się na istotnych zmianach ram prawnych USA, dotyczących m.in. polityki i procedur stosowanych w odniesieniu do odpowiedzialnych agencji, aktualnych tendencji w obszarze obserwacji, a także na rozwoju sytuacji w sposobie organizacji i funkcjonowania istotnych mechanizmów nadzoru i dochodzenia roszczeń.
Najistotniejszą zmianą prawną w obszarze dostępu organów rządowych było ponowne zatwierdzenie sekcji 702 ustawy o nadzorowaniu działalności wywiadowczej obcych państw („ustawa”) na początku 2018 r. Choć ponowne zatwierdzenie tego przepisu nie doprowadziło do uwzględnienia w ustawie środków ochrony oferowanych przez dyrektywę polityczną Prezydenta nr 28, co sugerowała Komisja, to jednocześnie nie ograniczono żadnego ze środków ochrony, które były przewidziane w ustawie FISA w momencie przyjęcia decyzji w sprawie Tarczy Prywatności. Ponadto w przyjętej nowelizacji nie rozszerzono kompetencji amerykańskiej Wspólnoty Wywiadowczej o możliwość pozyskiwania zagranicznych danych wywiadowczych poprzez działania ukierunkowane na osoby niebędące obywatelami USA na podstawie sekcji 702. W ustawie ponownie zatwierdzającej zmienioną ustawę z 2017 r., która zmienia ustawę o nadzorowaniu działalności wywiadowczej obcych państw z 1978 r. wprowadzono natomiast pewne ograniczone zabezpieczenia prywatności, na przykład w obszarze przejrzystości.
Nastąpiły również istotne zmiany dotyczące Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, która w momencie dokonywania pierwszego rocznego przeglądu miała w swoim składzie już tylko jednego członka. W związku z tym Komisja zaleciła wówczas szybkie mianowanie brakujących członków tej rady. W dniu 11 października 2018 r. Senat USA zatwierdził nominacje przewodniczącego Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi i dwóch kolejnych członków Rady, która tym samym odzyskała kworum i zdolność do wykonywania wszystkich swoich funkcji. Po pierwszym rocznym przeglądzie Komisja zaleciła również publikację sprawozdania rady na temat dyrektywy politycznej Prezydenta nr 28. Sprawozdanie opublikowano w dniu 16 października 2018 r. 5 ; w sprawozdaniu potwierdzono, że dyrektywa polityczna Prezydenta nr 28 jest stosowana w pełnym zakresie przez Wspólnotę Wywiadowczą. Przede wszystkim w sprawozdaniu potwierdzono, że po wydaniu dyrektywy politycznej Prezydenta nr 28 właściwe struktury Wspólnoty Wywiadowczej przyjęły szczegółowe zasady dotyczące jej wykonania oraz zmieniły swoje praktyki w celu ich dostosowania do wymogów tej dyrektywy.
I wreszcie, pomimo zalecenia Komisji dotyczącego szybkiego mianowania Rzecznika ds. Tarczy Prywatności, do chwili sporządzenia niniejszego sprawozdania stanowisko podsekretarza w Departamencie Stanu, do którego przypisano urząd Rzecznika ds. Tarczy Prywatności, nie zostało obsadzone w drodze mianowania na czas nieokreślony. W tym kontekście Komisja odnotowała fakt, że w czasie drugiego rocznego przeglądu rząd USA uznał potrzebę osiągnięcia szybkich postępów w kwestii nominacji stałego podsekretarza i potwierdził, że ten proces jest już w zaawansowanej fazie.
Do chwili sporządzenia niniejszego sprawozdania w ramach mechanizmu Rzecznika ds. Tarczy Prywatności nie wpłynęły żadne wnioski. Wpłynęła jednak skarga, którą do Rzecznika ds. Tarczy Prywatności skierował chorwacki organ ochrony danych; trwały odpowiednie kontrole.
Szczegółowe ustalenia dotyczące funkcjonowania wszystkich aspektów zasad Tarczy Prywatności po drugim roku jej funkcjonowania są przedstawione w dokumencie roboczym służb Komisji w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (SWD(2018) 497) załączonym do niniejszego sprawozdania.
Informacje zgromadzone w kontekście drugiego rocznego przeglądu potwierdzają ustalenia Komisji zawarte w decyzji w sprawie adekwatności ochrony, zarówno w odniesieniu do „aspektów handlowych” przedmiotowych zasad, jak i aspektów dotyczących dostępu władz USA do danych osobowych przekazywanych w ramach Tarczy Prywatności.
Na podstawie tych ustaleń Komisja uznaje, że USA nadal zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych w ramach Tarczy Prywatności z Unii do organizacji w Stanach Zjednoczonych.
W szczególności w wyniku działań podjętych w celu wykonania zaleceń Komisji wynikających z pierwszego rocznego przeglądu ulepszono szereg aspektów praktycznego funkcjonowania przedmiotowych zasad, co zapobiec miało osłabieniu poziomu ochrony osób fizycznych, gwarantowanemu przez decyzję w sprawie adekwatności ochrony.
Niektóre z takich działań podjęto jednak dopiero niedawno i odpowiednie procesy są jeszcze w toku. Z tego względu wszelkie dalsze zmiany związane z tymi procesami powinny być ściśle monitorowane, zwłaszcza że mają one wpływ na elementy o istotnym znaczeniu dla ciągłości oceny adekwatności. Dotyczy to w szczególności:
1.Skuteczności mechanizmów wprowadzonych przez Departament Handlu w drugim roku funkcjonowania zasad Tarczy Prywatności w celu aktywnego monitorowania ich przestrzegania przez przedsiębiorstwa posiadające certyfikację, w szczególności przestrzegania istotnych wymogów i obowiązków.
2.Skuteczności narzędzi wprowadzonych przez Departament Handlu od czasu pierwszego rocznego przeglądu w celu wykrywania fałszywych oświadczeń o uczestnictwie w przedmiotowych zasadach, ze szczególnym uwzględnieniem wyszukiwania fałszywych oświadczeń składanych przez przedsiębiorstwa, które nigdy nie wystąpiły o certyfikację.
3.Postępów i wyników akcji kontrolnych przeprowadzanych z urzędu przez Federalną Komisję Handlu w drugim roku działania Tarczy Prywatności w formie nakazów administracyjnych w celu wykrywania istotnych naruszeń Tarczy Prywatności.
4.Wspólnego opracowania przez Departament Handlu, Federalną Komisję Handlu i unijne organy ochrony danych dodatkowych wytycznych w kwestiach wymagających doprecyzowania (np. danych kadrowych).
5.Mianowania stałego Rzecznika ds. Tarczy Prywatności.
6.Skuteczności rozpatrywania i rozstrzygania skarg przez Rzecznika ds. Tarczy Prywatności.
Komisja w szczególności ponawia swoje wezwanie, skierowane do administracji USA, do potwierdzenia politycznego zobowiązania dotyczącego mechanizmu Rzecznika ds. Tarczy Prywatności poprzez mianowanie stałego Rzecznika ds. Tarczy Prywatności w trybie pilnym. Mechanizm Rzecznika ds. Tarczy Prywatności jest ważnym elementem zasad Tarczy Prywatności. Wprawdzie urzędnik pełniący obowiązki Rzecznika ds. Tarczy Prywatności w dalszym ciągu realizuje istotne zadania, jednak niepowołanie stałego urzędnika jest w wysokim stopniu niezadowalające. Sytuację te należy jak najszybciej zmienić. Komisja oczekuje od rządu USA wskazania, do dnia 28 lutego 2019 r., nominata, który obejmie stanowisko Rzecznika ds. Tarczy Prywatności na stałe oraz poinformowania o tym Komisji. W przypadku braku takiej nominacji we wskazanym terminie Komisja rozważy podjęcie odpowiednich środków zgodnie z ogólnym rozporządzeniem o ochronie danych 6 . Komisja oczekuje również, że będzie dokładnie i szczegółowo informowana o wszystkich wyżej wymienionych aspektach, co zapewni jej możliwość oceny praktycznej skuteczności podejmowanych działań.
Komisja wyraża ponadto zamiar ścisłego śledzenia trwającej w USA debaty na temat federalnego prawodawstwa dotyczącego ochrony prywatności. Ze względu na istotność transatlantyckiego przepływu danych, Komisja zachęca USA do przyjęcia kompleksowego systemu ochrony prywatności i danych oraz do przyjęcia konwencji nr 108 Rady Europy. Konwergencja pomiędzy naszymi dwoma systemami w perspektywie długoterminowej może zostać osiągnięta właśnie poprzez takie kompleksowe podejście, które jednocześnie wzmocniłoby fundamenty, na których opierają się zasady Tarczy Prywatności.
-
(1)
Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, Dz.U. L 2017 z 1.8.2016, s. 1.
-
(2)
Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (COM(2017) 611 final), zob. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(3)
Dokument roboczy służb Komisji towarzyszący sprawozdaniu Komisji dla Parlamentu Europejskiego i Rady w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (SWD(2017)344 final), zob. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(4)
Tekst dostępny pod adresem: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
-
(5)
Sprawozdanie dla Prezydenta pt. „Wykonanie dyrektywy politycznej Prezydenta nr 28. Działania z zakresu rozpoznania elektronicznego”, tekst dostępny pod adresem: https://www.pclob.gov/reports/report-PPD28/
-
(6)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
All