Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do organizacji w USA. Jak wyglądają procedury?
Europejska Rada Ochrony Danych przyjęła notę informacyjną na temat mechanizmu dochodzenia roszczeń przez osoby fizyczne z UE/EOG w związku z domniemanymi naruszeniami prawa Stanów Zjednoczonych w odniesieniu do ich danych gromadzonych przez organy Stanów Zjednoczonych właściwe do spraw bezpieczeństwa narodowego.
10 lipca 2023 r. Komisja Europejska przyjęła decyzję wykonawczą C(2023) 4745 w sprawie odpowiedniego poziomu ochrony danych osobowych na mocy ram ochrony prywatności danych UE-USA („decyzja w sprawie adekwatności”). W ten sposób Komisja zdecydowała, że Stany Zjednoczone, zgodnie z art. 45 RODO, zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do organizacji w USA.
Ważnym elementem amerykańskich ram prawnych, na których opiera się decyzja o adekwatności, jest rozporządzenie wykonawcze 14086 w sprawie „wzmocnienia zabezpieczeń dla działań wywiadu Stanów Zjednoczonych” („E.O. 14086”), które zostało podpisane przez prezydenta USA Bidena 7 października 2022 r. i któremu towarzyszą przepisy przyjęte przez Prokuratora Generalnego USA, a także odpowiednie polityki i procedury przyjęte przez Biuro Dyrektora Wywiadu Narodowego i agencje wywiadowcze USA.
E.O. 14086 ustanowiło nowy mechanizm dochodzenia roszczeń w dziedzinie bezpieczeństwa narodowego w celu rozpatrywania i rozstrzygania skarg osób, których dane dotyczą, w UE i EOG. Zarzucają one bezprawny dostęp i wykorzystanie danych przez amerykańskie służby wywiadu sygnałowego do danych osobowych, które zostały przekazane z UE i EOG do USA. Ten mechanizm dochodzenia roszczeń ma zastosowanie niezależnie od narzędzia przekazywania danych wykorzystanego do przekazania danych osobowych skarżących do USA (tj. decyzji w sprawie adekwatności, standardowych klauzul umownych lub klauzul umownych ad hoc, wiążących reguł korporacyjnych, kodeksów postępowania, mechanizmów certyfikacji, odstępstw. Mechanizm ten ma jednak zastosowanie wyłącznie do danych przekazanych po 10 lipca 2023 r.
Należy pamiętać, że informacje na temat możliwości złożenia skargi dotyczącej naruszenia przez podmiot prywatny w USA obowiązujących zasad określonych w Data Privacy Framework można znaleźć na stronie EROD.
Jak złożyć skargę?
Skargi należy przesyłać do krajowego organu ochrony danych UE/EOG właściwego dla danej osoby. Listę organów ochrony danych w państwach członkowskich UE/EOG można znaleźć tutaj.
EROD przyjęła regulamin, aby zapewnić organom ochrony danych wytyczne dotyczące ich zadań
i obowiązków. Ustanowiono unijny formularz skargi indywidualnej w celu składania skarg do Biura Dyrektora Wywiadu Narodowego („CLPO”) przez osoby fizyczne z UE/EOG.
W jaki sposób organ ochrony danych rozpatrzy skargę?
Krajowy organ ochrony danych UE/EOG zweryfikuje tożsamość skarżących i sprawdzi, czy skarga jest kompletna i spełnia warunki określone w prawie amerykańskim.
W szczególności organ ochrony danych zweryfikuje:
•tożsamość osoby składającej skargę oraz to, że działa ona wyłącznie we własnym imieniu,
a nie jako przedstawiciel organizacji rządowej, pozarządowej lub międzyrządowej;
•czy skarżący uważa, że doszło do naruszenia jednego lub więcej przepisów prawa Stanów Zjednoczonych, jeśli dane osobowe skarżącego lub jego dotyczące zostały bezprawnie udostępnione amerykańskim agencjom wywiadowczym po przekazaniu jego danych osobowych z UE do Stanów Zjednoczonych;
•czy skarga zawiera na piśmie (również za pośrednictwem poczty elektronicznej) wszystkie istotne informacje (które nie muszą wykazywać, że dane skarżącego były faktycznie przedmiotem działań amerykańskiego wywiadu):
o wszelkie informacje stanowiące podstawę skargi, w tym szczegóły dotyczące konta internetowego lub transferu danych osobowych, do których prawdopodobnie uzyskano dostęp;
o charakter żądanego zadośćuczynienia;
o konkretne środki, za pomocą których dane osobowe skarżących lub ich dotyczące zostały przekazane do USA;
o który podmiot lub podmioty rządu USA były zaangażowane w uzyskanie dostępu do danych
o osobowych skarżącego lub o nim (jeśli są znane);
o oraz wszelkie inne środki podjęte przez skarżącego w celu uzyskania żądanych informacji lub zadośćuczynienia, a także odpowiedź otrzymana za pomocą tych innych środków;
o dotyczy danych osobowych skarżących lub ich dotyczących, które prawdopodobnie zostały przekazane do Stanów Zjednoczonych po 10 lipca 2023 r;
o czy skarga nie jest niepoważna, dokuczliwa ani złożona w złej wierze.
Po tej weryfikacji – i jeśli skarga zostanie uznana za kompletną – organ ochrony danych przekaże ją w zaszyfrowanym formacie do Sekretariatu Europejskiej Rady Ochrony Danych. Ta ostatnia dostarczy ją również w zaszyfrowanym formacie organowi USA, właściwemu do rozpatrzenia skargi – urzędnikowi ds. ochrony swobód obywatelskich w CLPO.
Jaka jest rola CLPO?
CLPO jest odpowiedzialny za przeprowadzenie postępowania wyjaśniającego w sprawie skargi
w celu ustalenia, czy doszło do naruszenia zabezpieczeń przewidzianych w E.O. 14086 lub innych obowiązujących przepisach prawa USA, a jeśli tak, to w celu ustalenia odpowiednich wiążących środków zaradczych.
CLPO dostarczy odpowiedź do organu ochrony danych, za pośrednictwem Sekretariatu EROD,
w odpowiednim czasie. Odpowiedź ta potwierdzi, że:
(1) „Przegląd albo nie wykazał żadnych naruszeń, albo Urzędnik ds. Ochrony Swobód Obywatelskich Biura Dyrektora Wywiadu Narodowego (ODNI) wydał decyzję wymagającą odpowiednich środków zaradczych. W swojej standardowej odpowiedzi ODNI nie potwierdzi ani nie zaprzeczy, czy skarżący był celem inwigilacji, ani nie potwierdzi konkretnego zastosowanego środka zaradczego;
(2) Skarżący lub element amerykańskiej wspólnoty wywiadowczej może złożyć wniosek
o ponowne rozpatrzenie decyzji CLPO, składając odwołanie do Sądu Kontroli Ochrony Danych („DPRC”); oraz
(3) Jeśli skarżący lub członek Wspólnoty Wywiadowczej złoży wniosek o ponowne rozpatrzenie sprawy przez DPRC, DPRC wybierze tzw. „Specjalnego Rzecznika”, który będzie reprezentował interesy skarżącego w tej sprawie.
Decyzja CLPO jest wiążąca dla elementów Społeczności Wywiadowczej
CLPO wysyła odpowiedź do Sekretariatu EROD w zaszyfrowanym formacie. Ten następnie przekazuje ją, również w zaszyfrowanym formacie, do krajowego organu ochrony danych, który pierwotnie otrzymał skargę. Z kolei organ ochrony danych informuje skarżącego
o odpowiedzi CLPO (w tym o tłumaczeniu z języka angielskiego, jeśli i w niezbędnym zakresie).
Jak odwołać się od decyzji CLPO?
Skarżący mają możliwość odwołania się od decyzji CLPO do Sądu Ochrony Danych („DPRC”) w ciągu 60 dni od otrzymania powiadomienia od krajowego organu ochrony danych o odpowiedzi CLPO.
W celu złożenia odwołania skarżący może złożyć wniosek do swojego organu ochrony danych w ciągu 60 dni. DPRC może badać skargi od osób fizycznych w UE/EOG, w tym uzyskiwać odpowiednie informacje od elementów społeczności wywiadowczej USA i podejmować wiążące decyzje naprawcze.
Procedura odwoławcza będzie przebiegać w podobny sposób i zgodnie z podobną procedurą, jak w przypadku pierwotnej skargi: organ ochrony danych przekaże odwołanie do Sekretariatu EDPB w zaszyfrowanym formacie, który z kolei przekaże je w zaszyfrowanym formacie do Biura Prywatności i Swobód Obywatelskich Departamentu Sprawiedliwości Stanów Zjednoczonych („OPCL”), które zapewnia wsparcie dla DPRC, tak aby DPRC mogło rozpatrzyć odwołanie.
W szczególności DPRC dokona przeglądu ustaleń dokonanych przez CLPO (zarówno w odniesieniu do tego, czy doszło do naruszenia obowiązującego prawa amerykańskiego, jak i w odniesieniu do odpowiednich środków zaradczych) w oparciu, co najmniej, o zapisy dochodzenia CLPO, a także wszelkie informacje i oświadczenia dostarczone przez skarżącego, Specjalnego Rzecznika lub element Społeczności Wywiadowczej.
Zespół DPRC ma dostęp do wszystkich informacji niezbędnych do przeprowadzenia przeglądu, które może uzyskać za pośrednictwem CLPO (np. zespół może zwrócić się do CLPO o uzupełnienie dokumentacji o dodatkowe informacje lub ustalenia faktyczne, jeśli jest
to konieczne do przeprowadzenia przeglądu). Specjalny Rzecznik ma również dostęp do wszystkich informacji niezbędnych do wypełnienia swojej roli polegającej na wspieraniu zespołu DPRC w rozpatrywaniu wniosku, w tym poprzez reprezentowanie interesów skarżącego
w sprawie i zapewnienie, że zespół DPRC jest dobrze poinformowany o kwestiach i przepisach prawa w odniesieniu do sprawy.
Kończąc swój przegląd, DPRC może:
(1) zdecydować, że nie ma dowodów wskazujących na to, że działania wywiadu dotyczyły danych osobowych skarżącego;
(2) zdecydować, że ustalenia CLPO były poprawne pod względem prawnym i poparte istotnymi dowodami; lub
(3) wydać własne ustalenia, jeśli nie zgadza się z ustaleniami CLPO (czy doszło do naruszenia obowiązującego prawa USA lub odpowiednich środków naprawczych).
Decyzja DPRC jest wiążąca i ostateczna w odniesieniu do złożonej skargi.
W przypadkach, w których przegląd DPRC został zainicjowany wnioskiem skarżącego, jest on powiadamiany o decyzji DPRC. Po zakończeniu przeglądu przez DPRC przekaże on skarżącemu standardowe oświadczenie wskazujące, że zakończył przegląd i stwierdzające, że „przegląd albo nie wykazał żadnych objętych nim naruszeń, albo Trybunał Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych”.
DPRC przekaże takie oświadczenie w zaszyfrowanym formacie do Sekretariatu EROD,
który z kolei przekaże je do organu ochrony danych w zaszyfrowanym formacie. Organ ochrony danych powiadomi skarżącego o oświadczeniu DPRC (w tym o tłumaczeniu z języka angielskiego, jeśli i w niezbędnym zakresie). Oświadczenie to nie potwierdzi ani nie zaprzeczy, czy skarżący był celem nadzoru, ani nie potwierdzi konkretnego zastosowanego środka zaradczego.
Każda decyzja DPRC jest również przekazywana do CLPO.
Jaka jest rola Departamentu Handlu USA w odniesieniu do odtajnionych informacji?
Departament Handlu USA („DoC”) będzie okresowo kontaktował się z odpowiednimi elementami społeczności wywiadowczej w sprawie tego, czy informacje dotyczące przeglądu skargi przez CLPO lub DPRC zostały odtajnione. Jeśli wywiad poinformuje DoC, że informacje dotyczące przeglądu skargi przez CLPO lub DPRC zostały odtajnione, DoC powiadomi skarżącego, za pośrednictwem Sekretariatu EROD. Ten z kolei przekaże go do organu ochrony danych, że informacje dotyczące przeglądu ich skargi przez CLPO lub DPRC, w zależności od przypadku, mogą być dostępne dla skarżącego na mocy obowiązującego prawa USA.
Jednym z takich przepisów jest amerykańska ustawa o wolności informacji („FOIA”),
zgodnie z którą skarżący może złożyć wniosek FOIA bezpośrednio do ODNI, do odpowiedniego elementu Społeczności Wywiadowczej lub do Departamentu Sprawiedliwości
(tj. bez przechodzenia przez DPA i Sekretariat EROD) w celu uzyskania odtajnionych informacji
na temat swojej skargi.
Instrukcje dotyczące składania wniosków FOIA są dostępne na odpowiednich publicznych stronach internetowych oraz elementów Społeczności Wywiadowczej i DPRC.
Należy zauważyć, że skargi od osób, których dane dotyczą w UE/EOG, dotyczące pewnych naruszeń prawa Stanów Zjednoczonych w zakresie działań amerykańskiego wywiadu, które mają negatywny wpływ na ich prywatność i swobody obywatelskie, oraz odnoszące się do ich danych osobowych, przekazanych z UE/EOG do Stanów Zjednoczonych, powinny być składane wyłącznie do CLPO, a nie do wyżej wymienionych biur FOIA.
