Dzień Ochrony Danych 2014: Pełna prędkość o reformie ochrony danych UE

Wiceprzewodnicząca Viviane Reding, unijna komisarz ds. sprawiedliwości, powiedziała przed Europejskim Dniem Ochrony Danych (28 stycznia): „Ochrona danych w Unii Europejskiej jest prawem podstawowym. Europa ma już najwyższy poziom ochrony danych na świecie. Wraz z UE reforma ochrony danych, którą zaproponowano dokładnie dwa lata temu – w styczniu 2012 r. – Europa ma szansę uczynić z tych zasad światowy złoty standard, z których skorzystają obywatele, którzy chcą mieć zaufanie do usług internetowych, oraz małe i średnie przedsiębiorstwa postrzeganie jednolitego rynku liczącego ponad 500 milionów konsumentów jako niewykorzystanej szansy. Parlament Europejski przewodził, głosując przytłaczającą większością głosów za przyjęciem tych przepisów. Chciałbym, aby ochrona danych nabrała pełnego tempa w 2014 r.”.

Wiceprzewodnicząca Reding wygłosiła kluczowe przemówienie w dniu ochrony danych o godz Centrum Studiów nad Polityką Europejską (CEPS) wzywając do „nowego porozumienia w sprawie ochrony danych dla Europy”.

1. Gdzie jesteśmy po dwóch latach od propozycji Komisji?

Dwa lata temu, w styczniu 2012 r., Komisja Europejska zaproponowała reformę unijnych przepisów o ochronie danych, aby dostosować je do XXI wieku (zob. IP / 12 / 46). Reforma obejmuje projekt rozporządzenia ustanawiającego ogólne unijne ramy ochrony danych oraz projekt dyrektywy w sprawie ochrony danych osobowych przetwarzanych do celów zapobiegania przestępstwom, ich wykrywania, prowadzenia dochodzeń w ich sprawie lub ich ścigania oraz związanych z nimi czynności sądowych. Wnioski są obecnie omawiane przez dwóch współprawodawców Unii Europejskiej, Parlament Europejski i Radę UE, w której zasiadają ministrowie poszczególnych krajów.

Aby stać się prawem, wnioski muszą zostać zatwierdzone przez tych współprawodawców.

Parlament Europejski

W dniu 21 października 2013 r. komisja wiodąca Parlamentu Europejskiego ds. Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) poparła wnioski Komisji przytłaczającą większością głosów, a nawet wzmocniła je w niektórych obszarach (zob. MEMO / 13 / 923 aby uzyskać szczegółowe informacje). Sprawozdania posłów do Parlamentu Europejskiego (posłów do PE) Jana-Philippa Albrechta i Dimitriosa Droutsasa, nad którymi głosowali członkowie komisji LIBE, zostały przyjęte z zadowoleniem jako zdecydowane poparcie dla kompleksowego podejścia Komisji do reformy ochrony danych oraz ważny sygnał postępów w procedurze ustawodawczej. Głosowanie w komisji LIBE upoważnia jej sprawozdawców, posłów do PE Albrechta i Droutsasa, do rozpoczęcia negocjacji z Radą UE.

reklama

Rada UE

Reforma ochrony danych była wielokrotnie omawiana przez ministrów krajowych w Radzie ds. Sprawiedliwości. Ostatnio ministrowie sprawiedliwości osiągnęli na posiedzeniu Rady w październiku 2013 r. zasadniczo porozumienie w sprawie mechanizmu „punktu kompleksowej obsługi” (propozycja, zgodnie z którą każde przedsiębiorstwo działające na jednolitym rynku powinno mieć jednego partnera regulacyjnego w UE) (Komunikat prasowy Rady i PRZEMÓWIENIE / 13 / 788). Propozycje zostały ponownie omówione na grudniowym posiedzeniu Rady ds. Sprawiedliwości (zob PRZEMÓWIENIE / 13 / 1029) oraz na nieformalnej Radzie WSiSW w Atenach w dniach 23-24 stycznia. Porozumienie w sprawie reformy jest możliwe przed końcem tego roku.

Rada Europejska

Europejscy szefowie państw i rządów zobowiązali się do „terminowego” przyjęcia nowych przepisów dotyczących ochrony danych na szczycie w dniach 24 i 25 października 2013 r., który koncentrował się na gospodarce cyfrowej, innowacjach i usługach (zob. wnioski).

Jakie są kolejne kroki?

Reforma ochrony danych jest priorytetem prezydencji greckiej. Prezydencja zwołała trójstronne posiedzenie w Atenach (22 stycznia) z Komisją Europejską, dwoma sprawozdawcami Parlamentu Europejskiego i kolejną prezydencją UE (Włochami), aby opracować plan szybkiego uzgodnienia reformy ochrony danych. Celem jest uzgodnienie mandatu negocjacyjnego z Parlamentem Europejskim przed końcem prezydencji greckiej.

Oczekuje się, że Parlament Europejski przyjmie wnioski w pierwszym czytaniu na sesji plenarnej w kwietniu 2014 r.

Porozumienie w sprawie reformy ochrony danych jest zatem możliwe przed końcem tego roku. Dla porównania: negocjowanie obecnej dyrektywy o ochronie danych z 1995 r. trwało pięć lat.

2. Jakie są główne korzyści unijnej reformy ochrony danych?

Propozycje Komisji Europejskiej dotyczące kompleksowej reformy unijnej dyrektywy o ochronie danych z 1995 r. mają na celu wzmocnienie praw do prywatności i pobudzenie europejskiej gospodarki cyfrowej. Wnioski Komisji aktualizują i unowocześniają zasady zapisane w dyrektywie z 1995 r., wprowadzając je w erę cyfrową i opierając się na wysokim poziomie ochrony danych, który obowiązuje w Europie od 1995 r.

Korzyści dla obywateli

Istnieje wyraźna potrzeba zlikwidowania rosnącej przepaści między osobami fizycznymi a firmami, które przetwarzają ich dane: dziewięciu na dziesięciu Europejczyków (92%) twierdzi, że obawia się, że aplikacje mobilne gromadzą ich dane bez ich zgody. Siedmiu na dziesięciu Europejczyków jest zaniepokojonych potencjalnym wykorzystaniem ujawnionych informacji przez przedsiębiorstwa (zob. załącznik).

Reforma ochrony danych wzmocni prawa obywateli, a tym samym pomoże przywrócić zaufanie. Lepsze zasady ochrony danych oznaczają, że możesz mieć większą pewność co do tego, jak Twoje dane osobowe są traktowane, zwłaszcza w Internecie. Nowe przepisy przywrócą obywatelom kontrolę nad swoimi danymi, w szczególności poprzez:

1. Prawo do bycia zapomnianym: jeśli nie chcesz już przetwarzać swoich danych i nie ma uzasadnionych podstaw do ich przechowywania, dane zostaną usunięte. Chodzi o wzmocnienie pozycji jednostek, a nie o wymazywanie przeszłych wydarzeń lub ograniczanie wolności prasy (patrz osobna sekcja na ten temat).
2. Łatwiejszy dostęp do własnych danych: Prawo do przenoszenia danych ułatwi Ci przenoszenie danych osobowych między usługodawcami.
3. Umożliwienie Ci decydowania, w jaki sposób wykorzystywane są Twoje dane: Gdy wymagana jest Twoja zgoda na przetwarzanie Twoich danych, musisz zostać poproszony o wyraźne jej wyrażenie. Nie można tego zakładać. Nie mówić nic to nie to samo, co mówić tak. Firmy i organizacje będą również musiały informować Cię bez zbędnej zwłoki o naruszeniach danych, które mogą mieć na Ciebie negatywny wpływ.
4. Prawo do informacji, kiedy doszło do włamania do Twoich danych: na przykład firmy i organizacje muszą jak najszybciej powiadomić krajowy organ nadzorczy o poważnych naruszeniach danych (jeśli jest to wykonalne w ciągu 24 godzin), aby użytkownicy mogli podjąć odpowiednie środki.
5. Ochrona danych przede wszystkim, a nie późniejsza refleksja: „Prywatność w fazie projektowania” i „domyślna prywatność” staną się również podstawowymi zasadami unijnych przepisów o ochronie danych – oznacza to, że zabezpieczenia ochrony danych powinny być wbudowane w produkty i usługi od najwcześniejszego etapu rozwoju, i że domyślne ustawienia przyjazne prywatności powinny być normą – na przykład w sieciach społecznościowych lub aplikacjach mobilnych.

Korzyści dla biznesu

Dane są walutą dzisiejszej gospodarki cyfrowej. Gromadzone, analizowane i przekazywane na całym świecie dane osobowe nabrały ogromnego znaczenia gospodarczego. Według niektórych szacunków wartość danych osobowych obywateli Europy może wzrosnąć do prawie 1 biliona euro rocznie do 2020 r. Wzmocnienie wysokich europejskich standardów ochrony danych jest szansą biznesową.

Reforma ochrony danych przeprowadzona przez Komisję Europejską pomoże jednolitemu rynkowi cyfrowemu wykorzystać ten potencjał, w szczególności dzięki czterem głównym innowacjom:

1. Jeden kontynent, jedno prawo: Rozporządzenie ustanowi jedno ogólnoeuropejskie prawo ochrony danych, zastępując obecną niespójną mozaikę przepisów krajowych. Firmy będą miały do ​​czynienia z jednym prawem, a nie 28. Korzyści szacuje się na 2.3 mld euro rocznie.
2. Punkt kompleksowej obsługi: Rozporządzenie ustanowi punkt kompleksowej obsługi dla przedsiębiorstw: przedsiębiorstwa będą musiały kontaktować się tylko z jednym organem nadzorczym, a nie z 28, co ułatwi przedsiębiorstwom prowadzenie działalności w UE i będzie tańsze; oraz łatwiejsze, szybsze i skuteczniejsze zapewnianie obywatelom ochrony ich danych osobowych.
3. Te same zasady dla wszystkich firm – niezależnie od ich siedziby: dziś europejskie firmy muszą przestrzegać bardziej rygorystycznych norm niż firmy mające siedzibę poza UE, ale także prowadzące działalność na naszym jednolitym rynku. Dzięki reformie firmy z siedzibą poza Europą będą musiały stosować te same zasady. Tworzymy równe szanse.
4. Europejskie organy regulacyjne zostaną wyposażone w silne uprawnienia egzekucyjne: organy ochrony danych będą mogły nakładać grzywny na przedsiębiorstwa, które nie przestrzegają przepisów UE, w wysokości do 2% ich światowego rocznego obrotu. Parlament Europejski zaproponował nawet podniesienie ewentualnych sankcji do 5%. Europejskie przedsiębiorstwa przyjazne prywatności będą miały przewagę konkurencyjną w skali globalnej w czasie, gdy kwestia ta staje się coraz bardziej drażliwa.

Korzyści dla MŚP

Reforma ochrony danych ma na celu pobudzenie wzrostu gospodarczego poprzez ograniczenie kosztów i biurokracji dla europejskich przedsiębiorstw, zwłaszcza małych i średnich przedsiębiorstw (MŚP). Po pierwsze, wprowadzając jedną zasadę zamiast 28, unijna reforma ochrony danych pomoże MŚP wejść na nowe rynki. Po drugie, Komisja zaproponowała wyłączenie MŚP z kilku przepisów rozporządzenia o ochronie danych – podczas gdy obecna dyrektywa o ochronie danych z 1995 r. ma zastosowanie do wszystkich przedsiębiorstw europejskich, niezależnie od ich wielkości. Zgodnie z nowymi przepisami MŚP skorzystają z czterech ograniczeń biurokratycznych:

1. Inspektorzy ochrony danych: MŚP są zwolnione z obowiązku wyznaczenia inspektora ochrony danych, o ile przetwarzanie danych nie stanowi ich podstawowej działalności gospodarczej.
2. Koniec z zawiadomieniami: zawiadomienia dla organów nadzorczych to formalność i biurokracja, które każdego roku kosztują przedsiębiorstwa w wysokości 130 mln euro. Reforma całkowicie je zlikwiduje.
3. Liczy się każdy grosz: jeśli wnioski o dostęp do danych są nadmierne lub powtarzają się, MŚP będą mogły pobierać opłatę za udzielenie dostępu.
4. Oceny skutków: MŚP nie będą miały obowiązku przeprowadzania oceny skutków, chyba że wystąpi konkretne ryzyko.

Zasady będą również elastyczne. Przepisy UE będą odpowiednio i prawidłowo uwzględniać ryzyko. Chcemy mieć pewność, że obowiązki nie zostaną nałożone, z wyjątkiem przypadków, gdy są one niezbędne do ochrony danych osobowych: piekarz na rogu nie będzie podlegał tym samym zasadom, co (międzynarodowy) specjalista ds. przetwarzania danych. W wielu przypadkach obowiązki administratorów i podmiotów przetwarzających są dostosowane do wielkości przedsiębiorstwa i charakteru przetwarzanych danych. Na przykład MŚP nie zostaną ukarane grzywną za pierwsze i niezamierzone naruszenie przepisów.

3. Czym są „punkty kompleksowej obsługi” i „mechanizm spójności” proponowane w unijnej reformie ochrony danych? Jak pomogą?

W ramach jednolitego rynku danych identyczne przepisy na papierze nie wystarczą. Musimy zadbać o to, aby zasady były wszędzie interpretowane i stosowane w ten sam sposób. Dlatego nasza reforma wprowadza a mechanizm spójności usprawnienie współpracy między organami ochrony danych w kwestiach mających wpływ na całą Europę.

Obecnie firma przetwarzająca dane w UE ma do czynienia z 28 przepisami krajowymi i jeszcze większą liczbą krajowych i lokalnych regulatorów. Rozporządzenie o ochronie danych ustanowi jedno ogólnoeuropejskie prawo ochrony danych, zastępując obecną niespójną mozaikę 28 przepisów krajowych. Stworzy również regulacyjny „punkt kompleksowej obsługi” dla biznesu: firmy będą musiały kontaktować się tylko z jednym organem nadzorczym, a nie z 28.

Wady obecnego systemu zostały zilustrowane na przykładzie Google Street View. Działania jednego przedsiębiorstwa miały taki sam wpływ na osoby fizyczne w kilku państwach członkowskich. Wywołały one jednak nieskoordynowane i rozbieżne reakcje ze strony krajowych organów ochrony danych.

Punkt kompleksowej obsługi zapewni przedsiębiorstwom działającym w całej UE pewność prawa i przyniesie korzyści osobom fizycznym i organom ochrony danych.

Firmy skorzystają na szybszych decyzjach, jednym rozmówcy (eliminując wiele punktów kontaktowych) i mniejszej biurokracji. Skorzystają na spójności decyzji, jeżeli ta sama czynność przetwarzania ma miejsce w kilku państwach członkowskich.

Jednocześnie ochrona osób fizycznych zostanie wzmocniona za pośrednictwem lokalnych organów nadzorczych, ponieważ osoby fizyczne zawsze będą mogły zwrócić się do lokalnego organu ochrony danych. Celem jest ulepszenie obecnego systemu, w którym osoby mieszkające w jednym państwie członkowskim muszą podróżować do innego państwa członkowskiego, aby złożyć skargę do organu ochrony danych tylko dlatego, że firma ma siedzibę poza ich krajem macierzystym. W chwili obecnej, gdy firma ma siedzibę w jednym państwie członkowskim, właściwy jest tylko organ ochrony danych tego państwa członkowskiego, nawet jeśli firma przetwarza dane w całej Europie. Propozycje mają na celu skorygowanie tej anomalii.

Nowe przepisy sprawiają, że rozpatrywanie skarg jest dla obywateli bliższe, upraszczając procedury i usuwając złożoność, a tym samym ułatwiając i przyspieszając rozwiązywanie problemów. Zdecydowanie pomogłoby to obywatelom w przypadkach podobnych do sprawy austriackiego studenta, który musiał złożyć skargę na Facebooka w języku angielskim przed organem w Irlandii, gdzie Facebook ma swoją siedzibę.

We wnioskach przewidziano również prawo obywatela do pozwania firmy przetwarzającej jego dane do sądu w jego rodzimym państwie członkowskim. Każdy obywatel ma zatem prawo do administracyjnego i sądowego zadośćuczynienia w swoim kraju.

4. W jaki sposób ochrona danych w UE pomoże unijnemu jednolitemu rynkowi cyfrowemu?

Świat zmienił się dogłębnie od 1995 r., kiedy przyjęto istniejące unijne ramy ochrony danych. Rewolucje technologiczne doprowadziły do ​​eksplozji ilości i jakości danych osobowych dostępnych na jednolitym rynku cyfrowym. Firmy nauczyły się wykorzystywać jego potencjał w tak różnych sektorach, jak ubezpieczenia, zdrowie i reklama. Gromadzone, analizowane i przekazywane przez te firmy dane osobowe nabrały ogromnej wartości ekonomicznej. Według Boston Consulting Group wartość danych obywateli UE wyniosła 315 miliardów euro w 2011 roku i może wzrosnąć do prawie 1 biliona euro w 2020 roku.

Reforma ochrony danych pomoże jednolitemu rynkowi cyfrowemu wykorzystać ten potencjał. Korzyści wynikające z uproszczenia w ramach unijnej reformy ochrony danych szacuje się na 2.3 mld euro rocznie.

Największym wyzwaniem dla rozwoju w branżach zależnych od danych osobowych jest brak zaufania. Tylko wtedy, gdy ludzie będą chcieli udostępniać swoje dane osobowe, przedsiębiorstwa będą czerpać pełne korzyści z naszego jednolitego rynku cyfrowego. Obecnie spada zaufanie ludzi do sposobu, w jaki prywatne firmy przetwarzają ich dane.

Ochrona danych ma do odegrania ważną rolę w zaradzeniu temu brakowi zaufania. Ludzie muszą widzieć, że ich prawa są egzekwowane w znaczący sposób. Reforma zaktualizuje prawa obywateli, takie jak prawo do bycia zapomnianym, prawo do przenoszenia danych oraz prawo do informacji o naruszeniu ochrony danych osobowych (zob. powyżej). Reforma zapewni również właściwe stosowanie przepisów unijnych. Zapewnia skuteczny mechanizm egzekwowania i upoważnia krajowe organy regulacyjne do nakładania grzywien w wysokości do 2% rocznego światowego obrotu firmy.

5. Czym jest prawo do bycia zapomnianym? Czy wpłynie to na wolność prasy i archiwów historycznych?

Wnioski Komisji z 2012 r. obejmują wzmocnione prawo do bycia zapomnianym. Propozycje reform opierają się na istniejącym prawie do żądania usunięcia danych osobowych, jeśli nie są już potrzebne do żadnego uzasadnionego celu. Dotyczy to wszelkiego rodzaju codziennych sytuacji. Na przykład dzieci mogą nie rozumieć ryzyka związanego z udostępnianiem ich danych osobowych – tylko po to, by żałować tego, gdy dorosną. Powinni mieć możliwość usunięcia tych informacji, jeśli chcą.

Prawo do bycia zapomnianym nie polega na przepisywaniu historii. Wniosek Komisji chroni wolność wypowiedzi i wolność mediów, a także badania historyczne i naukowe. Zapewnia wyjątki dla tych sektorów, zwracając się do państw członkowskich o przyjęcie przepisów krajowych w celu zagwarantowania poszanowania tych praw podstawowych. Dzięki temu archiwa mogą dalej funkcjonować na takich samych zasadach jak obecnie. Podobnie dane osobowe mogą być przechowywane tak długo, jak jest to konieczne do wykonania umowy lub wypełnienia obowiązku prawnego (na przykład, gdy obywatele mają umowę kredytową ze swoim bankiem). Krótko mówiąc, prawo do bycia zapomnianym nie jest absolutne i nie wpływa na badania historyczne ani na wolność prasy.

Chronione są również prawa przedsiębiorców. Jeżeli dane osobowe, o których mowa, zostały upublicznione (np. umieszczone w Internecie), firma musi dołożyć rzeczywistych starań, aby osoby trzecie dowiedziały się o prośbie obywatela o usunięcie danych. Najwyraźniej firma nie będzie zobowiązana do wymazania każdego śladu pozostawionego w indeksach wyszukiwania, a nie o to prosi Komisja. Firmy powinny po prostu podjąć rozsądne kroki, aby osoby trzecie, którym przekazano informacje, zostały poinformowane, że dana osoba życzy sobie ich usunięcia. W większości przypadków będzie to wymagało jedynie napisania e-maila.

6. W jaki sposób reforma ochrony danych w UE wpłynie na badania naukowe?

Proponowana reforma ochrony danych może przynieść korzyści badaniom naukowym w UE. Dane osobowe dotyczące zdrowia są danymi wrażliwymi i generalnie nie powinny być przetwarzane, chyba że jest to konieczne ze względu na interes publiczny lub gdy zidentyfikowana osoba wyraziła na to zgodę. Zasady ochrony danych, które obecnie obowiązują w Europie, nie harmonizują warunków przetwarzania danych dotyczących zdrowia. Doprowadziło to do rozdrobnienia, kosztów i czynników zniechęcających zaangażowanych naukowców i przedsiębiorstwa.

Pakiet reform Komisji ma na celu wyeliminowanie rozdrobnienia oraz zapewnienie konsekwencji i spójności dla całej Unii. Powinno to przynieść korzyści w szczególności sektorowi badawczemu. Ogólne rozporządzenie o ochronie danych zawiera szczegółowe przepisy dotyczące przetwarzania do celów zdrowotnych oraz do celów historycznych, statystycznych i badań naukowych. Przepisy te zostaną w pełni zharmonizowane – tworząc jeden zestaw przepisów dotyczących danych badawczych w całej Unii.

Prawo do bycia zapomnianym nie ma zastosowania do tych sektorów.

Jednolitość przepisów zmniejszy koszty i złożoność oraz będzie silnym bodźcem rozwoju transgranicznych usług zdrowotnych, publiczno-prywatnych inicjatyw zdrowotnych i aplikacji e-zdrowia, które w decydującym stopniu zależą od przetwarzania danych osobowych.

7. Jaka jest reakcja UE na zarzuty inwigilacji obywateli Europy przez amerykańskie agencje wywiadowcze?

Rewelacje nadszarpnęły zaufanie w stosunkach transatlantyckich. Komisja Europejska odpowiedziała na amerykańskie programy inwigilacyjne, wyjaśniając, że masowa inwigilacja obywateli jest niedopuszczalna. Gromadzenie danych powinno być ukierunkowane i ograniczone do tego, co jest proporcjonalne do wyznaczonych celów. Bezpieczeństwo narodowe nie oznacza, że ​​wszystko wolno.

Rewelacje z monitoringu mają również wpływ ekonomiczny. Ankieta przeprowadzona przez Cloud Security Alliance po ostatnich doniesieniach z monitoringu wykazała, że ​​56% respondentów wahało się przed współpracą z jakimkolwiek amerykańskim dostawcą usług w chmurze. Taki jest wpływ nieufności konsumentów. W kategoriach pieniężnych Fundacja Informatyki i Innowacji szacuje, że rewelacje z monitoringu będą kosztować amerykańską branżę przetwarzania w chmurze od 22 do 35 miliardów dolarów utraconych przychodów w ciągu najbliższych trzech lat. Krótko mówiąc: utracone zaufanie oznacza utratę dochodów.

Odpowiedź Unii Europejskiej

W listopadzie 2013 r. Komisja Europejska określiła działania, jakie należy podjąć, aby przywrócić zaufanie do przepływu danych między UE a USA (IP / 13 / 1166). Odpowiedź Komisji przybrała formę (1) dokumentu strategicznego (komunikatu) w sprawie transatlantyckich przepływów danych, w którym określono wyzwania i zagrożenia wynikające z ujawnienia amerykańskich programów gromadzenia danych wywiadowczych, a także kroki, które należy podjąć, aby rozwiać te obawy ; (2) analiza funkcjonowania 'Safe Harbour', która reguluje przekazywanie danych w celach handlowych między UE a USA; oraz (3) sprawozdanie na temat ustaleń grupy roboczej UE-USA (zob MEMO / 13 / 1059) w sprawie ochrony danych, która została utworzona w lipcu 2013 r.

W dokumencie strategicznym Komisji wezwano do działania w sześciu obszarach:

1. Szybkie przyjęcie unijnej reformy ochrony danych: solidne ramy prawne z jasnymi przepisami, które można egzekwować również w sytuacjach, gdy dane są przekazywane i przetwarzane za granicą, są bardziej niż kiedykolwiek koniecznością.
2. Zwiększanie bezpieczeństwa programu „bezpieczna przystań”: Komisja wydała 13 zaleceń mających na celu poprawę funkcjonowania programu „bezpieczna przystań” po tym, jak analiza wykazała, że ​​system ten jest pod wieloma względami wadliwy. Środki zaradcze powinny zostać określone do lata 2014 r. Następnie Komisja dokona przeglądu funkcjonowania programu w oparciu o wdrożenie tych 13 zaleceń i podejmie decyzję w sprawie przyszłości programu „bezpieczna przystań”.
3. Wzmocnienie gwarancji ochrony danych w obszarze egzekwowania prawa: obecne negocjacje w sprawie „umowy parasolowej” między UE a USA (IP / 10 / 1661) dotyczące przekazywania i przetwarzania danych w kontekście współpracy policyjnej i sądowej powinny zostać szybko zakończone. Umowa musi gwarantować wysoki poziom ochrony obywateli, którzy powinni korzystać z tych samych praw po obu stronach Atlantyku. W szczególności obywatele UE niebędący rezydentami w USA powinni korzystać z sądowych mechanizmów dochodzenia roszczeń. Na ostatnim spotkaniu ministrów sprawiedliwości i spraw wewnętrznych UE-USA (w dniu 18 listopada) poczyniono znaczne postępy (MEMO / 13 / 1010).
4. Wykorzystanie istniejących umów o wzajemnej pomocy prawnej i umów sektorowych w celu uzyskania danych: administracja USA powinna zobowiązać się, co do zasady, do korzystania z ram prawnych, takich jak umowa o wzajemnej pomocy prawnej i sektorowe umowy UE-USA, takie jak umowa w sprawie danych dotyczących przelotu pasażera i Program śledzenia finansowania terroryzmu, ilekroć transfer danych jest wymagany do celów egzekwowania prawa. Bezpośrednie zwrócenie się do przedsiębiorstw powinno być możliwe wyłącznie w jasno określonych, wyjątkowych i podlegających kontroli sądowej sytuacjach.
5. Rozwiązywanie problemów europejskich w trwającym procesie reform w USA:
   Komisja Europejska z zadowoleniem przyjęła uwagi prezydenta Obamy i prezydencką dyrektywę w sprawie przeglądu amerykańskich programów wywiadowczych (MEMO / 14 / 30). Ze szczególnym zadowoleniem przyjęła gotowość prezydenta Obamy do rozszerzenia zabezpieczeń dostępnych obecnie dla obywateli USA w zakresie gromadzenia danych do celów bezpieczeństwa narodowego na obywateli spoza USA. Po tych zobowiązaniach powinny teraz nastąpić działania legislacyjne.
6. Promowanie standardów prywatności na arenie międzynarodowej: Stany Zjednoczone powinny przystąpić do Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych („Konwencja 108”), podobnie jak przystąpiły do ​​Konwencji o cyberprzestępczości z 2001 roku.

Komisja wyjaśniła również, że standardy ochrony danych nie będą przedmiotem trwających negocjacji w sprawie transatlantyckiego partnerstwa handlowo-inwestycyjnego.

Grupa robocza UE-USA

Grupa robocza ad hoc UE-USA ds. ochrony danych została powołana w lipcu 2013 r. w celu zbadania kwestii wynikających z ujawnienia szeregu amerykańskich programów nadzoru obejmujących gromadzenie i przetwarzanie danych osobowych na dużą skalę. Celem było ustalenie faktów dotyczących amerykańskich programów nadzoru i ich wpływu na dane osobowe obywateli UE.

Połączenia główne ustalenia grupy roboczej były następujące:

1. Szereg przepisów amerykańskich zezwala na gromadzenie i przetwarzanie na dużą skalę danych osobowych, które zostały przekazane do USA lub są przetwarzane przez firmy amerykańskie, do celów wywiadu zagranicznego. Stany Zjednoczone potwierdziły istnienie i główne elementy niektórych aspektów tych programów, w ramach których gromadzenie i przetwarzanie danych odbywa się w oparciu o prawo Stanów Zjednoczonych określające szczególne warunki i zabezpieczenia.
2. Istnieją różnice w zabezpieczeniach mających zastosowanie do obywateli UE w porównaniu z obywatelami USA, których dane są przetwarzane. Istnieje niższy poziom zabezpieczeń, które mają zastosowanie do obywateli UE, a także niższy próg gromadzenia ich danych osobowych. Chociaż obywatele USA korzystają z ochrony konstytucyjnej, nie mają one zastosowania do obywateli UE, którzy nie mieszkają w USA
3. Ponieważ zarządzenia Sądu Nadzoru Wywiadu Zagranicznego są tajne, a przedsiębiorstwa są zobowiązane do zachowania tajemnicy w odniesieniu do pomocy, której są zobowiązane udzielić, nie ma możliwości (sądowych ani administracyjnych) poinformowania osób, których dane dotyczą, ani z UE, ani z USA, o czy ich dane osobowe są gromadzone lub dalej przetwarzane. Osoby fizyczne nie mają możliwości uzyskania dostępu do danych, ich sprostowania lub usunięcia ani zadośćuczynienia administracyjnego lub sądowego.
4. Chociaż istnieje pewien stopień nadzoru ze strony trzech oddziałów rządu, który ma zastosowanie w konkretnych przypadkach, w tym nadzór sądowy nad działaniami, które wymagają zdolności do uzyskania informacji, nie ma zgody sądu na sposób, w jaki gromadzone dane są kwestionowane: sędziowie nie są proszeni o zatwierdzić „selektory” i kryteria zastosowane do zbadania danych i wydobywania użytecznych informacji.

Zwiększanie bezpieczeństwa Safe Harbor

Komisja Europejska wydała 13 zaleceń poprawić funkcjonowanie programu „bezpiecznej przystani”.. Komisja wyraźnie wezwała władze USA do określenia środków zaradczych do lata 2014 r. Następnie Komisja dokona przeglądu funkcjonowania programu „bezpiecznej przystani” w oparciu o wdrożenie tych 13 zaleceń i zdecyduje o jego przyszłości.

13 Zaleceń to (patrz także MEMO / 13 / 1059):

Przezroczystość

1. Firmy, które dokonały samocertyfikacji, powinny publicznie ujawnić swoją politykę prywatności.
2. Polityki prywatności stron internetowych firm, które dokonały samocertyfikacji, powinny zawsze zawierać łącze do strony internetowej Departamentu Handlu „Safe Harbor”, która zawiera listę wszystkich „obecnych” członków systemu.
3. Firmy samocertyfikowane powinny publikować warunki ochrony prywatności wszelkich umów, które zawierają z podwykonawcami, np. usługi przetwarzania w chmurze.
4. Wyraźnie zaznacz na stronie internetowej Departamentu Handlu wszystkie przedsiębiorstwa, które nie są aktualnymi członkami programu.

Wyrównać

1. Polityka prywatności na stronach internetowych firm powinna zawierać link do dostawcy alternatywnych metod rozstrzygania sporów (ADR).
2. ADR powinny być łatwo dostępne i niedrogie.
3. Departament Handlu powinien bardziej systematycznie monitorować dostawców ADR pod kątem przejrzystości i dostępności dostarczanych przez nich informacji dotyczących stosowanej przez nich procedury oraz działań następczych podejmowanych w związku ze skargami.

Egzekwowanie

1. Po certyfikacji lub recertyfikacji firm w ramach programu Safe Harbor, pewien odsetek tych firm powinien zostać poddany z urzędu kontroli skutecznego przestrzegania ich polityk prywatności (wykraczającej poza kontrolę zgodności z wymogami formalnymi).
2. W każdym przypadku stwierdzenia niezgodności w następstwie skargi lub dochodzenia, przedsiębiorstwo powinno zostać poddane szczegółowemu dochodzeniu po 1 roku.
3. W przypadku wątpliwości co do zgodności firmy lub rozpatrywanych reklamacji Departament Handlu powinien poinformować właściwy unijny organ ochrony danych.
4. Fałszywe twierdzenia o przestrzeganiu programu Safe Harbor powinny być nadal badane.

Dostęp dla władz USA

1. Polityki prywatności firm, które dokonały samocertyfikacji, powinny zawierać informacje o zakresie, w jakim prawo Stanów Zjednoczonych zezwala organom publicznym na gromadzenie i przetwarzanie danych przekazywanych w ramach programu „bezpiecznej przystani”. W szczególności należy zachęcać przedsiębiorstwa do wskazywania w swoich politykach prywatności, kiedy stosują wyjątki od Zasad w celu spełnienia wymogów bezpieczeństwa narodowego, interesu publicznego lub egzekwowania prawa.
2. Ważne jest, aby wyjątek dotyczący bezpieczeństwa narodowego przewidziany w decyzji w sprawie „bezpiecznej przystani” był stosowany wyłącznie w zakresie, który jest bezwzględnie niezbędny lub proporcjonalny.

Negocjacje UE-USA w sprawie „umowy parasolowej” o ochronie danych

UE i Stany Zjednoczone negocjują obecnie umowę ramową o ochronie danych w dziedzinie współpracy policyjnej i sądowej („umowa parasolowa”) (IP / 10 / 1661). Celem UE w tych negocjacjach jest zapewnienie wysokiego poziomu ochrony danych, zgodnie z unijnymi przepisami o ochronie danych, obywateli, których dane są przekazywane przez Atlantyk, a tym samym dalsze zacieśnienie współpracy UE-USA w walce z przestępczością i terroryzmem.

Zawarcie takiej umowy, zapewniającej wysoki poziom ochrony danych osobowych, stanowiłoby istotny wkład we wzmacnianie zaufania po drugiej stronie Atlantyku.

Na ostatnim spotkaniu ministrów sprawiedliwości i spraw wewnętrznych UE-USA (18 listopada) poczyniliśmy znaczne postępy:

1. Po pierwsze, Stany Zjednoczone zobowiązały się do podjęcia działań na rzecz rozwiązania jednej z nierozstrzygniętych kwestii dla UE, a mianowicie zapewnienia obywatelom UE, którzy nie mieszkają w USA, prawa do dochodzenia roszczeń na drodze sądowej, jeśli ich dane zostały niewłaściwie wykorzystane.
2. Po drugie, Stany Zjednoczone podkreśliły swoje zobowiązanie do szerszego i skuteczniejszego korzystania z umowy o wzajemnej pomocy prawnej UE-USA, gdy chcą uzyskać dane obywateli UE do celów dowodowych w postępowaniu karnym.

UE i USA zobowiązały się do „zakończyć negocjacje w sprawie umowy przed latem 2014 r"(MEMO / 13 / 1010).

ZAŁĄCZNIK

1. Eurobarometr: Siedmiu na dziesięciu Europejczyków jest zaniepokojonych potencjalnym wykorzystaniem ujawnionych informacji przez przedsiębiorstwa.

Źródło: Flash Eurobarometr 359: Postawy wobec ochrony danych i tożsamości elektronicznej w Unii Europejskiej, czerwiec 2011 r

Więcej informacji

Informacja prasowa - Przemówienie Redinga w CEPS
Reforma ochrony danych
Komisja Europejska – ochrona danych
Strona Wiceprezesa Viviane Reding
Dyrekcja Generalna ds. Sprawiedliwości Newsroom
Śledź wiceprezesa na Twitterze:VivianeRedingEU
Śledź UE Sprawiedliwość na Twitterze: EU_Justice

Udostępnij ten artykuł: