Tarcza Prywatności UE–USA

UE –USA stanowiła ramy prawne regulujące transatlantycką wymianę danych osobowych w celach handlowych między Unią Europejską a Stanami Zjednoczonymi . Jednym z jej celów było umożliwienie amerykańskim firmom łatwiejszego otrzymywania danych osobowych od podmiotów z UE na mocy unijnych przepisów dotyczących prywatności , które mają chronić obywateli Unii Europejskiej. Tarcza Prywatności UE-USA weszła w życie 12 lipca 2016 r. po jej zatwierdzeniu przez Komisję Europejską . Została wprowadzona w celu zastąpienia międzynarodowych zasad ochrony prywatności „bezpiecznej przystani” , które zostały uznane za nieważne przez Europejski Trybunał Sprawiedliwości w październiku 2015 r. ETS stwierdził nieważność Tarczy Prywatności UE-USA w dniu 16 lipca 2020 r. w sprawie znanej jako Schrems II . W 2022 r. przywódcy USA i UE ogłosili, że zasadniczo uzgodniono nowe ramy transferu danych, zwane Transatlantyckimi Ramami Ochrony Danych , które zastąpią Tarczę Prywatności. Nie jest jednak pewne, jakie zmiany będą konieczne lub odpowiednie, aby to się udało bez dodatkowych wyzwań prawnych.

Historia

W październiku 2015 r. Europejski Trybunał Sprawiedliwości w orzeczeniu, które później stało się znane jako „Schrems I”, unieważnił poprzednie ramy zwane międzynarodowymi zasadami ochrony prywatności „bezpiecznej przystani ”. Wkrótce po tej decyzji Komisja Europejska i rząd USA rozpoczęły rozmowy na temat nowych ram, a 2 lutego 2016 r. osiągnęły porozumienie polityczne. Komisja Europejska opublikowała projekt „decyzji stwierdzającej odpowiedni stopień ochrony”, uznając zasady za równoważne z zabezpieczeniami oferowanymi przez prawo UE.

Grupa Robocza ds. Ochrony Danych Art. 29 wydała opinię 13 kwietnia 2016 r., w której stwierdziła, że ​​Tarcza Prywatności oferuje znaczne ulepszenia w porównaniu z decyzjami w sprawie „bezpiecznej przystani”, ale nadal istnieją trzy główne kwestie budzące niepokój. Dotyczą one usuwania danych, gromadzenia ogromnych ilości danych oraz wyjaśnienia nowego mechanizmu Rzecznika Praw Obywatelskich. Europejski Inspektor Ochrony Danych wydał opinię w dniu 30 maja 2016 r., w której stwierdził, że „Tarcza Prywatności w obecnym kształcie nie jest wystarczająco solidna, aby wytrzymać przyszłą kontrolę prawną przed [europejskim] Trybunałem”.

8 lipca 2016 r. przedstawiciele państw członkowskich UE (komitet art. 31) zatwierdzili ostateczną wersję Tarczy Prywatności UE-USA, torując drogę do przyjęcia decyzji przez Komisję. Komisja Europejska przyjęła ramy 12 lipca 2016 r. i tego samego dnia weszły one w życie.

W dniu 25 stycznia 2017 r. prezydent USA Donald Trump podpisał dekret zatytułowany „ Zwiększanie bezpieczeństwa publicznego ”, który stanowi, że ochrona prywatności w USA nie zostanie rozszerzona poza obywateli lub mieszkańców USA:

Agencje, w zakresie zgodnym z obowiązującym prawem, zapewnią, że ich polityki prywatności wyłączają osoby, które nie są obywatelami Stanów Zjednoczonych lub legalnymi stałymi rezydentami, z ochrony Ustawy o ochronie prywatności dotyczącej danych osobowych .

To rozporządzenie wykonawcze zostało uchylone przez prezydenta Joe Bidena 20 stycznia 2021 r.

Komisja Europejska stwierdziła, że:

Amerykańska ustawa o ochronie prywatności nigdy nie zapewniała Europejczykom praw do ochrony danych. Komisja wynegocjowała dwa dodatkowe instrumenty, aby zapewnić należytą ochronę danych obywateli UE podczas przekazywania ich do USA:

• Tarcza Prywatności UE-USA, która nie opiera się na zabezpieczeniach przewidzianych w amerykańskiej ustawie o ochronie prywatności.
• Umowa parasolowa UE–USA, która wchodzi w życie 1 lutego (2017 r.). Aby sfinalizować tę umowę, Kongres Stanów Zjednoczonych przyjął w 2017 r. nową ustawę, amerykańską ustawę o odszkodowaniach na drodze sądowej, która rozszerza korzyści płynące z amerykańskiej ustawy o ochronie prywatności na Europejczyków i zapewnia im dostęp do amerykańskich sądów”.

Komisja stwierdziła, że ​​„będzie nadal monitorować wdrażanie obu instrumentów”.

Zasady Tarczy Prywatności

Ogólnie rzecz biorąc, organizacja opracowała siedem głównych zasad. Są one określone w następujących paragrafach:

1. Uwaga – Osoby fizyczne muszą zostać poinformowane, że ich dane są gromadzone iw jaki sposób będą wykorzystywane. Organizacja musi podać informacje o tym, w jaki sposób poszczególne osoby mogą kontaktować się z organizacją w przypadku jakichkolwiek zapytań lub skarg.
2. Wybór – osoby fizyczne muszą mieć możliwość rezygnacji z gromadzenia i przekazywania danych stronom trzecim.
3. Odpowiedzialność za dalsze przekazywanie – Przekazywanie danych stronom trzecim może mieć miejsce wyłącznie w przypadku innych organizacji, które przestrzegają odpowiednich zasad ochrony danych.
4. Bezpieczeństwo — należy dołożyć należytych starań, aby zapobiec utracie zebranych informacji.
5. Integralność danych i ograniczenie celu — Dane muszą być odpowiednie i wiarygodne w stosunku do celu, w jakim zostały zebrane.
6. Dostęp – osoby fizyczne muszą mieć możliwość dostępu do przechowywanych na ich temat informacji oraz ich poprawiania lub usuwania, jeśli są niedokładne.
7. Zasoby, egzekwowanie i odpowiedzialność – Muszą istnieć skuteczne środki egzekwowania tych zasad.

Odpowiedź

Niemiecki eurodeputowany Jan Philipp Albrecht i austriacki działacz Max Schrems skrytykowali nowe orzeczenie, przy czym ten ostatni przewidywał, że komisja może odbyć „podróż w obie strony do Luksemburga ” (gdzie znajduje się Europejski Trybunał Sprawiedliwości (TSUE)). ^{[ wymagane wyjaśnienie ]} Wielu Europejczyków domagało się mechanizmu umożliwiającego indywidualnym obywatelom europejskim składanie skarg w związku z wykorzystaniem ich danych, a także systemu przejrzystości, który zagwarantowałby, że dane obywateli europejskich nie wpadną w ręce amerykańskich agencji wywiadowczych.

Wyzwanie prawne

Tarcza Prywatności została prawnie zakwestionowana przez grupy zajmujące się ochroną prywatności. Początkowo nie było jasne, czy sprawy zostaną uznane za dopuszczalne. Jednak do lutego 2017 r. kwestionowano przyszłość Tarczy Prywatności. Jeden z konsultantów, Matt Allison, przewidział, że „napędzany przez obywateli, regulowany model UE szybko wejdzie w konflikt z siłami rynkowymi Stanów Zjednoczonych i Wielkiej Brytanii”. Allison podsumował nowy dokument, w którym Komisja Europejska przedstawia swoje plany dotyczące decyzji stwierdzających odpowiedni stopień ochrony oraz globalną strategię.

W grudniu 2019 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wstępną opinię w sprawie Data Protection Commissioner przeciwko Facebook Ireland (znanej również jako Schrems II ). Nakreślono różne scenariusze, które mogą wynikać z konfliktu reżimów. Jeden z prawników doszedł do wniosku, że opinia „powinna wywołać równe miary ulgi i alarmu dla rządu USA i dla firm zależnych od transferów danych”.

Ostateczna decyzja TSUE została opublikowana 16 lipca 2020 r. w Schrems II . Tarcza Prywatności UE-USA dotycząca udostępniania danych została odrzucona przez Europejski Trybunał Sprawiedliwości, ponieważ nie zapewniała odpowiedniej ochrony obywatelom UE przed inwigilacją ze strony rządu. Europejska Rada Ochrony Danych (EDPB), organizacja UE, której decyzje są wiążące dla krajowych organów nadzorujących prywatność, oświadczyła, że ​​„przekazywanie danych na podstawie tych ram prawnych jest nielegalne”. Orzeczenie nie wstrzymało całkowicie przekazywania danych między UE a innymi krajami, ponieważ sąd podtrzymał stosowanie „standardowych klauzul umownych” (SCC). Jednak SKU niekoniecznie chronią dane w krajach, w których prawo jest zasadniczo niezgodne z Kartą praw podstawowych UE i ogólnym rozporządzeniem o ochronie danych (RODO), takich jak Stany Zjednoczone. Istniejący impas był przedmiotem bieżących propozycji akademickich i badań.

25 marca 2022 r. Stany Zjednoczone i UE ogłosiły, że osiągnięto nową umowę o przekazywaniu danych. Nowe ramy, zwane transatlantyckimi ramami ochrony danych , umożliwiłyby obywatelom UE ściganie naruszeń prywatności danych za pośrednictwem nowego „sądu kontroli ochrony danych”. W dniu 7 października 2022 r. Prezydent Biden podpisał zarządzenie wykonawcze w celu wdrożenia ram transferu danych między Unią Europejską a Stanami Zjednoczonymi, które przyjmują nowe zabezpieczenia prywatności zbierane przez amerykański wywiad.

Decyzja dotycząca wpływu Brexitu na Tarczę Prywatności oczekiwana była do 31 grudnia 2020 r., ale może być dyskusyjna ze względu na decyzję TSUE.

Nowa wersja jest przedmiotem krytyki.

Tarcza Prywatności Szwajcaria-USA

Szwajcaria nie jest członkiem UE, ale przestrzega wielu polityk UE poprzez wdrażanie traktatów. W związku z tym wdrożyła własną wersję ram Tarczy Prywatności za pośrednictwem własnej Tarczy Prywatności Szwajcaria-USA. Jest w dużej mierze podobny do ram Tarczy Prywatności UE-USA, ale wdraża własny DPA zamiast różnych unijnych DPA. Nie ma również okresu karencji i kilka innych znaczących różnic w definicji „danych wrażliwych”, wiążącego arbitrażu i zmian w polityce prywatności. Programy UE–USA i Szwajcaria–USA były na tyle podobne, że Stany Zjednoczone zarządzały nimi wspólnie.

Zobacz też

• Wiążące reguły korporacyjne
• Ustawa o prywatności łączności elektronicznej
• Uczciwa praktyka informacyjna FTC (FIPP), Stany Zjednoczone
• ryzyko informatyczne
• Prywatność
• Bezpieczna przystań (prawo)
• Ustawa o przechowywanej komunikacji

Linki zewnętrzne

• Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA, obecnie nieważna z powodu Schrems II
• Arkusz informacyjny Tarczy Prywatności UE–USA w Unii Europejskiej
• Arkusz informacyjny Tarczy Prywatności UE–USA w Departamencie Handlu USA zarchiwizowany 2016-03-26 w Wayback Machine