KOMISJA EUROPEJSKA
Bruksela, dnia 10.1.2017
COM(2017) 7 final
KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY
Wymiana i ochrona danych osobowych w zglobalizowanym świecie
KOMISJA EUROPEJSKA
Bruksela, dnia 10.1.2017
COM(2017) 7 final
KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY
Wymiana i ochrona danych osobowych w zglobalizowanym świecie
1. Wprowadzenie
Ochrona danych osobowych stanowi część wspólnej konstrukcji konstytucyjnej Europy, czego potwierdzenie znaleźć można w art. 8 Karty praw podstawowych Unii Europejskiej. Od ponad 20 lat pełni ona kluczową rolę w prawie Unii – począwszy od dyrektywy o ochronie danych z 1995 r. 1 („dyrektywa z 1995 r.”) aż po przyjęcie ogólnego rozporządzenia o ochronie danych 2 oraz dyrektywy w sprawie policji 3 w 2016 r.
W swoim orędziu o stanie Unii Europejskiej z dnia 14 września 2016 r. przewodniczący Jean-Claude Juncker podkreślał: Bycie Europejczykiem oznacza prawo do ochrony własnych danych osobowych za pomocą skutecznych europejskich przepisów. [...] W Europie prywatność jest ważna. To kwestia ludzkiej godności.
Zapotrzebowanie na ochronę danych osobowych nie jest jednak ograniczona wyłącznie do Europy. Konsumenci na całym świecie coraz bardziej cenią swoją prywatność. Przedsiębiorstwa z kolei rozumieją, że silna gwarancja ochrony prywatności daje im przewagę konkurencyjną i tym samym przyczynia się do wzrostu zaufania do ich usług. Wiele z nich – w szczególności przedsiębiorstwa o zasięgu globalnym – dostosowuje swoje polityki ochrony prywatności do ogólnego rozporządzenia o ochronie danych. Robią to nie tylko po to, aby móc prowadzić działalność na terenie UE, ale również dlatego, że postrzegają UE jako model do naśladowania.
Podobnie niektóre kraje i organizacje regionalne spoza UE – począwszy od tych będących w naszym bezpośrednim sąsiedztwie aż po te, które znajdują się w Azji, Ameryce Łacińskiej i Afryce – przyjmują nowe przepisy dotyczące ochrony danych lub aktualizują przepisy już obowiązujące, aby w ten sposób wykorzystać możliwości, jakie daje światowa gospodarka cyfrowa, a także odpowiedzieć na rosnące zapotrzebowanie na poprawę bezpieczeństwa danych i ochrony prywatności. Pomimo że pomiędzy poszczególnymi państwami istnieją różnice w podejściu i stopniu zaawansowania prac legislacyjnych, zauważyć można oznaki pozytywnej konwergencji społeczno-gospodarczej w kierunku zasad ochrony istotnych danych, w szczególności w niektórych regionach świata 4 . Lepsza kompatybilność pomiędzy różnymi systemami ochrony danych mogłaby ułatwić międzynarodowy przepływ danych osobowych – czy to w celach komercyjnych, czy też na potrzeby współpracy pomiędzy organami publicznymi (np. w zakresie ścigania przestępstw). UE powinna wykorzystać tę okazję, aby propagować swoje wartości w obszarze ochrony danych, a także by usprawnić przepływ danych poprzez zachęcanie do ujednolicania systemów prawnych. Zgodnie z zapowiedzią zawartą w programie prac Komisji 5 , w niniejszym komunikacie przedstawiono ramy strategiczne Komisji w odniesieniu do „decyzji w sprawie odpowiedniej ochrony danych osobowych”, jak również inne narzędzia służące do przekazywania danych oraz międzynarodowe instrumenty ochrony danych.
2. Pakiet reform w zakresie ochrony danych – Nowoczesne ramy prawne na rzecz wsparcia międzynarodowych przepływów danych z zachowaniem wysokiego stopnia ochrony
Reforma unijnych przepisów o ochronie danych przyjęta w kwietniu 2016 r. ustanawia system, który nie tylko zapewnia wysoki stopień ochrony, ale jest także otwarty na możliwości, jakie daje globalne społeczeństwo informacyjne. Dając osobom fizycznym większą kontrolę nad ich danymi osobowymi, reforma wzmacnia zaufanie konsumentów do gospodarki cyfrowej. Natomiast dzięki harmonizacji i uproszczeniu środowiska prawnego ułatwia ona przedsiębiorstwom krajowym i zagranicznym prowadzenie działalności gospodarczej w UE, w tym działalności wiążącej się z międzynarodową wymianą danych. Obecnie otwartość w kwestii międzynarodowego przepływu danych UE łączy z najwyższym stopniem ochrony swoich obywateli. UE ma potencjał, by stać się centrum usług związanych z obsługą danych. By to osiągnąć niezbędne są zarówno swobodny przepływ danych, jak i zaufanie.
2.1 Kompleksowe, ujednolicone i uproszczone unijne ramy prawne w zakresie ochrony danych
W przedmiotowej reformie unijnej ustanowiono kompleksowe ramy prawne regulujące kwestię przetwarzania danych osobowych zarówno w sektorach prywatnym i publicznym, jak i w sektorach komercyjnym oraz organów ścigania (odpowiednio ogólne rozporządzenie o ochronie danych i dyrektywa w sprawie policji).
Na mocy ogólnego rozporządzenia o ochronie danych począwszy od maja 2018 r. obowiązywać zacznie jeden ogólnoeuropejski zbiór przepisów, który zastąpi obecne 28 ustawodawstw krajowych. Zgodnie z nowo utworzonym mechanizmem kompleksowej obsługi jeden organ ochrony danych („OOD”) będzie odpowiedzialny za nadzór nad transgranicznymi operacjami przetwarzania danych przeprowadzanymi przez przedsiębiorstwa w UE. Zagwarantowana będzie spójność interpretacji nowych przepisów. W przypadku wspólnych problemów – zwłaszcza spraw transgranicznych, w które zaangażowanych może być kilka krajowych organów ochrony danych – podejmowana będzie jedna wspólna decyzja gwarantująca dla wszystkich wspólne rozwiązanie. Ponadto ogólne rozporządzenie o ochronie danych otwiera drogę do wyrównania szans pomiędzy przedsiębiorstwami unijnymi oraz zagranicznymi w ten sposób, że przedsiębiorstwa z siedzibą poza UE będą musiały przestrzegać tych samych przepisów, co przedsiębiorstwa unijne, jeśli oferują towary i świadczą usługi lub monitorują zachowanie osób fizycznych na terenie UE. Na zwiększeniu poziomu zaufania konsumentów skorzystają zarówno unijne, jak i zewnętrzne podmioty handlowe.
W dyrektywie w sprawie policji zawarto wspólne przepisy dotyczące przetwarzania danych osobowych osób uczestniczących w postępowaniu karnym – oskarżonych, świadków i ofiar – uwzględniając jednocześnie specyficzny charakter działań policyjnych i sądowych w sprawach karnych. Harmonizacja przepisów dotyczących ochrony danych w sektorze ścigania przestępstw, w tym przepisów o międzynarodowym przekazywaniu danych, ułatwi współpracę transgraniczną pomiędzy organami policyjnymi a organami wymiaru sprawiedliwości. Mowa tu zarówno o współpracy wewnątrz samej UE, jak i o współpracy z partnerami międzynarodowymi. W ten sposób powstaną warunki umożliwiające skuteczniejszą walkę z przestępczością. Jest to istotny wkład w Europejską agendę bezpieczeństwa 6 .
2.2 Zaktualizowany i zróżnicowany zestaw narzędzi do międzynarodowego przekazywania danych
Od momentu powstania unijne przepisy o ochronie danych przewidują szereg mechanizmów umożliwiających międzynarodowe przekazywanie danych. Głównym celem tych przepisów jest zapewnienie, aby przy przekazywaniu danych osobowych Europejczyków utrzymać wysoki stopień ich ochrony. Na przestrzeni lat dla wielu jurysdykcji przepisy te były wzorem ustawodawstwa w zakresie międzynarodowego przepływu danych. Chociaż konstrukcja pozostaje zasadniczo taka sama jak w dyrektywie z 1995 r., to reforma przepisów dotyczących międzynarodowego przekazywania danych dookreśla je i upraszcza ich stosowanie oraz wprowadza nowe narzędzia służące przekazywaniu danych.
Zgodnie z prawem UE jeden ze sposobów przekazywania danych osobowych za granicę opiera się na decyzji Komisji „w sprawie odpowiedniej ochrony danych osobowych” mówiącej, że państwa spoza UE muszą zapewnić stopień ochrony danych, który będzie „zasadniczo odpowiadający” poziomowi ochrony gwarantowanemu w UE 7 . Wskutek takiej decyzji możliwy staje się swobodny przepływ danych osobowych do danego państwa trzeciego bez potrzeby przedstawiania dodatkowych gwarancji przez podmiot przekazujący dane lub uzyskania przez niego odpowiedniego upoważnienia. Dla zainteresowanych państw lub organizacji międzynarodowych dostępny jest dokładny i szczegółowy zestaw elementów, które Komisja musi wziąć pod uwagę, oceniając adekwatność ochrony danych zapewnianej w ramach zagranicznego systemu 8 . Od teraz Komisja może też przyjmować decyzje w sprawie odpowiedniej ochrony danych osobowych także w obszarze ścigania przestępstw 9 . Ponadto – w oparciu o postępowanie zgodne z dyrektywą z 1995 r. – reforma wyraźnie umożliwia określenie odpowiedniości ochrony w odniesieniu do konkretnego terytorium danego państwa trzeciego lub do konkretnego sektora lub branży w danym państwie trzecim (tzw. „częściowa” odpowiedniość ochrony) 10 .
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony międzynarodowe przekazanie danych może odbyć się w oparciu o szereg alternatywnych służących przekazywaniu danych narzędzi, które zapewniają odpowiednie gwarancje ochrony danych 11 . Za pomocą reformy sformalizowano i rozszerzono możliwości wykorzystania istniejących instrumentów, takich jak standardowe klauzule umowne 12 i wiążące reguły korporacyjne 13 . Przykładowo, standardowe klauzule umowne można obecnie zawierać w umowach pomiędzy podmiotami przetwarzającymi mającymi swoją siedzibę w UE a podmiotami przetwarzającymi w państwach spoza UE (tzw. klauzule wzorcowe pomiędzy podmiotami przetwarzającymi) 14 . Co zaś tyczy się wiążących reguł korporacyjnych – które dotychczas ograniczone były do uzgodnień pomiędzy podmiotami w ramach tej samej grupy przedsiębiorstw – to obecnie mogą stosować je grupy przedsiębiorstw prowadzących wspólną działalność gospodarczą, lecz niekoniecznie stanowiące część jednej grupy przedsiębiorstw 15 . Reforma wprowadza też ograniczenie biurokracji poprzez zniesienie ogólnego wymogu uprzedniego zgłaszania OOD zamiaru przekazywania danych oraz udzielania przez OOD upoważnienia w przypadkach przekazywania danych do państw trzecich na podstawie standardowych klauzul umownych lub wiążących reguł korporacyjnych 16 . Jest to istotnie uproszczenie unijnego systemu międzynarodowego przekazywania danych, gdyż istnienie tych wymogów – obecnie różnych w poszczególnych państwach członkowskich – postrzega się często jako poważną przeszkodę dla przepływu danych, zwłaszcza dla mniejszych przedsiębiorstw 17 .
Ponadto reforma wprowadza nowe narzędzia służące do międzynarodowego przekazywania danych 18 . Administratorzy danych i podmioty przetwarzające będą mogły – pod pewnymi warunkami 19 – stosować zatwierdzone kodeksy postępowania lub mechanizmy certyfikacji (takie jak etykiety lub marki ochrony danych osobowych) w celu ustanowienia „właściwego zabezpieczenia”. Powinno to umożliwić opracowywanie rozwiązań lepiej dostosowanych do indywidualnych potrzeb. Mowa tu np. o rozwiązaniach odzwierciedlających charakterystykę i zapotrzebowania danego sektora lub branży bądź też konkretnych przepływów danych. Daje to też możliwość zagwarantowania właściwych zabezpieczeń w przypadkach przekazywania danych między organami lub podmiotami publicznymi na podstawie międzynarodowych umów lub porozumień administracyjnych 20 . Ponadto ogólne rozporządzenie o ochronie danych doprecyzowuje zastosowanie tzw. „wyjątków” 21 (np. w przypadkach niezdolności do wyrażenia zgody, konieczności wykonania umowy lub z ważnych względów interesu publicznego), na które podmioty mogą powołać się w konkretnych sytuacjach, chcąc przekazać dane w razie braku decyzji w sprawie odpowiedniej ochrony danych osobowych i niezależnie od zastosowania jednego z wyżej wymienionych narzędzi. W szczególności dodano do niej nowy, aczkolwiek ograniczony wyjątek dotyczący przypadków przekazania, które są niezbędne do celów wynikających z prawnie uzasadnionego interesu 22 przedsiębiorstwa.
Wreszcie reforma upoważnia Komisję do opracowania mechanizmów współpracy międzynarodowej, które ułatwiłyby egzekwowanie przepisów o ochronie danych, w tym poprzez zawieranie porozumień w sprawie wzajemnej pomocy 23 . W ten sposób uznano wkład, jaki bliższe formy współpracy pomiędzy organami nadzorczymi na szczeblu międzynarodowym mogłyby wnieść w obszarze zapewnienia zarówno bardziej skutecznej ochrony praw osób fizycznych, jak i większej pewności prawa dla przedsiębiorstw.
3. Międzynarodowe przekazywanie danych w sektorze komercyjnym: ułatwianie wymiany handlowej poprzez ochronę prywatności
Ochrona prywatności jest warunkiem stabilnej, bezpiecznej i konkurencyjnej wymiany handlowej na świecie. Prywatność to nie towar, którym można handlować 24 . Internet i cyfryzacja towarów i usług zmieniły oblicze światowej gospodarki, a transgraniczne przekazywanie danych – w tym danych osobowych – stało się częścią codziennej działalności europejskich przedsiębiorstw wszelkich rozmiarów i we wszystkich sektorach. Ponieważ wymiana handlowa w coraz większym stopniu zależy od przepływu danych osobowych, zachowanie ich prywatności i bezpieczeństwa stało się głównym czynnikiem decydującym o zaufaniu konsumentów. Przykładowo, dwie trzecie Europejczyków jest zaniepokojonych brakiem kontroli nad informacjami podanymi przez nich online, natomiast połowa respondentów obawia się, że może stać się ofiarą oszustwa 25 . Jednocześnie przedsiębiorstwa europejskie prowadzące działalność w niektórych państwach trzecich zmagają się z protekcjonistycznymi ograniczeniami, które trudno uzasadnić względami ochrony prywatności.
W erze cyfrowej promowanie wysokich standardów ochrony danych i ułatwianie handlu międzynarodowego muszą zatem koniecznie iść w parze. Mimo że ochrona danych osobowych jest kwestią niepodlegającą negocjacjom 26 w umowach handlowych, przedstawiony powyżej unijny system międzynarodowego przekazywania danych zapewnia szeroko zakrojony i zróżnicowany zestaw narzędzi umożliwiających przepływ danych w różnych sytuacjach przy jednoczesnym zapewnieniu wysokiego stopnia ich ochrony.
3.1 Decyzje w sprawie odpowiedniej ochrony danych osobowych
Stwierdzenie odpowiedniej ochrony danych umożliwia swobodny przepływ danych osobowych z UE bez konieczności wdrażania dodatkowych zabezpieczeń przez podmiot przekazujący mający siedzibę w UE ani spełniania przez niego innych specjalnych warunków. Wydanie decyzji jest równoznaczne ze stwierdzeniem, że panujący w danym państwie porządek prawny zapewnia odpowiedni stopień ochrony, zbliżony do stopnia ochrony gwarantowanego w państwach członkowskich UE. W związku z tym przekazywanie danych do takiego państwa zostanie potraktowane tak samo, jak przekazywanie danych w obrębie UE, co oznacza dla niego uzyskanie uprzywilejowanego dostępu do jednolitego rynku unijnego przy jednoczesnym otworzeniu kanałów handlowych na podmioty gospodarcze z UE. Jak wyjaśniono powyżej, aby możliwe było wydanie takiej decyzji, konieczne jest zapewnienie stopnia ochrony porównywalnego do poziomu gwarantowanego w Unii (lub mu „zasadniczo odpowiadającego”) 27 . Wiąże się to z przeprowadzeniem kompleksowej oceny systemu obowiązującego w państwie trzecim, w tym jego przepisów dotyczących dostępu organów publicznych do danych osobowych na potrzeby ścigania przestępstw, bezpieczeństwa narodowego i z innych względów interesu publicznego.
Jednocześnie – co zostało potwierdzone w 2015 r. przez Trybunał Sprawiedliwości w orzeczeniu w sprawie Schrems – odpowiedni standard ochrony można osiągnąć bez konieczności dokładnego powielenia przepisów unijnych 28 . Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, konkretny zagraniczny system zapewnia jako całość wymagany, odpowiednio wysoki poziom ochrony. Wydane dotychczas przez Komisję decyzje w sprawie odpowiedniej ochrony danych osobowych świadczą o tym, że aprobuje ona odpowiedniość bardzo zróżnicowanych systemów ochrony prywatności wywodzących się z różnych tradycji prawnych. Decyzje te dotyczą państw, które są ściśle zintegrowane z Unią Europejską i jej państwami członkowskimi (Szwajcaria, Andora, Wyspy Owcze, Guernsey, Jersey i Wyspa Man), ważnych partnerów handlowych (Argentyna, Kanada, Izrael i Stany Zjednoczone) oraz państw, które odgrywają wiodącą rolę w tworzenia ustawodawstwa dotyczącego ochrony danych w swoim regionie (Nowa Zelandia, Urugwaj).
W przypadku Kanady i Stanów Zjednoczonych wydano decyzję o „częściowej” odpowiedniości ochrony danych. Decyzja dotycząca Kanady ma zastosowanie wyłącznie do pomiotów prywatnych wchodzących w zakres kanadyjskiej ustawy o ochronie informacji osobowych i dokumentów elektronicznych (ang. Canadian Personal Information Protection and Electronic Documents Act). Przyjęta niedawno decyzja w sprawie Tarczy Prywatności UE-USA 29 to szczególny przypadek, ponieważ ze względu na brak ogólnych przepisów dotyczących ochrony danych w Stanach Zjednoczonych 30 opiera się ona na zobowiązaniach ze strony uczestniczących w niej przedsiębiorstw do stosowania wysokich standardów ochrony danych ustanowionych w rzeczonym porozumieniu, które można wyegzekwować na podstawie prawa amerykańskiego. Ponadto u podstaw Tarczy Prywatności leżą konkretne zobowiązania i zapewnienia ze strony rządu Stanów Zjednoczonych w zakresie udzielania dostępu do danych na potrzeby bezpieczeństwa narodowego 31 , co stanowi podparcie dla stwierdzenia odpowiedniej ochrony danych. Komisja będzie ściśle monitorować przestrzeganie tych zobowiązań, a ocena stopnia ich przestrzegania będzie też częścią corocznego przeglądu funkcjonowania odnośnych ram.
W ostatnich latach coraz więcej państw na całym świecie albo już przyjęło nowe przepisy w obszarze ochrony danych i prywatności, albo obecnie nad tym pracuje. W 2015 r. liczba państw posiadających przepisy dotyczące ochrony danych osobowych wynosiła 109. Jest to znaczny skok w porównaniu z połową 2011 r., kiedy państw takich było 76 32 . Ponadto około 35 państw opracowuje obecnie przepisy o ochronie danych 33 . Te nowo ustanowione lub zaktualizowane przepisy opierają się z zasady na podstawowym zbiorze wspólnych zasad, w tym m.in. uznaniu ochrony danych jako prawa podstawowego, przyjęciu nadrzędnych przepisów w tej dziedzinie, istnieniu możliwego do wyegzekwowania prawa do prywatności oraz ustanowieniu niezależnego organu nadzorczego. Otwiera to nowe możliwości – w szczególności poprzez stwierdzenie odpowiedniej ochrony danych – dalszego ułatwienia przepływów danych przy jednoczesnym zagwarantowaniu stałego, wysokiego poziomu ochrony danych osobowych.
Zgodnie z prawem UE stwierdzenie odpowiedniej ochrony danych osobowych wymaga istnienia przepisów o ochronie danych osobowych porównywalnych z przepisami UE 34 . Dotyczy to zarówno zasadniczych zabezpieczeń mających zastosowanie do danych osobowych, jak również odnośnych mechanizmów nadzoru i dochodzenia roszczeń, jakie są dostępne w danym państwie trzecim.
Na podstawie ram prawnych dotyczących stwierdzenia odpowiedniej ochrony danych Komisja uważa, że dokonując oceny tego, z którymi państwami trzecimi należy prowadzić dialog w kwestii odpowiedniości ochrony, trzeba wziąć pod uwagę następujące kryteria 35 :
(i) zakres (faktycznych lub potencjalnych) stosunków handlowych z danym państwem trzecim, w tym istnienie umowy o wolnym handlu lub trwające negocjacje w tej sprawie;
(ii) zakres przepływu danych osobowych z UE, odzwierciedlający powiązania geograficzne lub kulturowe;
(iii) wiodącą rolę państwa trzeciego na polu stanowienia przepisów w zakresie ochrony prywatności i danych, a tym samym stanowienie przykładu dla innych państw w regionie 36 ; oraz
(iv) ogólne stosunki polityczne z danym państwem trzecim, w szczególności w odniesieniu do propagowania wspólnych wartości i wspólnych celów na poziomie międzynarodowym.
W związku z powyższym Komisja będzie aktywnie współpracować z kluczowymi partnerami handlowymi w Azji Wschodniej i Południowo-Wschodniej, począwszy od Japonii i Korei w 2017 r. 37 oraz – w zależności od postępu prac w kierunku modernizacji przepisów o ochronie danych – z Indiami, lecz także z państwami Ameryki Łacińskiej, w szczególności z członkami Mercosur, oraz z tymi państwami sąsiadującymi w Europie, które wykazały zainteresowanie uzyskaniem „stwierdzenia odpowiedniej ochrony danych”. Ponadto Komisja z zadowoleniem przyjmuje zainteresowanie ze strony innych państw trzecich, które pragną zaangażować się w te kwestie. Dyskusje na temat ewentualnego stwierdzenia odpowiedniej ochrony danych to dwustronny dialog, który wiąże się z przedstawieniem wszelkich koniecznych objaśnień unijnych przepisów UE w zakresie ochrony danych oraz z rozpatrywaniem sposobów na zwiększenie konwergencji przepisów i praktyk obowiązujących w państwach trzecich.
W pewnych sytuacjach od przyjęcia podejścia ogólnokrajowego bardziej odpowiednie może okazać się wykorzystanie innych możliwości, takich jak stwierdzenie częściowej odpowiedniości ochrony danych lub odpowiedniości ochrony danych w stosunku do konkretnego sektora (np. sektora usług finansowych lub informatycznych), które to stwierdzenie może odnosić się do obszarów geograficznych lub branż będących ważną częścią gospodarki danego państwa trzeciego. Tego rodzaju możliwości należy rozważać, biorąc pod uwagę elementy, takie jak charakter i stan rozwoju systemu dotyczącego ochrony prywatności (odrębne przepisy prawa, zbiory przepisów lub przepisy sektorowe itd.), struktura konstytucyjna danego państwa trzeciego lub ewentualne istnienie sektorów gospodarki, w przypadku których przepływy danych z UE mają szczególne istotne znaczenie.
Przyjęcie decyzji w sprawie odpowiedniej ochrony danych osobowych wymaga ustanowienia specjalnego dialogu i ścisłej współpracy z danym państwem trzecim. Decyzje w sprawie odpowiedniej ochrony danych osobowych są „żyjącymi” dokumentami, które Komisja musi ściśle monitorować i dostosowywać w razie pojawienia się zmian mających wpływ na poziom ochrony zapewniany przez dane państwo trzecie 38 . W tym celu co najmniej raz na cztery lata przeprowadzane będą okresowe przeglądy mające na celu rozwiązanie pojawiających się problemów oraz wymianę najlepszych praktyk pomiędzy bliskimi partnerami 39 . To dynamiczne podejście ma zastosowanie także do już wydanych decyzji w sprawie odpowiedniej ochrony danych osobowych, przyjętych na podstawie dyrektywy z 1995 r., które będą musiały zostać poddane przeglądowi, w razie gdyby przestały spełniać odpowiednie standardy 40 . Zainteresowane państwa trzecie powinny zatem informować Komisję o wszelkich istotnych zmianach w prawie i praktykach, które miały miejsce od czasu przyjęcia w stosunku do nich decyzji w sprawie odpowiedniej ochrony danych. Jest to konieczne, aby zapewnić ciągłość tych decyzji w świetle nowych zasad reformy 41 .
Unijne przepisy w sprawie ochrony danych nie mogą być przedmiotem negocjacji w ramach umowy o wolnym handlu 42 . Chociaż dialog na temat ochrony danych i negocjacje handlowe z państwami trzecimi należy prowadzić oddzielnie, to decyzja w sprawie odpowiedniej ochrony danych osobowych – w tym częściowa lub odnosząca się do konkretnego sektora – stanowi najlepszy teren do budowy wzajemnego zaufania poprzez gwarancję swobodnego przepływu danych osobowych, a tym samym do usprawnienia wymiany handlowej wymagającej przekazywania danych osobowych do danego państwa trzeciego. Takie decyzje mogą zatem ułatwiać negocjacje handlowe lub stanowić uzupełnienie już istniejących umów handlowych, umożliwiając w ten sposób zwiększenie płynących z nich korzyści. Jednocześnie poprzez wspieranie konwergencji między poziomem ochrony danych w UE i w danym państwie trzecim stwierdzenie odpowiedniej ochrony danych zmniejsza ryzyko powołania się przez to państwo na względy ochrony danych osobowych w celu nałożenia nieuzasadnionych wymogów dotyczących lokalizacji danych i ich przechowywania. Ponadto, jak przedstawiono w komunikacie „Handel z korzyścią dla wszystkich”, Komisja będzie dążyć do wykorzystania umów handlowych zawieranych przez UE w celu ustanowienia przepisów w sprawie handlu elektronicznego i transgranicznych przepływów danych oraz do zwalczania nowych form protekcjonizmu cyfrowego, w pełnej zgodności z unijnymi przepisami o ochronie danych i bez uszczerbku dla nich 43 .
Komisja:
priorytetowo potraktuje dyskusje na temat ewentualnych decyzji w sprawie odpowiedniego stopnia ochrony w stosunku do kluczowych partnerów handlowych w Azji Wschodniej i Południowo-Wschodniej, począwszy od Japonii i Korei w 2017 r., biorąc też jednak pod uwagę innych partnerów strategicznych – takich jak Indie – oraz państwa Ameryki Łacińskiej, w szczególności członków Mercosur oraz państwa objęte europejską polityką sąsiedztwa;
będzie uważnie monitorować funkcjonowanie obowiązujących już decyzji w sprawie odpowiedniego poziomu ochrony. Odnosi się to przede wszystkim do wdrażania ram Tarczy Prywatności UE–USA, zwłaszcza za pomocą mechanizmu corocznego wspólnego przeglądu;
będzie współpracować z państwami zainteresowanymi wprowadzeniem rygorystycznych przepisów dotyczących ochrony danych i pomagać im w tym zakresie, a także wspierać ich na drodze do konwergencji z unijnymi zasadami dotyczącymi ochrony danych.
3.2 Alternatywne mechanizmy przekazywania danych
Przepisy UE w zakresie ochrony danych zawsze uznawały fakt, że nie istnieje uniwersalne podejście do kwestii międzynarodowego przekazywania danych. Bardziej niż dotychczas widać to zwłaszcza, jeśli spojrzeć na nowe zasady określone w reformie. Pomimo że stwierdzenie odpowiedniej ochrony danych będzie możliwe tylko w stosunku do tych państw trzecich, które spełniają odpowiednie kryteria, ogólne rozporządzenie o ochronie danych oferuje zestaw różnorodnych mechanizmów, które są na tyle elastyczne, aby można je było dostosować to całego szeregu różnych sytuacji związanych z przekazywaniem danych. Możliwe jest opracowanie instrumentów uwzględniających szczególne potrzeby lub sytuacje poszczególnych branż, modeli biznesowych lub podmiotów gospodarczych. Mogłyby one na przykład przyjąć formę standardowych klauzul umownych ukierunkowanych na wymogi obowiązujące w konkretnym sektorze, np. szczególne zabezpieczenia przy przetwarzaniu wrażliwych danych w sektorze zdrowia, bądź też szczególny rodzaj działań związanych z przetwarzaniem powszechnie stosowanych w niektórych państwach trzecich, np. usługi outsourcingu na rzecz europejskich przedsiębiorstw. Można to osiągnąć albo przez przyjęcie nowych zestawów standardowych klauzul, albo poprzez uzupełnienie już istniejących standardowych klauzul o zabezpieczenia, które mogą przybrać formę rozwiązań technicznych, organizacyjnych lub też rozwiązań związanych z modelem biznesowym 44 . Niektóre szczególne potrzeby sektorowe można także spełnić przy wykorzystaniu wiążących reguł korporacyjnych mających zastosowanie do grup przedsiębiorstw prowadzących wspólną działalność gospodarczą, np. w branży turystycznej. Międzynarodowe przekazywanie danych pomiędzy podmiotami przetwarzającymi mogłoby znacznie skorzystać na rozwoju standardowych klauzul umownych pomiędzy podmiotami przetwarzającymi lub wiążących reguł korporacyjnych dla podmiotów przetwarzających. Wreszcie nowe mechanizmy przekazywania danych – takie jak zatwierdzone kodeksy postępowania czy akredytowane deklaracje osób trzecich – dają branży możliwość wprowadzenia rozwiązań dostosowanych do kwestii międzynarodowego przekazywania danych, przy jednoczesnym wykorzystaniu płynącej z tego przewagi konkurencyjnej, np. w postaci etykiet lub marek ochrony danych osobowych. Niektóre z tych narzędzi można opracować wyłącznie jako mechanizmy związane z przekazywaniem danych bądź też jako część bardziej ogólnych narzędzi, które mogłyby sprostać wszystkim wymogom ogólnego rozporządzenia o ochronie danych, tak jak ma to miejsce w przypadku zatwierdzonego kodeksu postępowania.
Komisja będzie współpracować z przedstawicielami branży, społeczeństwa obywatelskiego i organami ochrony danych, mając na względzie wykorzystanie pełnego potencjału zestawu narzędzi, jakim jest ogólne rozporządzenie o ochronie danych na potrzeby międzynarodowego przekazywania danych. Stały dialog z zainteresowanymi stronami w kontekście wdrożenia reformy pomoże w określeniu priorytetowych obszarów działań w tej kwestii. Może to obejmować zakończenie już rozpoczętych prac, np. działań w zakresie opracowania standardowych klauzul umownych pomiędzy podmiotami przetwarzającymi we współpracy z Grupą Roboczą Art. 29 (którą w 2018 r. zastąpić ma Europejska Rada Ochrony Danych) 45 . Może się to wiązać ze stworzeniem nowych elementów infrastruktury zgodności z przepisami, np. na drodze zdefiniowania przez Komisję wymogów i norm technicznych dotyczących ustanowienia i funkcjonowania mechanizmów certyfikacji, w tym w obszarach związanych z międzynarodowym przekazywaniem danych 46 . Niektóre z tych działań można uzupełnić dzięki pracy na poziomie międzynarodowym, w szczególności z organizacjami, które opracowały już podobne mechanizmy przekazywania danych. Można na przykład zbadać sposoby propagowania konwergencji pomiędzy wiążącymi regułami korporacyjnymi ustanowionymi na podstawie prawa UE a transgranicznymi zasadami ochrony prywatności opracowanymi przez Współpracę Gospodarczą Azji i Pacyfiku (APEC) 47 zarówno pod względem obowiązujących standardów, jak i procedury składania wniosków w ramach każdego z systemów. Powinno mieć to wpływ na propagowanie wysokich standardów ochrony danych na całym świecie, a jednocześnie prowadzić do niwelowania różnic w podejściach do ochrony prywatności i danych, pomagać podmiotom gospodarczym poruszać się pomiędzy różnymi systemami, a także poskutkować opracowaniem zgodnych z nimi polityk.
Komisja:
będzie współpracować z zainteresowanymi stronami w celu opracowania alternatywnych mechanizmów przekazywania danych, które będą dopasowane do szczególnych potrzeb lub sytuacji poszczególnych branż, modeli biznesowych lub podmiotów gospodarczych.
3.3 Międzynarodowa współpraca na rzecz ochrony danych osobowych
3.3.1. Wykorzystanie wielostronnych narzędzi i forów do promowania wysokich standardów ochrony danych
Ramy prawne UE w zakresie ochrony danych służyły często państwom trzecim jako punkt odniesienia podczas prac nad stworzeniem własnego ustawodawstwa w tym obszarze. UE będzie nadal aktywnie angażować się w dialog ze swoimi partnerami międzynarodowymi, zarówno na szczeblu dwustronnym, jak i na szczeblu wielostronnym w celu poprawienia konwergencji poprzez rozwijanie wysokich i interoperacyjnych standardów w zakresie ochrony danych osobowych na całym świecie. Przyczyni się to do bardziej skutecznej ochrony praw osób fizycznych, a jednocześnie doprowadzi do zmniejszenia przeszkód na drodze do transgranicznego przepływu danych będącego istotnym elementem wolnego handlu.
Komisja zachęca państwa trzecie w szczególności do przystąpienia do Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych oraz do jej Protokołu dodatkowego 48 . Konwencja – która jest otwarta dla państw niebędących członkami Rady Europy i została już ratyfikowana przez 50 państw, w tym państwa afrykańskie i południowoamerykańskie 49 – jest jedynym wielostronnym wiążącym aktem w obszarze ochrony danych. Jest ona obecnie poddawana rewizji. Z myślą o przystąpieniu do niej przez UE Komisja będzie aktywnie wspierać szybkie przyjęcie zaktualizowanego tekstu. Tekst ten będzie odzwierciedlać te same zasady, które zapisano w nowych przepisach UE o ochronie danych. Tym samym nowa konwencja przyczyni się do poprawy konwergencji z zestawem wysokich standardów ochrony danych.
Szczyt G-20 w 2017 r. będzie stanowił dla UE dodatkową sposobność do działań na rzecz konwergencji, których głównym założeniem jest to, że wysokie standardy w zakresie ochrony są kluczowym elementem niezbędnym do dalszego rozwoju światowego społeczeństwa informacyjnego zdolnego do promowania innowacji, rozwoju i dobrobytu społecznego 50 .
Komisja oczekuje także na współpracę z ważnymi, nowymi podmiotami, np. ze specjalnym sprawozdawcą ONZ ds. prawa do prywatności 51 . Zamierza także zacieśnić współpracę z organizacjami regionalnymi takimi jak APEC, co pozwoli jej promować kulturę poszanowania prawa do ochrony prywatności i danych osobowych na całym świecie.
W ramach szerszych wysiłków na rzecz zwiększenia świadomości w zakresie ochrony prywatności oraz podniesienia zabezpieczeń w zakresie ochrony danych na poziomie międzynarodowym w dniu 15 listopada 2016 r. Komisja Europejska zatwierdziła projekt realizowany w ramach Instrumentu Partnerstwa w celu zacieśnienia współpracy z państwami partnerskimi w tym obszarze 52 . Będzie to obejmować finansowanie działań, takich jak szkolenia i prace na rzecz podnoszenia świadomości. Natomiast w kontekście wdrożenia reformy Unia może skorzystać na wymianie najlepszych praktyk i doświadczeń związanych z innymi systemami, zwłaszcza w obliczu nowych wyzwań w zakresie ochrony prywatności oraz pojawiających się problemów natury prawnej lub technicznych, w tym w odniesieniu do egzekwowania prawa, narzędzi służących przestrzeganiu przepisów (np. mechanizmów certyfikacji, ocen skutków w zakresie ochrony danych) lub w odniesieniu do ochrony niektórych konkretnych zbiorów danych (np. danych dotyczących dzieci).
3.3.2. Współpraca w zakresie egzekwowania prawa
Zacieśnienie współpracy z właściwymi organami ds. egzekwowania prawa i organami nadzorczymi w państwach trzecich staje się coraz bardziej nieodzowne ze względu na globalny zasięg wielonarodowych przedsiębiorstw, które przetwarzają ogromne ilości danych osobowych w wielu różnych państwach. Często problemy związane z nieprzestrzeganiem zasad ochrony danych lub naruszeniem ochrony danych dotykają jednocześnie wiele osób w więcej niż jednej jurysdykcji. W takich przypadkach bardziej skuteczną ochronę osób fizycznych można by osiągnąć poprzez podjęcie wspólnych działań. Podmioty gospodarcze skorzystałyby także z istnienia bardziej przejrzystego otoczenia prawnego, w którym wspólne narzędzia interpretacji przepisów i praktyki w zakresie egzekwowania prawa tworzonoby na szczeblu globalnym.
Nadszedł zatem czas, aby zacieśnić współpracę pomiędzy organami egzekwowania prawa w dzisiejszej rzeczywistości przepływu danych, w której nie obowiązują żadne granice, a wszystko jest ze sobą połączone 53 . UE jest gotowa odegrać swoją rolę. Jak już wspomniano powyżej, ogólne rozporządzenie o ochronie danych umożliwia Komisji opracowanie mechanizmów współpracy międzynarodowej, które ułatwiłyby skuteczne egzekwowanie przepisów o ochronie danych, w tym poprzez zawieranie porozumień w sprawie wzajemnej pomocy. W tym kontekście – w oparciu o doświadczenia zebrane przez Komisję w innych obszarach egzekwowania prawa, np. w zakresie prawa konkurencji lub ochrony konsumentów – należy zbadać możliwość stworzenia umowy ramowej w sprawie współpracy pomiędzy organami ochrony danych UE i organami egzekwowania w niektórych państwach trzecich.
|
Komisja: będzie wspierać szybkie przyjęcie zaktualizowanego tekstu Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, mając na względzie przystąpienie do niej przez UE, a także zachęcać państwa trzecie do przystąpienia do tej konwencji; będzie wykorzystywać wielostronne fora, takie jak ONZ, G-20 czy APEC, do promowania kultury poszanowania dla prawa do ochrony danych na całym świecie; będzie stwarzać mechanizmy współpracy międzynarodowej z kluczowymi partnerami międzynarodowymi w celu ułatwienia skutecznego egzekwowania przepisów. |
4. Bardziej skuteczna współpraca w dziedzinie egzekwowania prawa i silne zabezpieczenia w zakresie ochrony danych
Wymiana danych osobowych stanowi integralny element zapobiegania, dochodzenia i ścigania przestępstw kryminalnych. W pełnym współzależności świecie, gdzie przestępczość rzadko zatrzymuje się na granicach państwowych, tylko szybka wymiana danych osobowych może zapewnić pomyślną współpracę w dziedzinie egzekwowania prawa i pomóc skuteczne reagowanie na przestępczość. Taka wymiana musi opierać się na silnych zabezpieczeniach ochrony danych. To także przyczynia się do budowy zaufania pomiędzy organami ścigania, jak również do wzmacniania pewności prawa w sytuacjach, w których dochodzi do gromadzenia lub wymiany informacji.
Zasady dotyczące międzynarodowego przekazywania danych określone w dyrektywie o policji regulują kwestię wymiany danych pomiędzy organami ścigania w UE a organami ścigania spoza UE, jak również – w szczególnych sytuacjach – przekazywania danych przez organy ścigania do innych podmiotów. Dyrektywa wprowadza możliwość stwierdzania odpowiedniej ochrony danych w sektorze egzekwowania przepisów prawa karnego. Komisja będzie propagować możliwość wydawania takich stwierdzeń o odpowiedniej ochronie danych w stosunku do spełniających kryteria państw trzecich, w szczególności w stosunku do tych państw, których ścisła i sprawna współpraca jest konieczna w walce z przestępczością i terroryzmem oraz w stosunku do państw, pomiędzy którymi ma miejsce istotna ilościowo wymiana danych osobowych. Na tej podstawie Komisja priorytetowo będzie traktować dyskusje w przedmiocie decyzji w sprawie odpowiedniej ochrony danych osobowych z państwami trzecimi będącymi jej kluczowymi partnerami w tym przedsięwzięciu.
Alternatywnie, zawarta w grudniu 2016 r. umowa ramowa między UE a USA o ochronie danych 54 stanowi dobry przykład na to, jak poprzez negocjacje w obszarze silnego zestawu zabezpieczeń ochrony danych można poprawić współpracę w zakresie egzekwowania prawa z ważnym partnerem międzynarodowym. Dzięki automatycznemu uzupełnianiu już istniejących aktów prawnych, na których opiera się wymiana danych (przede wszystkim dwustronnych porozumień zarówno na szczeblu unijnym, jak i na szczeblu państw członkowskich) wspomniana umowa ramowa przynosi natychmiastowe i bezpośrednie korzyści dla osób fizycznych i prowadzi do wzmocnienia współpracy w zakresie egzekwowania prawa poprzez ułatwienie wymiany informacji. Ponadto poprzez ustanowienie podstawy dla przyszłych porozumień ze Stanami Zjednoczonymi w sprawie przekazywania danych, umowa ramowa likwiduje konieczność wielokrotnego renegocjowania tych samych zabezpieczeń. Wymieniona umowa ramowa jest pierwszym dwustronnym porozumieniem międzynarodowym, któremu towarzyszy obszerny zestaw praw w zakresie ochrony danych i zobowiązań zgodnych z dorobkiem prawnym UE. Może ona zatem posłużyć jako podstawa do negocjacji podobnych umów z państwami trzecimi nie tylko na polu współpracy sądowej i policyjnej, ale także w innych dziedzinach egzekwowania prawa przez organy publiczne (np. w obszarze polityki konkurencji i ochrony konsumentów). Dotyczyłoby to zarówno wymiany między rządami, jak przekazywania danych pomiędzy przedsiębiorstwami prywatnymi a organami ścigania. Mogłoby także ułatwić zawieranie przez Unię umów dotyczących wymiany danych pomiędzy właściwymi agencjami UE (zwłaszcza Europolem i Eurojustem) a państwami trzecimi 55 . Komisja zbada więc możliwość zawierania podobnych umów ramowych ze swoimi ważnymi partnerami w dziedzinie egzekwowania prawa.
Ponadto w dyrektywie w sprawie policji przewidziano możliwość – pod warunkiem zastosowania rygorystycznych zabezpieczeń i tylko w szczególnych okolicznościach – wnioskowania przez organy ścigania w UE o bezpośrednie otrzymanie informacji od prywatnego przedsiębiorstwa w państwie trzecim, jak również możliwość przekazywania danych osobowych (zazwyczaj imienia i nazwiska lub adresu IP) w takich wnioskach 56 . Ogólne rozporządzenie o ochronie danych odnosi się z kolei do sytuacji, w których podmioty prywatne w UE przekazują dane osobowe organom ścigania w państwie trzecim na ich wniosek: takie przekazywanie danych poza UE jest dozwolone tylko w określonych warunkach, np. na podstawie umów międzynarodowych lub w sytuacjach, gdy ujawnienie danych jest konieczne z ważnych względów interesu publicznego uznanego w prawodawstwie Unii lub państwa członkowskiego 57 .
Współpraca ta stała się kluczowym elementem zapewniającym powodzenie w prowadzeniu dochodzeń i ściganiu przestępstw i działalności terrorystycznej. Rada kładzie na nią szczególny nacisk w swoich wnioskach dotyczących usprawnienia wymiaru sprawiedliwości w sprawach karnych w cyberprzestrzeni. Rada wezwała Komisję do podjęcia konkretnych działań opartych na wspólnym podejściu UE w celu usprawnienia współpracy z usługodawcami, podniesienia skuteczności wspólnej pomocy prawnej, a także zaproponowania rozwiązań problemów dotyczących ustalania jurysdykcji i egzekwowania przepisów w cyberprzestrzeni 58 . Te działania dotyczą zarówno wymiany pomiędzy organami ścigania a usługodawcami mającymi siedzibę w UE, jak i wymiany z organami i przedsiębiorstwami z państw spoza UE. W czerwcu 2017 r. Komisja przedstawi możliwości dostępu do dowodów elektronicznych, uwzględniając potrzebę szybkiej i niezawodnej współpracy opierającej się na wysokich standardach w zakresie ochrony danych zawartych w dyrektywie w sprawie policji i ogólnym rozporządzeniu o ochronie danych na potrzeby zarówno sytuacji wewnętrznych UE, jak i międzynarodowego przekazywania danych.
Wreszcie Komisja oceni – zgodnie z nową podstawą prawną dla Europolu – postanowienia określone w tych umowach o współpracy operacyjnej między Europolem a stronami trzecimi zawartych na podstawie decyzji Rady 2009/371/WSiSW, w tym postanowienie dotyczące ochrony danych 59 . Ponadto – jak określono w Europejskiej agendzie bezpieczeństwa z 2015 r. – podejście Unii do wymiany danych PNR z państwami spoza UE będzie w przyszłości uwzględniało potrzebę zastosowania jednolitych standardów i ochrony konkretnych praw podstawowych. Komisja będzie pracować nad opartymi na solidnych podstawach prawnych i zrównoważonymi rozwiązaniami w kwestii wymiany danych dotyczących przelotu pasażera (PNR) z państwami trzecimi, w tym poprzez rozważenie wzoru umowy w sprawie PNR określającej wymogi, jakie państwo trzecie musi spełnić, aby móc otrzymać dane PNR z UE. Polityka w tej dziedzinie będzie jednak w przyszłości zależeć w szczególności od oczekiwanej opinii Trybunału Sprawiedliwości Unii Europejskiej w sprawie planowanej umowy w sprawie PNR z Kanadą 60 .
|
Bardziej skuteczna współpraca w dziedzinie egzekwowania prawa i silne zabezpieczenia w zakresie ochrony danych Komisja: będzie propagować możliwość podejmowania decyzji w sprawie odpowiedniej ochrony danych osobowych ze spełniającymi wymogi państwami trzecimi na podstawie dyrektywy w sprawie policji; będzie propagować negocjację umów w dziedzinie egzekwowania prawa z ważnymi partnerami międzynarodowymi zgodnie z modelem, jaki stanowi umowa ramowa ze Stanami Zjednoczonymi; będzie podejmować działania w następstwie konkluzji Rady w sprawie usprawnienia wymiaru sprawiedliwości w sprawach karnych w cyberprzestrzeni w celu ułatwienia transgranicznej wymiany dowodów elektronicznych w zgodzie z zasadami ochrony danych. |
5. Podsumowanie
Ochrona i wymiana danych osobowych wzajemnie się nie wykluczają. Solidny system ochrony danych ułatwia przepływy danych poprzez budowę zaufania konsumentów do tych przedsiębiorstw, które przywiązują dużą wagę do tego, jak obchodzą się z danymi osobowymi swoich klientów. Wysokie standardy ochrony danych stają się więc atutem w globalnej gospodarce cyfrowej. To samo dotyczy również współpracy w dziedzinie egzekwowania prawa: gwarancje w zakresie ochrony prywatności są integralnym elementem skutecznej i szybkiej wymiany informacji w walce z przestępczością, a opierają się one na wzajemnym zaufaniu i pewności prawa.
Po zakończeniu prac nad reformą przepisów o ochronie danych UE powinna zacząć aktywnie współpracować z państwami trzecimi w tej kwestii. Komisja powinna dążyć do osiągnięcia większej pozytywnej konwergencji zasad ochrony danych na poziomie międzynarodowym, zarówno na szczeblu dwustronnym, jak i wielostronnym. Jest to działanie z korzyścią dla obywateli i przedsiębiorstw i leży w ich interesie. Nowe ramy legislacyjne w zakresie ochrony danych wyposażają UE w niezbędne i odpowiednie narzędzia, które pozwolą na osiągnięcie tych celów. Opierając się na podejściu przedstawionym w niniejszym komunikacie, Komisja będzie aktywnie współpracować z państwami trzecimi, aby zbadać możliwości przyjmowania stwierdzeń o odpowiedniej ochronie danych – zaczynając od Japonii i Korei w 2017 r. – mając na względzie promowanie konwergencji regulacyjnej ze standardami przyjętymi w UE i ułatwianie stosunków handlowych. Jednocześnie UE będzie w pełni korzystać z szeregu alternatywnych narzędzi przekazywania danych, tak aby strzec praw w zakresie ochrony danych i wspierać podmioty gospodarcze, gdy dane są przekazywane do państw, których prawo krajowe nie zapewnia odpowiedniego stopnia ochrony w tej dziedzinie. Takie narzędzia należy także wykorzystać w celu jeszcze lepszego usprawnienia współpracy pomiędzy organami nadzorczymi a organami egzekwowania prawa UE a ich partnerami międzynarodowymi. Komisja zapewni spójność między wewnętrznym i zewnętrznym wymiarem polityki UE w zakresie ochrony danych i będzie propagować stosowanie silnych zabezpieczeń w zakresie ochrony danych na poziomie międzynarodowym w celu poprawy współpracy między organami egzekwowania prawa, oddziałania na wolny handel i wypracowania wysokich standardów ochrony danych osobowych na całym świecie.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1–88. Rozporządzenie weszło w życie z dniem 24 maja 2016 r. i obowiązuje od dnia 25 maja 2018 r.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, Dz.U. L 119 z 4.5.2016, s. 89–131. Decyzja weszła w życie z dniem 5 maja 2016 r. Państwa członkowskie są zobowiązane transponować ją do prawa krajowego do dnia 6 maja 2018 r.
Zob. „Data protection regulations and international data flows: Implications for trade and development” (Przepisy dotyczące ochrony danych oraz międzynarodowych przepływów danych: wpływ na handel i rozwój), UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
Program prac Komisji na 2017 r. – „Na rzecz Europy, która chroni, wspiera i broni”, COM(2016) 710 final z 25.10.2016, s. 12 oraz załącznik 1.
Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – Europejska agenda bezpieczeństwa, COM(2015) 185 final z 28.4.2015.
Wyrok Trybunału Sprawiedliwości UE z dnia 6 października 2015 r. w sprawie C-362/14, Maximillian Schrems przeciwko Data Protection Commissioner, pkt. 73, 74 i 96. Zob. również motyw 104 ogólnego rozporządzenia o ochronie danych oraz motyw 67 dyrektywy w sprawie policji, które odnoszą się do standardu zasadniczej odpowiedniości.
Zob. art. 45 ogólnego rozporządzenia o ochronie danych. Zgodnie z art. 45 ust. 2 dokonując oceny, Komisja musi uwzględnić, m.in. praworządność, poszanowanie praw człowieka i podstawowych wolności oraz odpowiednie ustawodawstwo, w tym w dziedzinie ochrony danych, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych. Wszystko to musi być z kolei podparte skutecznymi, egzekwowalnymi prawami, w tym skutecznymi administracyjnymi i sądowymi środkami zaskarżenia przysługującymi osobom fizycznym oraz istnieniem skutecznie funkcjonującego niezależnego organu nadzorczego, tak aby zapewnić i egzekwować przestrzeganie przepisów o ochronie danych. Należy uwzględnić także przestrzeganie prawnie wiążących konwencji, w szczególności Konwencji Rady Europy nr 108 oraz uczestnictwo w wielostronnych lub regionalnych systemach związanych z ochroną danych.
Zob. konkretne elementy oceny odpowiedniego stopnia ochrony w art. 36 ust. 2 dyrektywy w sprawie policji.
Zob. art. 45 ust. 1 ogólnego rozporządzenia o ochronie danych oraz art. 36 ust. 1 dyrektywy w sprawie policji.
Zob. np. komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie przekazywania danych osobowych z UE do Stanów Zjednoczonych na mocy dyrektywy 95/46/WE w następstwie wyroku Trybunału Sprawiedliwości w sprawie C-362/14 (Schrems), COM(2015) 566 final z 6.11.2015.
Standardowe klauzule umowne ustanawiają wzajemne zobowiązania w zakresie ochrony danych pomiędzy unijnym podmiotem przekazującym dane a podmiotem odbierającym dane z siedzibą w państwie trzecim.
Wiążące reguły korporacyjne to wewnętrzne reguły przyjmowane przez wielonarodowe grupy przedsiębiorstw w celu przekazywania danych w ramach tej samej grupy przedsiębiorstw na rzecz podmiotów powiązanych zlokalizowanych w państwach, które nie zapewniają odpowiedniego stopnia ochrony. Chociaż już dyrektywa z 1995 r. umożliwiała stosowanie wiążących reguł korporacyjnych, to ogólne rozporządzenie o ochronie danych kodyfikuje i formalizuje ich rolę jako narzędzia służącego do przekazywania danych.
Zob. art. 46 ust. 2 lit. c) i d) oraz motyw 168 ogólnego rozporządzenia o ochronie danych.
Zob. art. 46 ust. 2 lit. b) i art. 47 oraz motyw 110 ogólnego rozporządzenia o ochronie danych.
Zob. art. 46 ust. 2 ogólnego rozporządzenia o ochronie danych.
Na to, że wymóg rejestracji stwarza barierę handlową dla wielu przedsiębiorstw, zwłaszcza MŚP, zwrócono uwagę np. w sprawozdaniu UNCTAD, s. 34.
Zob. art. 46 ust. 2 lit. e) i f) ogólnego rozporządzenia o ochronie danych.
Administratorzy danych spoza UE będą mogli przestrzegać unijnego kodeksu postępowania lub mechanizmu certyfikacji, podejmując wiążące i egzekwowalne zobowiązania – w drodze umowy lub innych prawnie wiążących zobowiązań – w celu zagwarantowania ochrony danych przewidzianej w przypadku stosowania tych narzędzi. Zob. art. 42 ust. 2 ogólnego rozporządzenia o ochronie danych.
Zob. art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) ogólnego rozporządzenia o ochronie danych.
Zob. art. 49 ogólnego rozporządzenia o ochronie danych.
Zob. art. 49 ust. 1 akapit drugi.
Zob. art. 50 ogólnego rozporządzenia o ochronie danych.
Zob. np. komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – „Handel z korzyścią dla wszystkich – W kierunku bardziej odpowiedzialnej polityki handlowej i inwestycyjnej”, COM(2015) 497 final z 14.10.2015, s. 7.
Specjalne badanie Eurobarometr nr 431 – Ochrona danych, czerwiec 2015 r.
Wytyczne polityczne przewodniczącego J.C. Junckera: Nowy początek dla Europy: Mój program na rzecz zatrudnienia, wzrostu, sprawiedliwości oraz zmian demokratycznych.
Zob. przypis 7.
Por. pkt 74 orzeczenia w sprawie Schrems.
Decyzja wykonawcza UE(2016) 1260 z dnia 12 lipca 2016 r.
Komisja zachęca Stany Zjednoczone do kontynuowania starań w kierunku stworzenia kompleksowego systemu ochrony prywatności i danych, który w dłużej perspektywie pozwoliłby na konwergencję pomiędzy obydwoma systemami. Zob. Komunikat Komisji do Parlamentu Europejskiego i Rady – Transatlantyckie przepływy danych: odbudowa zaufania dzięki ustanowieniu silniejszych gwarancji, COM(2016) 117 final z 29.2.2016.
Obejmuje to w szczególności zastosowanie rozporządzenia prezydenckiego nr 28 (PPD-28), które nakłada szereg ograniczeń i zabezpieczeń na operacje w obszarze „rozpoznania radioelektronicznego” oraz stawia wymóg powołania rzecznika praw obywatelskich w odniesieniu do skarg ze strony osób fizycznych z UE w tym zakresie.
G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority”, (2015) 133 Privacy Laws & Business International Report, s. 14-17.
Badanie UNSTAD, s. 8 i 42 (zob. przypis 4 powyżej).
W tym kontekście przeprowadzając ocenę odpowiedniości stopnia ochrony danych, Komisja bierze też pod uwagę zobowiązania państwa trzeciego wynikające z prawnie wiążących konwencji, a w szczególności przystąpienie przez dane państwo trzecie do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych oraz do jej Protokołu dodatkowego. Zob. art. 45 ust. 2 lit. c) oraz motyw 105 ogólnego rozporządzenia o ochronie danych.
W przypadku państw, z którymi UE łączą istotne interesy w zakresie współpracy w dziedzinie bezpieczeństwa wewnętrznego i ścigania przestępstw, Komisja zbada możliwość wprowadzenia szczególnego stwierdzania odpowiedniej ochrony danych na podstawie dyrektywy w sprawie policji (zob. część 4).
Może to mieć szczególne znaczenie w przypadku państw rozwijających się oraz krajów w okresie transformacji, ze względu na to, że ochrona danych osobowych jest zarówno kluczowym elementem praworządności, jak i ważnym elementem konkurencyjności gospodarczej.
Japonia i Korea niedawno przyjęły lub zaktualizowały swoje przepisy w celu wprowadzenia kompleksowych systemów ochrony danych.
Art. 45 ust. 4 i 5 ogólnego rozporządzenia o ochronie danych nakładają na Komisję obowiązek monitorowania na bieżąco rozwoju sytuacji w państwach trzecich i dają jej uprawnienia do uchylenia, zmiany lub zawieszenia decyzji, jeśli uzna ona, że dane państwo przestało zapewniać odpowiedni stopień ochrony.
Art. 45 ust. 3 ogólnego rozporządzenia o ochronie danych.
Art. 97 ust. 2 lit. a) ogólnego rozporządzenia o ochronie danych także nakłada na Komisję obowiązek przedstawienia Parlamentowi Europejskiemu i Radzie sprawozdania z oceny do 2020 r.
Aby wyciągnąć wnioski z orzeczenia w sprawie Schrems mówiącego, że Komisja wykroczyła poza swoje kompetencje, ograniczając uprawniania OOD do zawieszenia lub zakazania przepływów danych w decyzji dotyczącej programu „bezpieczna przystań”, dnia 16 grudnia 2016 r. Komisja przyjęła zmienioną decyzję zbiorczą, która usuwa podobne postanowienia z obowiązujących decyzji w sprawie odpowiedniego stopnia ochrony danych osobowych i zastępuje je postanowieniami, które nakładają jedynie wymóg wymiany informacji pomiędzy państwami członkowskimi a Komisją w razie wstrzymania lub zakazania przez OOD przekazywania danych do państwa trzeciego. Decyzja zbiorcza wprowadza też w stosunku do Komisji wymóg monitorowania istotnych zmian w państwie trzecim. Zob. Dz.U. L 355 z 17.12.2016, s. 83.
W szczególności stwierdzenie odpowiedniej ochrony danych jest jednostronną decyzją wykonawczą Komisji zgodną z unijnymi przepisami o ochronie danych, przyjętą w oparciu o określone w nich kryteria.
Zob. komunikat „Handel z korzyścią dla wszystkich”, s. 12 (przypis 24 powyżej).
Zob. art. 46 ust. 2 lit. c) i d) oraz motyw 109 ogólnego rozporządzenia o ochronie danych, które wyjaśniają, że dostosowania do zatwierdzonych klauzul wzorcowych są możliwe, o ile nie są one bezpośrednio lub pośrednio sprzeczne z klauzulami wzorcowymi ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.
Na chwilę obecną nie obowiązują żadne standardowe klauzule umowne typu „podmiot przetwarzający z UE–podmiot przetwarzający spoza UE”.
Art. 43 ust. 8 i 9 ogólnego rozporządzenia o ochronie danych.
Zob. Wspólne ramy odniesienia APEC/UE z 2014 r. dla struktury wiążących reguł korporacyjnych UE oraz system transgranicznych zasad ochrony prywatności APEC (CBPR), w których porównano wymogi dotyczące zgodności z przepisami oraz wymogi dotyczące certyfikacji obowiązujące w ramach obu systemów: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
Konwencja Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 180) oraz Protokół dodatkowy z 2001 r. Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych dotyczący organów nadzoru i transgranicznych przepływów danych (ETS nr 181).
Konwencję ratyfikowały Mauritius, Senegal i Urugwaj. Ponadto do przystąpienia do niej zaproszono Republikę Zielonego Przylądka, Maroko i Tunezję.
Zob. Deklaracja ministerialna OECD na temat gospodarki cyfrowej: Innowacje, rozwój i dobrobyt społeczny („Deklaracja z Cancún”), 23 czerwca 2016 r.
Zob.: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .
Decyzja wykonawcza Komisji C(2016)7198 zatwierdzająca drugą fazę rocznego programu działania Instrumentu Partnerstwa na rok 2016 r. (RPD 2016).
Istniejące sieci obejmują Światową Sieć na rzecz Prywatności (ang. Global Privacy Enforcement Network(GPEN)) utworzoną w 2010 r. pod auspicjami OECD. Jest to nieformalna sieć skupiająca organy egzekwowania prawa – należą do niej krajowe organy ochrony danych UE – mająca za zadanie m.in. współpracę w zakresie egzekwowania prawa, wymianę najlepszych praktyk w stawianiu czoła wyzwaniom o charakterze transgranicznym oraz wspieranie wspólnych inicjatyw w zakresie egzekwowania prawa i kampanii na rzecz podnoszenia świadomości społecznej. Nie tworzy ona żadnych nowych prawnie wiążących zobowiązań dla swoich członków. Skupia się głównie na ułatwianiu współpracy w zakresie egzekwowania przepisów dotyczących prywatności w sektorze prywatnym. Zob. https://privacyenforcement.net/ .
Umowa między UE a Stanami Zjednoczonymi w sprawie ochrony danych osobowych przekazywanych i przetwarzanych do celów działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych, w tym terroryzmu, w ramach współpracy policyjnej i sądowej w sprawach karnych: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf („umowa ramowa”).
Zawieranie umów operacyjnych z Europolem i Eurojustem stanowi także punkt odniesienia dla dialogów w sprawie liberalizacji systemu wizowego prowadzonych z niektórymi państwami trzecimi, w tym np. w kontekście obecnego dialogu z Turcją.
Zob. art. 39 i motyw 73 dyrektywy w sprawie policji.
Zob. art. 48 i motyw 115 dyrektywy ogólnego rozporządzenia o ochronie danych.
Konkluzje Rady Unii Europejskiej dotyczące usprawnienia wymiaru sprawiedliwości w sprawach karnych w cyberprzestrzeni, 9 lipca 2016 r.: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. W następstwie sprawozdania z postępu prac złożonego Radzie w grudniu 2016 r. Komisja otrzymała zadanie przedstawienia Radzie rezultatów w wyżej wymienionych kwestiach do czerwca 2017 r.
Zob. art. 25 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW, Dz.U. L 135 z 24.5.2016 (s. 53-114). Komisja jest zobowiązana do przedstawienia do dnia 14 czerwca 2021 r. sprawozdania z oceny dotyczącego umów o współpracę zawartych przez Europol przed dniem 1 maja 2017 r.
Opinia Trybunału Sprawiedliwości w sprawie przedstawionego w 2014 r. projektu umowy w sprawie PRN między UE a Kanadą, skierowana do Trybunału przez Parlament Europejski (opinia 1/15). Do Trybunału zwrócono się o ocenę zgodności projektu umowy z Kartą praw podstawowych Unii Europejskiej.