7 października prezydent Stanów Zjednoczonych, Joe Biden, podpisał rozporządzenie wykonawcze ,,Wzmacnianie środków bezpieczeństwa Stanów Zjednoczonych w zakresie działalności wywiadu elektromagmetycznego” (Enhancing Safeguards for United States Signals Intelligence Activities). Stanowi ono ważny krok do stworzenia Ramowych zasad ochrony danych osobowych dla UE i USA (EU-U.S. Data Privacy Framework), których powstanie już 25 marca tego roku zapowiadali prezydent Biden oraz przewodnicząca Komisji Europejskiej Ursula von der Leyen.
Wykreowanie nowych ram regulacyjnych dla transferu danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi stało się niezbędne ze względu na wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Shremms II z lipca 2020 roku. Trybunał orzekł w nim nieważność Tarczy Prywatności UE-USA, decyzji Komisji Europejskiej, która od 2016 roku stanowiła podstawę prawną dla transatlantyckiego przesyłu danych osobowych.
Nowe rozporządzenie wykonawcze podpisane przez Bidena oraz akty towarzyszące wprowadzają do systemu prawnego Stanów Zjednoczonych rozwiązania, których wcześniejszy brak wzbudził zastrzeżenia Trybunału co do adekwatności stopnia ochrony danych osobowych obywateli UE w tym państwie.
Nowe zasady w wykorzystywaniu danych osobowych przez służby wywiadowcze
Rozporządzenie wykonawcze z 7 października wprowadza wymóg, aby działania wywiadu elektromagnetycznego w Stanach Zjednoczonych były prowadzone:
- wyłącznie w ramach realizacji określonych celów bezpieczeństwa narodowego, których zamknięty katalog zawiera rozporządzenie;
- wyłącznie wtedy, gdy jest to niezbędne do realizacji uzasadnionego celu wywiadowczego;
- wyłącznie w takim stopniu i w taki sposób, aby były one proporcjonalne do realizacji celu wywiadowczego;
- tak, aby nie ingerowały one w sposób nieproporcjonalny w prywatność i swobody obywatelskie jakichkolwiek osób, niezależnie od ich narodowości lub kraju zamieszkania.
Oprócz zasad niezbędności i proporcjonalności, rozporządzenie wprowadza także zasadę minimalizacji – każdy podmiot Wspólnoty Wywiadowczej (Intelligence Community), który korzysta z danych osobowych, zebranych w ramach wywiadu elektromagnatycznego, ma obowiązek ustanowić i stosować polityki oraz procedury mające na celu ograniczenie do minimum rozpowszechnianie i przechowywanie tych danych, zgodnie z wytycznymi rozporządzenia wykonawczego.
Nowy mechanizm wnoszenia skarg na niezgodne z prawem wykorzystanie danych osobowych
Szczególnie ważną zmianę w stosunku do wcześniej obowiązującej Tarczy Prywatności stanowi wprowadzenie dwupoziomowego mechanizmu wnoszenia skarg na niezgodne z prawem wykorzystanie danych osobowych przez służby wywiadowcze.
W pierwszej kolejności, skarżący będzie mógł zwrócić się do Urzędnika ds. ochrony wolności obywatelskich (Civil Liberties Protection Officer, CLPO), działającego przy Biurze Dyrektora Krajowego Wywiadu. Do obowiązków CLPO będzie należała ocena zasadności skargi, w tym przeprowadzenie wstępnego dochodzenia. W przypadku stwierdzenia naruszenia prawa, będzie on mógł nakazać zastosowanie adekwatnych środków naprawczych, takich jak np. usunięcie danych osobowych zebranych niezgodnie z prawem. Decyzja Urzędnika ds. ochrony wolności obywatelskich będzie wiążąca dla każdego objętego nią podmiotu, należącego do Wspólnoty Wywiadowczej oraz agencji, w których skład wchodzą takie podmioty.
W ramach drugiego poziomu, skarżący lub podmiot Wspólnoty Wywiadowczej, który nie zgodzi się z ustaleniami CLPO lub zarządzonymi przez niego środkami naprawczymi, będzie miał prawo odwołać się do Sądu ds. kontroli ochrony danych osobowych (Data Protection Review Court, DPRC), powołanego do życia przez omawiane rozporządzenie. Organ ten będzie składał się z członków mianowanych przez Prokuratora Generalnego na podstawie posiadanych przez nich kwalifikacji w obszarze prawa ochrony danych osobowych i bezpieczeństwa wewnętrznego, ze szczególnym uwzględnieniem osób z doświadczeniem sędziowskim. Członkowie DPRC w trakcie pełnienia funkcji nie będą mogli być zatrudnieni w rządzie USA, co ma zapewnić ich niezależność. Dodatkowo, ich usunięcie ze stanowiska będzie możliwe jedynie w szczególnych przypadkach, takich jak naruszenie obowiązków służbowych.
Każde odwołanie od decyzji CLPO, która wpłynie do Sądu ds. kontroli ochrony danych osobowych, będzie rozpatrywane w składzie trzech sędziów. Dodatkowo, będą oni zobowiązani powołać specjalnego rzecznika, którego rolą będzie reprezentowanie interesów skarżącego oraz zapewnienie, by skład sędziowski był dobrze poinformowany o okolicznościach faktycznych sprawy oraz dotyczących jej przepisach prawa.
DPRC samodzielnie dokona oceny zgłoszonej skargi i będzie mógł albo utrzymać w mocy ustalenia i środki naprawcze zarządzone przez CLPO, albo też zasądzić odmiennie w całości lub w części. Decyzje Sądu ds. kontroli ochrony danych osobowych, podobnie jak decyzje CLPO, będą wiążące dla podmiotów należących do Wspólnoty Wywiadowczej oraz agencji, w których skład wchodzą takie podmioty.
Co dalej?
Przyjęcie przez Stany Zjednoczone rozporządzenia wykonawczego z 7 października oraz aktów towarzyszących pozwoli Komisji Europejskiej na podjęcie dalszych kroków zmierzających do przyjęcia decyzji stwierdzającej adekwatny stopień ochrony danych osobowych w USA.
W pierwszej kolejności, projekt decyzji będzie musiał uzyskać opinię od Europejskiej Rady Ochrony Danych (EDPB) oraz zielone światło od komitetu przedstawicieli państw członkowskich UE. Konieczne będzie także poinformowanie Parlamentu Europejskiego. Dopiero po przejściu tych etapów, kolegium komisarzy będzie mogło oficjalnie przyjąć decyzję.