KOMISJA EUROPEJSKA
Bruksela, dnia 23.10.2019
COM(2019) 495 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności
{SWD(2019) 390 final}
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52019DC0495
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the third annual review of the functioning of the EU-U.S. Privacy Shield
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności
COM/2019/495 final
Language
HTML
DOC
PDF
1.TRZECI ROCZNY PRZEGLĄD – KONTEKST, PRZYGOTOWANIE I PROCES
W dniu 12 lipca 2016 r. Komisja przyjęła decyzję („decyzja stwierdzająca odpowiedni stopień ochrony”), w której stwierdziła, że Tarcza Prywatności UE-USA zapewnia odpowiedni poziom ochrony danych osobowych, które zostały przekazane z UE do organizacji z siedzibą w USA 1 . Decyzja stwierdzająca odpowiedni stopień ochrony przede wszystkim zawiera wymóg, zgodnie z którym Komisja musi przeprowadzić roczny przegląd w celu oceny funkcjonowania przedmiotowych zasad i przygotować na tej podstawie ogólnodostępne sprawozdanie, które złoży Parlamentowi Europejskiemu i Radzie.
Pierwszy roczny przegląd został przeprowadzony we wrześniu 2017 r. w Waszyngtonie, a w październiku 2017 r. Komisja przyjęła sprawozdanie dla Parlamentu Europejskiego i Rady 2 wraz z towarzyszącym dokumentem roboczym służb Komisji (SWD(2017) 344 final) 3 . Komisja stwierdziła, że Stany Zjednoczone nadal zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do podmiotów w Stanach Zjednoczonych w ramach Tarczy Prywatności, jednocześnie sformułowała jednak dziesięć zaleceń w celu poprawy praktycznego funkcjonowania zasad.
Drugi roczny przegląd został przeprowadzony w październiku 2018 r. w Brukseli, a w grudniu 2018 r. Komisja przyjęła sprawozdanie dla Parlamentu Europejskiego i Rady 4 wraz z towarzyszącym dokumentem roboczym służb Komisji (SWD(2018) 487 final) 5 . Informacje zgromadzone w kontekście drugiego rocznego przeglądu potwierdziły ustalenia Komisji zawarte w decyzji stwierdzającej odpowiedni stopień ochrony zarówno w odniesieniu do „aspektów handlowych” przedmiotowych zasad (tj. aspektów związanych z przestrzeganiem wymogów Tarczy Prywatności przez przedsiębiorstwa posiadające certyfikację, a także aspektów związanych z zarządzaniem takimi wymogami, nadzorowaniem tych wymogów i ich egzekwowaniem), jak i aspektów dotyczących dostępu organów publicznych do danych osobowych przekazywanych w ramach Tarczy Prywatności.
W szczególności działania podjęte w celu wykonania zaleceń Komisji sformułowanych w wyniku pierwszego rocznego przeglądu przyniosły poprawę szeregu aspektów praktycznego funkcjonowania przedmiotowych zasad. Przykładowo Departament Handlu wprowadził nowe mechanizmy wykrywania potencjalnych problemów dotyczących przestrzegania zasad, Federalna Komisja Handlu przyjęła bardziej aktywne podejście w zakresie monitorowania przestrzegania zasad i ich egzekwowania, a ponadto wydano ogólnodostępne sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi z wdrożenia dyrektywy politycznej Prezydenta nr 28 6 . Niektóre z tych działań podjęto jednak dopiero tuż przed przeprowadzeniem drugiego rocznego przeglądu, a niektóre procesy były nadal realizowane, dlatego Komisja stwierdziła, że rozwój sytuacji w zakresie tych procesów i mechanizmów wymaga uważnego monitorowania.
Ponadto o ile funkcję Rzecznika ds. Tarczy Prywatności sprawowała osoba pełniąca obowiązki podsekretarza stanu, w związku z czym urząd Rzecznika osiągnął pełną operacyjność, Komisja podkreśliła znaczenie obsadzenia stanowiska Rzecznika ds. Tarczy Prywatności na stałe, a w szczególności wezwała rząd USA do wskazania nominata na to stanowisko do dnia 28 lutego 2019 r.
Posiedzenie w sprawie trzeciego rocznego przeglądu odbyło się w Waszyngtonie w dniach 12 i 13 września 2019 r. Posiedzenie otworzyli dyrektor generalna ds. sprawiedliwości i konsumentów Tiina Astola, amerykański sekretarz handlu Wilbur Ross, przewodniczący Federalnej Komisji Handlu Joseph Simons oraz wiceprzewodniczący Europejskiej Rady Ochrony Danych Ventsislav Karadjov. W imieniu UE w posiedzeniu udział wzięli przedstawiciele Dyrekcji Generalnej Komisji Europejskiej ds. Sprawiedliwości i Konsumentów. W posiedzeniu uczestniczyło również ośmiu przedstawicieli wyznaczonych przez Europejską Radę Ochrony Danych 7 .
Po stronie USA w przeglądzie uczestniczyli przedstawiciele Departamentu Handlu, Departamentu Stanu, Federalnej Komisji Handlu, Departamentu Transportu, Urzędu Dyrektora Krajowych Służb Wywiadowczych, Departamentu Sprawiedliwości oraz członkowie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, a także nowo mianowany Rzecznik ds. Tarczy Prywatności (na stałe, zob. poniżej) i Inspektor Generalny Wspólnoty Wywiadowczej. Ponadto na posiedzeniach poświęconych omawianemu przeglądowi informacji udzielali przedstawiciele dwóch organizacji oferującej usługi niezależnego rozstrzygania sporów w ramach Tarczy Prywatności oraz Amerykańskiego Stowarzyszenia Arbitrażowego (American Arbitration Association) zarządzającego panelem arbitrażowym w ramach Tarczy Prywatności. Źródłem informacji dla rocznego przeglądu były także prezentacje organizacji posiadających certyfikację Tarczy Prywatności na temat działań podejmowanych przez przedsiębiorstwa w celu wypełnienia wymogów określonych w przedmiotowych zasadach.
Przygotowując trzeci roczny przegląd, Komisja zebrała informacje od zainteresowanych stron (w szczególności od przedsiębiorstw posiadających certyfikację Tarczy Prywatności, za pośrednictwem ich stowarzyszeń branżowych, jak również od organizacji pozarządowych działających w dziedzinie praw podstawowych, a w szczególności praw cyfrowych i ochrony prywatności). Oprócz gromadzenia danych pisemnych Komisja odbyła spotkania ze stowarzyszeniami branżowymi i stowarzyszeniami przedsiębiorców w dniu 9 września 2019 r. i z organizacjami pozarządowymi w dniu 11 września 2019 r.
Ustalenia Komisji zostały uzupełnione o publicznie dostępne materiały, w tym orzeczenia sądowe, przepisy wykonawcze i procedury właściwych organów USA, sprawozdania i badania organizacji pozarządowych, sprawozdania na temat przejrzystości udostępniane przez przedsiębiorstwa posiadające certyfikację Tarczy Prywatności, roczne sprawozdania dostarczane przez niezależne mechanizmy ochrony prawnej oraz doniesienia medialne.
Niniejsze sprawozdanie jest podsumowaniem trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności. W niniejszym sprawozdaniu oraz w towarzyszącym mu dokumencie roboczym służb Komisji (SWD(2019) 390 final) zastosowano taką samą strukturę, jak w dokumentach dotyczących dwóch poprzednich przeglądów. W sprawozdaniu uwzględniono wszystkie aspekty funkcjonowania Tarczy Prywatności, przy czym szczególny nacisk położono na elementy, które Komisja zidentyfikowała w toku drugiego rocznego przeglądu jako wymagające uważnego monitorowania.
Przeprowadzając ocenę, Komisja wzięła również pod uwagę rozwój sytuacji, jaki nastąpił w poprzednim roku, w tym sprawę zawisłą przed Trybunałem Sprawiedliwości Unii Europejskiej dotyczącą Tarczy Prywatności 8 . W tym zakresie przegląd stanowił okazję dla Komisji do uzyskania od władz USA wyjaśnień dotyczących niektórych szczególnych aspektów amerykańskich ram prawnych regulujących gromadzenie danych wywiadowczych, w związku z wątpliwościami zgłoszonymi w kontekście tak zwanej sprawy Schrems II. Możliwe jednak, że po wydaniu przez Trybunał orzeczeń w sprawach zawisłych Komisja będzie zmuszona przeprowadzić ponowną ocenę sytuacji.
2.USTALENIA
W trzecim roku funkcjonowania Tarczy Prywatności – która w czasie posiedzenia w sprawie rocznego przeglądu liczyła ponad 5 000 uczestniczących przedsiębiorstw – zakończono etap wstępny i rozpoczęto etap większej operacyjności. Zakres trzeciego rocznego przeglądu obejmował zarówno aspekty handlowe, jak i kwestie dotyczące dostępu organów rządowych do danych osobowych, przy czym szczególny nacisk położono na doświadczenia i wyciągnięte wnioski z praktycznego stosowania przedmiotowych zasad.
Szczegółowe ustalenia dotyczące funkcjonowania zasad Tarczy Prywatności po trzecim roku jej funkcjonowania są przedstawione w dokumencie roboczym służb Komisji w sprawie trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (SWD(2019) 390 final) załączonym do niniejszego sprawozdania.
2.1.Aspekty handlowe
W związku z ustaleniami z rocznego przeglądu z poprzedniego roku ocena aspektów handlowych przeprowadzona przez Komisję dotyczyła w szczególności postępów poczynionych przez Departament Handlu w zakresie: (i) procesu ponownej certyfikacji, (ii) skuteczności mechanizmów wprowadzonych przez Departament Handlu w celu bardziej aktywnego monitorowania przestrzegania zasad przez przedsiębiorstwa posiadające certyfikację (tak zwanych „kontroli na miejscu”), (iii) narzędzi wprowadzonych w celu wykrywania fałszywych oświadczeń, (iv) rozwoju i wyników czynności z zakresu egzekwowania prawa prowadzonych przez Federalną Komisję Handlu w przypadku naruszeń zasad Tarczy Prywatności, oraz (v) opracowania wytycznych dotyczących danych o zasobach ludzkich.
W odniesieniu do procesu ponownej certyfikacji w toku trzeciego rocznego przeglądu okazało się, że w sytuacji, w której przedsiębiorstwo nie ukończyło jeszcze procesu ponownej certyfikacji w momencie upływu terminu na jego przeprowadzenie, Departament Handlu, po przeprowadzeniu procedury wewnętrznej, regularnie wyznacza bardzo odległy dodatkowy termin (ang. grace period) na ukończenie tego procesu przez dane przedsiębiorstwo. W tym okresie (przez około 3,5 miesiąca lub w niektórych przypadkach jeszcze dłużej w zależności od tego, kiedy Departament Handlu wykrywa, że nie ukończono procesu ponownej certyfikacji) przedsiębiorstwo nadal widnieje w wykazie podmiotów uczestniczących w programie Tarczy Prywatności. Przez cały okres, w których dane przedsiębiorstwo widnieje w wykazie podmiotów uczestniczących w programie Tarczy Prywatności, obowiązki wynikające z przedmiotowych zasad pozostają wiążące i w pełni wykonalne. Utrzymywanie danego przedsiębiorstwa w wykazie podmiotów uczestniczących w programie Tarczy Prywatności przez tak długi okres po upływie terminu na przeprowadzenie procesu ponownej certyfikacji ogranicza jednak przejrzystość i czytelność tego wykazu zarówno z punktu widzenia przedsiębiorstw, jak i osób fizycznych w UE. Taka praktyka nie stanowi bodźca dla uczestniczących przedsiębiorstwo do rygorystycznego przestrzegania wymogu dokonania corocznej ponownej certyfikacji.
Jeżeli chodzi o aktywne kontrole przedsiębiorstw w zakresie przestrzegania wymogów Tarczy Prywatności, w kwietniu 2019 r. Departament Handlu wprowadził system, w ramach którego każdego miesiąca przeprowadza kontrole 30 przedsiębiorstw. Komisja z zadowoleniem przyjmuje fakt, że Departament Handlu regularnie i systematycznie przeprowadza aktywne kontrole na miejscu dotyczące przestrzegania zasad, gdyż ma to ogromne znaczenie z punktu widzenia poprawy sytuacji, jeżeli chodzi o ogólny poziom przestrzegania zasad, oraz wykrywania przypadków wymagających przeprowadzenia przez Federalną Komisję Handlu czynności z zakresu egzekwowania prawa. Komisja odnotowuje jednak, że takie kontrole na miejscu często ograniczają się do wymogów formalnych, m.in. braku odpowiedzi ze strony wyznaczonych osób odpowiedzialnych za kontakty lub braku możliwości zapoznania się z polityką prywatności danego przedsiębiorstwa na jego stronie internetowej. O ile niewątpliwie są to istotne aspekty przestrzegania zasad Tarczy Prywatności, tego typu kontrole powinny obejmować również obowiązki materialne, na przykład sprawdzenie przestrzegania zasady odpowiedzialności za wtórne przekazywanie z pełnym wykorzystaniem w tym celu instrumentów dostępnych dla Departamentu Handlu w kontekście przedmiotowych zasad. W ramach Tarczy Prywatności w dużym stopniu wzmocniono wymogi dotyczące wtórnego przekazywania, gdyż brak zabezpieczeń w tego typu sytuacjach podważyłby skuteczność ochrony, jaką zapewniają zasady. O ile nadal należy prowadzić regularne i systematyczne kontrole na miejscu, to jednak takie bardziej materialne wymogi również mają podstawowe znaczenie dla ciągłości funkcjonowania Tarczy Prywatności, a władze USA powinny ściśle monitorować ich przestrzeganie i je egzekwować.
Jeżeli chodzi o wyszukiwanie fałszywych oświadczeń dotyczących uczestnictwa w programie Tarczy Prywatności przez Departament Handlu, Komisja odnotowała, że Departament Handlu nadal przeprowadzał wyszukiwania co kwartał, co skutkowało wykryciem wielu przypadków składania fałszywych oświadczeń, z których część skierowano do Federalnej Komisji Handlu. Jak dotąd takie wyszukiwania dotyczyły jednak jedynie tych przedsiębiorstw, które w określony sposób uzyskały już certyfikację lub złożyły wniosek o certyfikację w ramach Tarczy Prywatności (ale na przykład nie uzyskały ponownej certyfikacji). Ważne jest, aby takie wyszukiwanie dotyczyło również tych przedsiębiorstw, które nigdy nie ubiegały się o certyfikację w ramach Tarczy Prywatności. Spośród wszystkich rodzajów fałszywych oświadczeń te składane przez przedsiębiorstwa, które nigdy nie ubiegały się o certyfikację, są potencjalnie najbardziej szkodliwe. Ma to znaczenie z punktu widzenia prywatności osób fizycznych, ponieważ przedsiębiorstwa, które nigdy nie ubiegały się o certyfikację, nie wdrożyły w ramach swoich praktyk handlowych żadnych zabezpieczeń gwarantowanych za sprawą Tarczy Prywatności. Ma to znaczenie również z punktu widzenia przedsiębiorstw, gdyż przedsiębiorstwa przestają mieć równe warunki działania, jeżeli organizacje, które nie spełniają wymogów określonych w ramach zasad, mogą czerpać korzyści wynikające z certyfikacji.
Komisja z zadowoleniem odnotowała, że coraz większa liczba osób, których dane dotyczą, pochodzących z UE korzysta ze swoich praw w ramach Tarczy Prywatności, a mechanizmy dochodzenia roszczeń działają prawidłowo. Liczba skarg składanych w ramach niezależnych mechanizmów ochrony prawnej wzrosła, tak jak liczba skarg rozpatrzonych z korzyścią dla zainteresowanych osób fizycznych pochodzących z UE. Ponadto uczestniczące przedsiębiorstwa prawidłowo przetwarzały wnioski od osób fizycznych pochodzących z UE.
Jeżeli chodzi o ściganie przestępstw, Komisja zauważyła, że od zeszłego roku Federalna Komisja Handlu zakończyła siedem postępowań w zakresie ścigania przestępstw związanych z naruszeniami Tarczy Prywatności, również w wyniku ogłaszanych akcji kontrolnych prowadzonych z urzędu. Wszystkie siedem spraw dotyczyło fałszywych oświadczeń o uczestnictwie w programie. Dwie z tych spraw dotyczyły również naruszenia bardziej materialnych wymogów w zakresie Tarczy Prywatności, m.in. braku weryfikacji – w drodze samooceny albo zewnętrznych przeglądów zgodności z wymogami – prawdziwości twierdzeń przedsiębiorstwa na temat jego praktyk związanych z Tarczą Prywatności oraz ich wdrożenia. Komisja z zadowoleniem przyjmuje działania w zakresie ścigania przestępstw podejmowane przez Federalną Komisję Handlu w trzecim roku funkcjonowania Tarczy Prywatności. Jednocześnie w świetle ogłoszenia agencji z zeszłego roku i zapewnień złożonych w toku drugiego rocznego przeglądu Komisja mogła się spodziewać bardziej entuzjastycznego podejścia do działań w zakresie ścigania przestępstw w przypadku poważnych naruszeń zasad Tarczy Prywatności.
Pod tym względem Komisja przyjęła do wiadomości wyjaśnienie udzielone w trzecim rocznym przeglądzie, tj. że kilka trwających dochodzeń zajmuje więcej czasu, ponieważ Federalna Komisja Handlu bada pełen zakres możliwych naruszeń. Informacje przekazane przez Federalną Komisję Handlu były jednak zbyt ograniczone, aby prawidłowo ocenić postępy w ściganiu przestępstw. Chociaż informacje takie mogą być ograniczone z uzasadnionych względów poufności, nie wydaje się uzasadniony fakt, że Federalna Komisja Handlu nie może, nawet w zsumowanej i anonimowej formie, udostępniać większej liczby elementów informacji na temat prowadzonych z urzędu akcji kontrolnych. Podejście to nie jest zgodne ze wspólnym dla organów duchem współpracy, który stanowi podstawę Tarczy Prywatności, a Federalna Komisja Handlu powinna szukać sposobów udostępniania Komisji i unijnym organom ochrony danych, które są współodpowiedzialne za egzekwowanie ram, ważnych informacji na temat swojej działalności w zakresie ścigania przestępstw.
W toku przeglądu ponownie omawiano kwestię sposobu przetwarzania danych o zasobach ludzkich w ramach Tarczy Prywatności. Zainteresowane strony potwierdziły, że wspólne wytyczne opracowane przez Departament Handlu, Federalną Komisję Handlu i unijne organy ochrony danych wniosłyby realną wartość dodaną. Pod tym względem Komisja zaznacza, że w ostatnim czasie nawiązano kontakty, dzięki którym poczyniono pewne postępy w zrozumieniu problemów, jednak jak dotąd bez żadnych konkretnych wyników.
2.2.Dostęp amerykańskich organów publicznych do danych osobowych i korzystanie przez amerykańskie organy publiczne z tych danych
Jeżeli chodzi o aspekty związane z dostępem amerykańskich organów publicznych do danych osobowych i korzystanie przez nie z tych danych, trzeci roczny przegląd miał przede wszystkim na celu potwierdzenie, że wszystkie ograniczenia i zabezpieczenia, na których opiera się decyzja stwierdzająca odpowiedni stopień ochrony, nadal obowiązują. Ponadto trzeci roczny przegląd umożliwił przyjrzenie się rozwojowi sytuacji i dokładniejsze wyjaśnienie pewnych aspektów ram prawnych, jak również poszczególnych mechanizmów nadzoru i możliwości dochodzenia roszczeń, szczególnie w odniesieniu do rozpatrywania i rozstrzygania skarg przez Rzecznika ds. Tarczy Prywatności.
Chociaż nie zaszły żadne nowe zmiany prawne w zakresie pozyskiwania zagranicznych informacji wywiadowczych zgodnie z sekcją 702 ustawy o kontroli wywiadu, Komisja z zadowoleniem przyjęła wyjaśnienia amerykańskich organów dotyczące sposobu ukierunkowywania działań w zakresie pozyskiwania zagranicznych informacji wywiadowczych w ramach programów wywiadowczych realizowanych zgodnie z sekcją 702 ustawy o kontroli wywiadu (tj. program Prism i Upstream). Wyjaśnienia te potwierdziły ustalenia Komisji, o których mowa w decyzji stwierdzającej odpowiedni stopień ochrony, że pozyskiwanie zagranicznych informacji wywiadowczych zgodnie z sekcją 702 ustawy o kontroli wywiadu zawsze jest ukierunkowywane za pomocą selektorów, których wybór jest regulowany prawem i podlega niezależnemu nadzorowi sądowemu i prawodawczemu.
Komisja zaznaczyła również, że niektóre podstawy prawne pozyskiwania zagranicznych informacji wywiadowczych zgodnie z sekcją 501 ustawy o kontroli wywiadu zmienionej amerykańską ustawą o wolności z 2015 r. mają wygasnąć w dniu 15 grudnia 2019 r. Ponieważ gromadzenie danych zgodnie z sekcją 501 ustawy o kontroli wywiadu ma znaczenie w kontekście Tarczy Prywatności, a zatem zostało poddane ocenie w decyzji Komisji stwierdzającej odpowiedni stopień ochrony, ważne jest, aby w przypadku ponownego upoważnienia istniejące ograniczenia i zabezpieczenia, takie jak zakaz hurtowego gromadzenia danych, nadal obowiązywały.
Jeżeli chodzi o dyrektywę polityczną Prezydenta nr 28, amerykańskie organy wyraźnie potwierdziły, że dyrektywa ta nadal w pełni obowiązuje i nie wprowadzono do niej żadnych zmian. Nie zmieniono również procedur wdrażania dyrektywy politycznej Prezydenta nr 28 w ramach poszczególnych agencji Wspólnoty Wywiadowczej. Co więcej, Komisja odnotowała wyjaśnienia przekazane przez amerykańskie organy, które wytłumaczyły, że przepisy dyrektywy politycznej Prezydenta nr 28 dotyczące hurtowego gromadzenia danych, w tym te dotyczące tymczasowego ich zajęcia, nie odnoszą się w Stanach Zjednoczonych do zagranicznych informacji wywiadowczych (np. do pozyskiwania informacji od certyfikowanego przedsiębiorstwa przetwarzającego dane przekazane przez UE w ramach Tarczy Prywatności), m.in. gromadzenia prowadzonego zgodnie z sekcją 702 ustawy o kontroli wywiadu w ramach programu Prism lub Upstream, ponieważ gromadzenie to jest zawsze ukierunkowane.
Jeżeli chodzi o Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, ważny organ nadzorczy w dziedzinie rządowego nadzoru, Komisja z zadowoleniem przyjęła niedawne wyznaczenie przez amerykański Senat dwóch dodatkowych członków tej Rady, dzięki czemu posiada ona pełny, pięcioosobowy skład po raz pierwszy od 2016 r. Komisja zauważyła również, że liczba pracowników Rady podwoiła się od czasu ostatniego rocznego przeglądu i że Rada przyjęła ambitny program prac obejmujący dziesięć trwających projektów nadzorczych, z których niektóre mają szczególne znaczenie dla okresowego przeglądu Komisji dotyczącego Tarczy Prywatności.
Jeżeli chodzi o urząd Rzecznika Tarczy Prywatności, w dniu 18 stycznia 2019 r. prezydent Stanów Zjednoczonych ogłosił nominację Keitha Kracha na podsekretarza stanu, który jednocześnie pełni rolę Rzecznika. W dniu 20 czerwca 2019 r. nominację pana Kracha zatwierdził Senat. Komisja z zadowoleniem przyjmuje wyznaczenie pana Kracha na Rzecznika Tarczy Prywatności, gdyż zapewnia to stałe piastowanie tego stanowiska.
Jeżeli chodzi o pierwszą skargę wniesioną do Rzecznika ds. Tarczy Prywatności, którą tuż przed ostatnim rocznym przeglądem złożył chorwacki organ ochrony danych, skargę tę ostatecznie uznano za niedopuszczalną, ponieważ dotyczyła faktów, które miały miejsce, zanim przyjęto decyzję w sprawie Tarczy Prywatności. Skarga umożliwiła jednak sprawdzenie działania odpowiednich procedur w praktyce. Zarówno przedstawiciele Europejskiej Rady Ochrony Danych uczestniczący w rocznym przeglądzie, jak i Rzecznik ds. Tarczy Prywatności potwierdzili, że wszystkie stosowne etapy procedury zastosowano i ukończono w sposób satysfakcjonujący. Komisja przyjmuje z zadowoleniem fakt, że ten pierwszy wniosek udało się rozpatrzyć z powodzeniem, jako istotny wskaźnik, że urząd Rzecznika jest w stanie prawidłowo pełnić swoją rolę.
Amerykańskie organy przekazały również dalsze wyjaśnienia dotyczące sposobu współpracy Rzecznika z innymi, niezależnymi organami nadzoru i zaradzania naruszeniom. W szczególności potwierdziły, że niezależny Inspektor Generalny Wspólnoty Wywiadowczej będzie systematycznie informowany o wszelkich skargach wnoszonych do Rzecznika ds. Tarczy Prywatności oraz że przeprowadzi swoją własną ocenę. Ponadto wyjaśniły, że jeżeli skarga wniesiona do Rzecznika ds. Tarczy Prywatności ujawnia naruszenie procedur ukierunkowania zgodnych z sekcją 702 ustawy o kontroli wywiadu, takie naruszenie należy zgłosić do Sądu ds. Inwigilacji Obcych Wywiadów, który dokona niezależnego przeglądu i, w stosownych przypadkach, zarządzi, aby właściwa agencja wywiadowcza podjęła działania naprawcze. Działania takie mogą przyjmować formę od pojedynczych środków, np. usunięcie nielegalnie pozyskanych danych, po środki strukturalne, np. zmiana praktyki gromadzenia, m.in. pod względem wytycznych i szkolenia dla pracowników.
Ponadto potwierdzono, że jeżeli w toku przeglądu skargi wniesionej do Rzecznika zostałoby zidentyfikowane naruszenie amerykańskiego prawa (w tym naruszenie rozporządzeń wykonawczych, polityki Prezydenta oraz zasad i procedur agencji, np. procedur ukierunkowywania i minimalizacji zatwierdzonych przez Sąd ds. Inwigilacji Obcych Wywiadów), nielegalnie zgromadzone dane zostałyby usunięte ze wszystkich rządowych baz danych, a wszelkie odniesienia do tych danych – ze sprawozdań służb wywiadowczych. Osoba fizyczna może zatem uzyskać w UE decyzję o usunięciu jej danych osobowych, jeżeli amerykańska Wspólnota Wywiadowcza pozyskała i przetwarzała je nielegalnie.
Komisja przyjmuje z zadowoleniem te dodatkowe wyjaśnienia, które pokazują, jak współpraca między poszczególnymi, niezależnymi organami nadzorczymi wzmacnia skuteczność urzędu Rzecznika. Ważne było także, aby wytłumaczyć, że wykorzystując urząd Rzecznika, osoby fizyczne w UE mogą realnie skorzystać ze swojego prawa do usunięcia danych, które stanowi podstawowy element prawa do ochrony danych osobowych.
3.WNIOSEK
Informacje zgromadzone w kontekście trzeciego rocznego przeglądu potwierdzają ustalenia Komisji zawarte w decyzji stwierdzającej odpowiedni stopień ochrony, zarówno w odniesieniu do aspektów handlowych przedmiotowych ram, jak i aspektów dotyczących dostępu organów publicznych do danych osobowych przekazywanych w ramach Tarczy Prywatności. Pod tym względem Komisja zauważyła szereg udoskonaleń w działaniu ram, jak również obsadzenie stanowisk w głównych organach nadzorczych.
W świetle pewnych kwestii, które wynikły jednak z codziennych doświadczeń lub stały się bardziej istotne w kontekście praktycznego wdrażania ram, Komisja doszła do wniosku, że należy poczynić kilka konkretnych kroków, aby lepiej zapewnić skuteczne funkcjonowanie w praktyce Tarczy Prywatności:
1.Departament Handlu powinien skrócić poszczególne terminy, które przedsiębiorstwa otrzymują na ukończenie procesu ponownej certyfikacji. Całkowity okres maksymalnie 30 dni wydaje się rozsądny, aby przedsiębiorstwa mogły uzyskać ponowną certyfikację, w tym rozwiązać wszelkie problemy zidentyfikowane w procesie ponownej certyfikacji, jednocześnie zapewniając skuteczność tego procesu. Jeżeli pod koniec tego okresu ponowna certyfikacja nie będzie zakończona, Departament Handlu powinien bezzwłocznie wysłać pismo zawierające ostrzeżenie.
2.W kontekście jego procedury kontroli wyrywkowej Departament Handlu powinien przeprowadzić ocenę przestrzegania przez przedsiębiorstwa zasady odpowiedzialności za wtórne przekazywanie, m.in. korzystając z oferowanej przez Tarczę Prywatności możliwości złożenia wniosku o przekazanie streszczenia lub poświadczonej kopii postanowień dotyczących prywatności zawartych w umowie podpisanej przez przedsiębiorstwo posiadające certyfikację Tarczy Prywatności na potrzeby wtórnego przekazywania.
3.W pierwszej kolejności Departament Handlu powinien opracować narzędzia do wykrywania fałszywych oświadczeń dotyczących uczestnictwa w programie Tarczy Prywatności składanych przez przedsiębiorstwa, które nigdy nie wnosiły o certyfikację, oraz regularnie i systematycznie stosować te narzędzia.
4.Federalna Komisja Handlu powinna jako kwestię priorytetową potraktować znalezienie sposobów na udostępnianie Komisji oraz unijnym organom ochrony danych, które również pełnią obowiązki związane ze ściganiem przestępstw w ramach Tarczy Prywatności, istotnych informacji na temat prowadzonych dochodzeń.
5.Unijne organy ochrony danych, Departament Handlu i Federalna Komisja Handlu powinny w najbliższych miesiącach opracować wspólne wytyczne dotyczące definiowania i przetwarzania danych o zasobach ludzkich.
Komisja będzie nadal ściśle monitorowała rozwój sytuacji w zakresie konkretnych elementów ram Tarczy Prywatności, szczególnie (i) działanie urzędu Rzecznika, zwłaszcza w przypadku wpłynięcia nowej skargi; (ii) wyniki trwających projektów nadzorczych, które zainicjowała Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, a które mają szczególne znaczenie dla Tarczy Prywatności (np. wątpliwości dotyczące danych pozyskanych przez Federalne Biuro Śledcze zgodnie z sekcją 702 ustawy o kontroli wywiadu, wdrażanie zaleceń Rady w zakresie dyrektywy politycznej Prezydenta nr 28 itp.); (iii) ponowne upoważnienie zgodnie z sekcją 501 ustawy o kontroli wywiadu, szczególnie w zakresie utrzymania obowiązywania istniejących zabezpieczeń; oraz (iv) tworzone amerykańskie orzecznictwo w sprawie środków zaskarżenia w obszarze nadzoru rządowego, szczególnie w odniesieniu do kwestii odpowiadania przed sądami.
Co więcej, Komisja będzie nadal przyglądała się z uwagą toczącej się w Stanach Zjednoczonych dyskusji na temat federalnego prawodawstwa dotyczącego prywatności. Kompleksowe podejście do prywatności i ochrony danych osobowych zwiększyłoby spójność systemów UE i Stanów Zjednoczonych oraz wzmocniłoby fundamenty, na których opierają się ramy Tarczy Prywatności.
-
(1)
Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, Dz.U. L 207 z 1.8.2016, s. 1.
-
(2)
Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (COM(2017) 611 final), zob. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(3)
Dokument roboczy służb Komisji towarzyszący sprawozdaniu Komisji dla Parlamentu Europejskiego i Rady w sprawie pierwszego rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA (SWD(2017) 344 final), zob. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(4)
Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności (COM(2018) 860 final), zob. https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf
-
(5)
Dokument roboczy służb Komisji towarzyszący sprawozdaniu Komisji dla Parlamentu Europejskiego i Rady w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności (SWD(2018) 497 final), zob. https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf
-
(6)
Dyrektywa polityczna Prezydenta nr 28 dotycząca działań z zakresu rozpoznania elektronicznego z dnia 17 stycznia 2014 r. określa istotne ograniczenia i zabezpieczenia w odniesieniu do osób niebędących obywatelami USA w obszarze gromadzenia danych w wyniku rozpoznania elektronicznego.
-
(7)
Niezależny organ tworzony przez przedstawicieli krajowych organów ochrony danych państw członkowskich UE oraz Europejskiego Inspektora Ochrony Danych.
-
(8)
Zob. sprawa T-738/16 La Quadrature du Net/Komisja. Pytania dotyczące Tarczy Prywatności podniesiono również w kontekście sprawy C-311/18 Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems (Schrems II), w której przed wielką izbą Trybunału Sprawiedliwości w dniu 9 lipca 2019 r. odbyła się rozprawa.