PL - Ipex.eu
Transkrypt
PL - Ipex.eu
KOMISJA EUROPEJSKA Bruksela, dnia 29.4.2016 r. COM(2016) 237 final 2016/0126 (NLE) Wniosek DECYZJA RADY dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem PL PL UZASADNIENIE 1. KONTEKST WNIOSKU • Przyczyny i cele wniosku Grupa kontaktowa wysokiego szczebla, składająca się z urzędników wysokiego szczebla z Komisji, prezydencji Rady i Departamentów: Sprawiedliwości, Bezpieczeństwa Wewnętrznego i Stanu Stanów Zjednoczonych, została powołana w listopadzie 2006 r., aby zbadać sposoby umożliwiające UE i USA bliższą i skuteczniejszą współpracę, jeśli chodzi o wymianę informacji na temat egzekwowania prawa przy jednoczesnym zapewnieniu ochrony danych osobowych i prywatności. W sprawozdaniu końcowym z października 2009 r.1 grupa ta doszła do wniosku, że najlepszym rozwiązaniem będzie zawarcie umowy międzynarodowej, zobowiązującej zarówno UE, jak i USA do przestrzegania wspólnych zasad ochrony danych w odniesieniu do transatlantyckiego przekazywania danych w obszarze egzekwowania prawa. Korzyścią takiego rozwiązania byłoby ustanowienie podstawowych zasad skutecznej ochrony prywatności i danych osobowych regulujących wszelką wymianę informacji na temat egzekwowania prawa; ponadto gwarantowałoby ono najwyższy poziom pewności prawa. W dniu 3 grudnia 2010 r. Rada przyjęła decyzję upoważniającą Komisję do rozpoczęcia negocjacji dotyczących umowy między Unią Europejską i Stanami Zjednoczonymi Ameryki w sprawie ochrony danych osobowych w przypadku ich przekazywania i przetwarzania do celów zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i ścigania, w ramach współpracy policyjnej i sądowej w sprawach karnych (zwanej dalej „umową ramową”)2. W dniu 28 marca 2011 r. Komisja rozpoczęła negocjacje. W dniu 8 września 2015 r. strony parafowały tekst umowy. Umowa ramowa ustanawia (po raz pierwszy w historii) kompleksowe ramy zasad ochrony danych i zabezpieczeń w przypadku przekazywania informacji osobowych3 do celów egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE lub jej państwami członkowskimi z drugiej strony. Celem umowy jest zarówno zapewnienie wysokiego poziomu ochrony danych, jak i poprawa współpracy między stronami. Umowa ramowa nie jest wprawdzie podstawą prawną przekazywania informacji osobowych do USA, będzie ona jednak w razie konieczności uzupełniać zabezpieczenia w zakresie ochrony 1 2 3 PL Sprawozdanie grupy kontaktowej wysokiego szczebla dotyczące wymiany informacji i ochrony prywatności i danych osobowych, Bruksela, 23 listopada 2009 r., 15851/09, JAI 822 DATAPROTECT 74 USA 102. Wraz z wprowadzeniem reformy ochrony danych w UE oraz przyjęciem nowych zasad ochrony prywatności UE–USA dotyczących przekazywania danych w obszarze handlu zawarcie znaczącej i kompleksowej umowy ramowej jest podstawowym elementem strategii sformułowanej w komunikacie Komisji dotyczącym odbudowy zaufania w przypadku przepływów danych między UE i USA (COM(20123) 846) z dnia 27 listopada 2013 r., dostępnym na stronie http://ec.europa.eu/justice/dataprotection/files/com_2013_846_en.pdf, co zostało również potwierdzone w wytycznych politycznych przewodniczącego Jeana-Claude'a Junckera oraz w komunikacie Komisji do Parlamentu Europejskiego i Rady „Transatlantyckie przepływy danych: odbudowa zaufania dzięki ustanowieniu silniejszych gwarancji”, COM(2016) 117 final z dnia 29 lutego 2016 r., dostępnym na stronie: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf Pojęcie „informacje osobowe” stosowane w umowie ramowej jest synonimem terminu stosowanego w UE, tj. „dane osobowe”. 2 PL danych w obowiązujących i przyszłych umowach dotyczących przekazywania danych lub w przepisach krajowych zezwalających na takie przekazywanie. Stanowi to znaczną poprawę w porównaniu z obecną sytuacją, w której informacje osobowe są przekazywane przez Atlantyk na podstawie instrumentów prawnych (umów międzynarodowych lub przepisów krajowych), które zasadniczo zawierają nieskuteczne przepisy dotyczące ochrony danych osobowych lub takich przepisów w ogóle nie przewidują. • Spójność z przepisami obowiązującymi w tej dziedzinie polityki Umowa ramowa zwiększy ochronę wszystkich danych osobowych osób w UE, których te dane dotyczą, w przypadku wymiany takich danych z USA do celów egzekwowania przepisów prawa karnego. Dzięki ustanowieniu kompleksowych ram obejmujących gwarancje ochrony danych umowa będzie stanowiła uzupełnienie obowiązujących umów (zarówno umów dwustronnych między państwami członkowskimi i USA, jak i umów między UE i USA), na podstawie których dane osobowe są przesyłane do USA do celów egzekwowania prawa, w przypadku gdy i o ile umowy te nie zapewniają wymaganego poziomu ochrony i zabezpieczeń. Ponadto umowa zagwarantuje „siatkę bezpieczeństwa” dla przyszłych umów między UE lub jej państwami członkowskimi i USA, poniżej której wymagany poziom ochrony nie będzie mógł zejść. Jest to ważna gwarancja na przyszłość i zdecydowane przejście od sytuacji obecnej, w której zabezpieczenia, środki ochrony i prawa muszą być negocjowane od nowa w przypadku każdej nowej umowy. Ogólnie umowa ramowa przysporzy znacznej wartości dodanej ze względu na zwiększenie poziomu ochrony osób w UE, których te dane dotyczą, zgodnie z wymogami unijnego prawa pierwotnego i wtórnego. Po raz pierwszy w historii umowa wprowadzi instrument ochrony danych obejmujący w kompleksowy i spójny sposób wszelkie przekazywanie danych w danym obszarze (tj. transatlantyckie wymiany danych w dziedzinie współpracy policyjnej i współpracy sądowej w sprawach karnych). Ponadto w umowie ramowej zostaną potwierdzone w kontekście transatlantyckim ogólne wymogi dotyczące międzynarodowego przekazywania danych określone w przyszłej dyrektywie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (zwanej dalej „dyrektywą w sprawie policji”), przyjętej w dniu 14 kwietnia 2016 r.4. W świetle powyższego umowa ramowa posłuży za precedens w przypadku możliwych podobnych umów z pozostałymi partnerami międzynarodowymi. • Spójność z innymi politykami Unii Oczekuje się, że umowa ramowa będzie miała znaczny wpływ na współpracę z policją i organami ścigania w Stanach Zjednoczonych. Dzięki ustanowieniu wspólnych i kompleksowych ram zawierających zasady i gwarancje dotyczące ochrony danych umowa umożliwi organom ścigania w UE lub jej państwach członkowskich, z jednej strony, i USA, z 4 PL Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych, COM/2012/010 final - 2012/0010 (COD), dostępny na stronie: http://eur-lex.europa.eu/legalcontent/PL/TXT/PDF/?uri=CELEX:52012PC0010&from=en 3 PL drugiej strony, bardziej skuteczną współpracę. Ponadto zapewni, aby obowiązujące umowy zawierały wszystkie konieczne środki ochrony. Umożliwi to ciągłość współpracy organów ścigania, zapewniając jednocześnie większą pewność prawa przy przekazywaniu danych. Umowa ułatwi także zawieranie przyszłych umów w sprawie przekazywania danych z USA w sektorze egzekwowania przepisów prawa karnego, jako że zabezpieczenia służące ochronie danych będą już uzgodnione i nie będzie konieczne ich ponowne negocjowanie. Co więcej, ustalenie wspólnych norm w tym kluczowym, lecz złożonym obszarze współpracy jest ważnym osiągnięciem, które może w znacznym stopniu przyczynić się do odbudowy zaufania w dziedzinie transatlantyckich przepływów danych. 2. PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ • Podstawa prawna Podstawą prawną niniejszego wniosku jest art. 16 TFUE w związku z art. 218 ust. 6 lit. a) TFUE. • Pomocniczość Umowa ramowa wchodzi w zakres wyłącznych kompetencji UE zgodnie z art. 3 ust. 2 TFUE. Zasada pomocniczości nie ma zatem zastosowania. • Proporcjonalność Umowa ramowa przewiduje gwarancje ochrony danych wymagane w wytycznych negocjacyjnych Rady. Są one uznawane za niezbędne elementy zapewniające wymagany poziom ochrony w przypadku przekazywania danych osobowych do państwa trzeciego, zarówno na mocy Karty praw podstawowych UE, jak i zmieniającego się dorobku prawnego UE. Ani znacznie mniejszego zestawu takich gwarancji, ani instrumentu o mniejszej mocy wiążącej nie można było uznać za wystarczające do zapewnienia takiego poziomu ochrony. Wniosek nie wykracza zatem poza to, co jest niezbędne do osiągnięcia celu politycznego, jakim jest ustanowienie ram ochrony danych osobowych w przypadku ich przekazywania między Stanami Zjednoczonymi, z jednej strony, a Unią Europejską lub jej państwami członkowskimi, z drugiej strony, w kontekście egzekwowania prawa. • Wybór instrumentu Ustanowienie wiążących ram ochrony danych osobowych, które będą uzupełniały obowiązujące umowy i będą stanowiły podstawę dla przyszłych umów, może być zapewnione jedynie dzięki umowie międzynarodowej zawartej między UE i Stanami Zjednoczonymi. Ponadto, jak podkreślono w sprawozdaniu grupy kontaktowej wysokiego szczebla z października 2009 r., umowa międzynarodowa gwarantuje najwyższy poziom pewności prawa. 3. WYNIKI OCEN EX-POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW • Oceny ex-post/kontrole sprawności obowiązującego prawodawstwa Nie dotyczy. PL 4 PL • Konsultacje z zainteresowanymi stronami Komisja regularnie składała specjalnemu komitetowi Rady pisemne i ustne sprawozdania dotyczące postępów w negocjacjach. Również Parlament Europejski był regularnie informowany o postępach, zarówno w formie pisemnej, jak i ustnej, za pośrednictwem Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. • Gromadzenie i wykorzystanie wiedzy eksperckiej Inicjatywa stanowi realizację wytycznych negocjacyjnych Rady z dnia 3 grudnia 2010 r. • Ocena skutków Ocena skutków nie była konieczna. Umowa będąca przedmiotem wniosku jest zgodna z wytycznymi negocjacyjnymi Rady. • Sprawność regulacyjna i uproszczenie Nie dotyczy. • Prawa podstawowe Postanowienia umowy ramowej mają na celu ochronę podstawowego prawa do ochrony danych osobowych i prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu, jak zapisano odpowiednio w art. 8 i art. 47 Karty praw podstawowych Unii Europejskiej. 4. WPŁYW NA BUDŻET Umowa będąca przedmiotem wniosku nie ma wpływu na budżet. 5. ELEMENTY FAKULTATYWNE • Plany wdrożenia i monitorowanie, ocena i sprawozdania Wdrożenie umowy przez państwa członkowskie będzie niezbędne, lecz nie przewiduje się konieczności wprowadzenia większych zmian w przepisach krajowych, jako że postanowienia materialne umowy ramowej w znacznym stopniu odzwierciedlają zasady, które już obowiązują w odniesieniu do organów UE lub organów krajowych na mocy prawa UE lub prawa krajowego. • Szczegółowe objaśnienia poszczególnych postanowień wniosku Umowa ramowa, zgodnie z wytycznymi negocjacyjnymi Rady, obejmuje pięć kategorii postanowień: (i) postanowienia horyzontalne; (ii) zasady ochrony danych i związane z tym zabezpieczenia; (iii) prawa osób fizycznych; (iv) aspekty dotyczące stosowania umowy i nadzoru; oraz (v) postanowienia końcowe. (i) Postanowienia horyzontalne (i) Cel umowy (Artykuł 1) Aby osiągnąć cel umowy (tj. zapewnić wysoki poziom ochrony informacji osobowych oraz poprawić współpracę w obszarze egzekwowania prawa), umowa ramowa ustanawia ramy ochrony informacji osobowych w przypadku ich przekazywania między USA, z jednej strony, a UE lub jej państwami członkowskimi, z drugiej strony, do celów zapobiegania przestępstwom, w tym terroryzmowi, ich śledzenia, wykrywania i ścigania albo wykonywania PL 5 PL kar kryminalnych. Odniesienie do pojęcia „zapobieganie przestępstwom, ich śledzenie, wykrywanie i ściganie albo wykonywanie kar kryminalnych” (zwanego dalej łącznie „egzekwowaniem prawa”) zapewnia zgodność umowy z konstrukcją obecnego i przyszłego dorobku prawnego UE w zakresie ochrony danych (w szczególności z rozdzielnością rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych („ogólnego rozporządzenia o ochronie danych”5) i „dyrektywy w sprawie policji” pod względem zakresu tych aktów). Dzięki określeniu, że sama umowa ramowa nie jest podstawą prawną dla jakiegokolwiek przekazywania informacji osobowych oraz że zawsze wymagana jest (oddzielna) podstawa prawna, w art. 1 wyjaśniono, iż umowa ramowa jest prawdziwą umową w sprawie przestrzegania praw podstawowych ustanawiającą zestaw środków ochronnych i zabezpieczających mających zastosowanie do takiego przekazywania. (ii) Definicje (Artykuł 2) Podstawowe pojęcia zastosowane w umowie ramowej zostały zdefiniowane w art. 2. Definicje dotyczące informacji osobowych, przetwarzania informacji osobowych, stron, państwa członkowskiego i właściwego organu są zgodne pod kątem merytorycznym z definicjami tych pojęć określonymi w innych umowach między UE i USA lub w dorobku prawnym UE w zakresie ochrony danych. (iii) Zakres umowy (Artykuł 3) W art. 3 umowy ramowej określono zakres umowy ramowej. W artykule tym zapewnia się, aby środki ochrony i zabezpieczenia przewidziane w umowie ramowej miały zastosowanie do wszystkich rodzajów wymian danych odbywających się w kontekście transatlantyckiej współpracy organów ścigania w sprawach karnych. Obejmuje to przekazywanie na podstawie przepisów krajowych, umów między UE i USA (np. ·traktatu o pomocy prawnej UE-USA), umów między państwami członkowskimi i USA ( ·traktatów o pomocy prawnej, porozumień o zacieśnieniu współpracy w zakresie zapobiegania poważnej przestępczości i jej zwalczania, porozumień lub ustaleń w sprawie informacji antyterrorystycznych), jak również konkretnych umów umożliwiających przekazywanie danych osobowych przez podmioty prywatne do celów egzekwowania prawa (np. na mocy umowy UE-USA w sprawie danych dotyczących przelotu pasażera6 (PNR) oraz w ramach Programu śledzenia środków finansowych należących do terrorystów7 (TFTP)). Zakres jest sformułowany pod kątem przekazywania danych, tj. obejmuje zasadniczo wszystkie formy przekazywania danych do celów egzekwowania przepisów prawa karnego między UE i USA, niezależnie od obywatelstwa lub miejsca pobytu przedmiotowej osoby, której dotyczą dane. 5 6 7 PL Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych), COM(2012) 11 final 2012/0011 (COD), dostępne na stronie: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_pl.pdf Umowa między Stanami Zjednoczonymi Ameryki a Unią Europejską o wykorzystywaniu danych dotyczących przelotu pasażera oraz przekazywaniu takich danych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Dz.U. L 215 z 11.8.2012, s. 5. Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów, Dz.U. L 195 z 27.7.2010, s. 5. 6 PL Umowa ramowa nie będzie obejmowała przekazywania danych osobowych (ani innych form współpracy) między organami z USA i państw członkowskich odpowiedzialnymi za zapewnienie bezpieczeństwa narodowego. (iv) Niedyskryminacja (Artykuł 4) Artykuł 4 stanowi, że każda strona wdroży umowę ramową, nie stosując żadnej arbitralnej lub nieuzasadnionej dyskryminacji między obywatelami własnego kraju i obywatelami kraju drugiej strony. Artykuł ten uzupełnia i wzmacnia inne postanowienia umowy (w szczególności artykuły ustanawiające zabezpieczenia dla osób fizycznych, takie jak dostęp do danych, możliwość ich sprostowania i administracyjne środki zaskarżenia, zob. poniżej), jako że zapewnia traktowanie obywateli europejskich zasadniczo na równi z obywatelami USA w przypadku praktycznego wdrażania postanowień umowy przez organy z USA. (v) Skutki umowy (Artykuł 5) Jeśli chodzi o obowiązujące umowy między UE lub jej państwami członkowskimi i USA, umowa ramowa uzupełni je w razie konieczności, tj. w przypadku gdy i o ile brak w nich będzie niezbędnych zabezpieczeń służących ochronie danych8. Skuteczne wdrożenie umowy ramowej (a w szczególności artykułów dotyczących praw osób fizycznych) jest oparte na założeniu zgodności z mającymi zastosowanie międzynarodowymi przepisami dotyczącymi przekazywania danych. To założenie nie jest ani automatyczne, ani ogólne oraz — jak wszystkie założenia — może zostać obalone. Nie jest to założenie automatyczne, ponieważ jego spełnienie wyraźnie zależy od skutecznego wdrożenia umowy ramowej przez USA, a bardziej konkretnie – jak bezpośrednio wynika z art. 5 ust. 2 – od skutecznego wdrożenia artykułów dotyczących praw osób fizycznych (w szczególności w zakresie dostępu do danych, możliwości ich sprostowania i administracyjnych środków zaskarżenia). Nie jest to również założenie ogólne: jako że umowa ramowa nie jest samodzielnym instrumentem umożliwiającym przekazywanie danych, takie założenie z konieczności jest analizowane indywidualnie dla poszczególnych przypadków, tj. przez ocenę, czy połączenie umowy ramowej i konkretnej podstawy prawnej umożliwiającej przekazywanie zapewnia poziom ochrony zgodny z unijnymi przepisami dotyczącymi ochrony danych. Innymi słowy, inaczej niż w przypadku ustalenia dotyczącego adekwatności, postanowienie to nie przewiduje blokowego uznania poziomu ochrony zapewnianej w USA jako takiej ani ogólnego zezwolenia na przekazywanie informacji. (ii) Zasady ochrony danych i związane z tym zabezpieczenia Opisane poniżej artykuły obejmują istotne zasady regulujące przetwarzanie danych osobowych, jak również kluczowe zabezpieczenia i ograniczenia. (i) Celowość i ograniczenia stosowania (Artykuł 6) Zgodnie z Kartą praw podstawowych UE i dorobkiem prawnym UE art. 6 nakłada obowiązek stosowania zasady celowości do wszelkiego przekazywania danych osobowych objętego 8 PL W czwartym motywie preambuły wskazano, iż umowa ramowa nie zmienia, warunkuje ani w inny sposób nie odstępuje od umów zapewniających odpowiedni poziom ochrony danych, z wyjątkiem postanowienia dotyczącego sądowych środków zaskarżenia w art. 19, które również ma do nich zastosowanie. Dotyczy to umów PNR i TFTP. 7 PL umową ramową, zarówno w przypadku przekazywania w odniesieniu do konkretnych przypadków, jak i w przypadku, gdy USA i UE lub jej państwa członkowskie zawierają umowę zezwalającą na zbiorcze przekazywanie danych osobowych. Przetwarzanie (obejmujące przekazywanie) może mieć miejsce jedynie w wyraźnie określonych i prawnie uzasadnionych celach w ramach zakresu umowy ramowej, tj. w celach zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych, w tym w odniesieniu do terroryzmu. Ponadto dalsze przetwarzanie informacji osobowych przez organy (ścigania, regulacyjne lub administracyjne) inne niż pierwszy organ danej strony otrzymujący dane jest możliwe pod warunkiem, że przetwarzanie to nie jest niezgodne z celami, dla których dane zostały pierwotnie przekazane, oraz że ten inny organ spełnia wszystkie pozostałe postanowienia umowy ramowej. W szczególnych przypadkach właściwy organ odpowiedzialny za przekazanie może również nałożyć dodatkowe warunki (np. dotyczące wykorzystania danych). Ponadto informacje osobowe mogą być przetwarzane tylko wtedy, gdy są bezpośrednio zgodne z celami tego przetwarzania oraz nie wykraczają poza te cele i nie są nadmiernie szerokie w stosunku do tych celów. Artykuł 6 stanowi kluczowe postanowienie umowy: zapewnia stosowanie zabezpieczeń przez cały „cykl życia” zestawu danych od momentu pierwotnego przekazania danych z UE do chwili ich przetwarzania przez właściwe organy w USA i odwrotnie, jak również podczas możliwej dalszej wymiany lub dalszego przetwarzania przez inny organ USA lub —– w przypadku przekazywania danych z USA do właściwego organu UE lub (jednego z) jej państw członkowskich – podczas możliwej dalszej wymiany lub dalszego przetwarzania przez inny organ UE lub jej państwa członkowskiego. (ii) Dalsze przekazywanie informacji (Artykuł 7) Ograniczenie dalszego przekazywania danych, jak określono w art. 7, oznacza, że w przypadku, gdy organ USA zamierza przekazać dalej dane – które otrzymał z UE lub jednego z jej państw członkowskich – państwu trzeciemu lub organizacji międzynarodowej, które nie podlegają umowie, będzie musiał najpierw uzyskać zgodę organu ścigania w UE, który dokonał pierwotnego przekazania danych do Stanów Zjednoczonych. Zasada ta ma również zastosowanie w przypadku, gdy organ UE lub jednego z jej państw członkowskich zamierza przekazać dalej dane, które otrzymał z USA, państwu trzeciemu lub organizacji międzynarodowej. Podejmując decyzję o wyrażeniu zgody na dalsze przekazanie danych, organ, który dokonał pierwotnego przekazania, będzie musiał uwzględnić wszystkie istotne czynniki, w tym cel, dla którego pierwotnie przekazano dane, oraz fakt, czy państwo trzeci lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony informacji osobowych. Może także objąć transfer szczególnymi warunkami. Ponadto – w odniesieniu do artykułów dotyczących celowości (zob. poniżej art. 6), okresów zatrzymywania informacji (zob. poniżej art. 12) i danych wrażliwych (zob. poniżej art. 13) – w artykule tym wyraźnie uwzględniono szczególną wrażliwość zbiorczego przekazywania danych dotyczących osób, na których nie ciąży podejrzenie (np. dane PNR każdego pasażera odbywającego lot, niezależnie od tego, czy istnieje wobec niego jakiekolwiek konkretne podejrzenie), poprzez zawarcie wymogu, zgodnie z którym wszelkie dalsze przekazywanie PL 8 PL informacji osobowych, „innych niż dotyczących konkretnych spraw”, może się odbywać jedynie po spełnieniu szczególnych warunków określonych w umowie, które należycie uzasadniają dalsze przekazywanie tych informacji. Szczególny przypadek dalszego przekazywania danych do innego państwa w UE (np. francuska policja dzieli się z niemiecką policją informacjami otrzymanymi od FBI z USA) również został uwzględniony w tym artykule (ust. 4) dzięki zapisowi, że jeżeli według mających zastosowanie przepisów takie przekazanie wymaga uprzedniej zgody, organ, który pierwotnie przesłał informacje (np. FBI z USA), nie będzie mógł odmówić zgody na takie przekazanie ani nałożyć na takie przekazanie szczególnych warunków z powodu ochrony danych (jako że wszystkie organy w tym przypadku podlegają umowie ramowej). (iii) Jakość i integralność informacji (Artykuł 8) Strony podejmą rozsądne działania, aby przekazane dane osobowe były przechowywane z taką trafnością, terminowością, kompletnością i dokładnością, jakie są konieczne i odpowiednie do zgodnego z prawem przetwarzania informacji. Jeśli organ otrzymujący lub przekazujący informacje stwierdzi poważne wątpliwości co do trafności, terminowości, kompletności i dokładności danych osobowych, które otrzymał lub przekazał, powiadamia o tym, o ile to możliwe, właściwy organ przekazujący lub otrzymujący dane. (iv) Bezpieczeństwo informacji (Artykuł 9) i Zgłoszenie bezpieczeństwem informacji (Artykuł 10) incydentu związanego z Te artykuły przyczyniają się do zapewnienia wysokiego poziomu bezpieczeństwa danych osobowych podlegających wymianie między stronami umowy ramowej. Po pierwsze, zgodnie z art. 9, strony zapewniają wprowadzenie odpowiednich uzgodnień technicznych, uzgodnień w zakresie bezpieczeństwa i uzgodnień organizacyjnych w celu ochrony informacji osobowych przed wystąpieniem przypadkowego lub nielegalnego zniszczenia, przypadkowej utraty lub nieuprawnionego dostępu do informacji osobowych, ich nieuprawnionego ujawnienia, modyfikacji lub innej formy przetwarzania. Ustalenia te obejmują również zapis, zgodnie z którym dostęp do danych osobowych będzie przyznawany jedynie upoważnionym pracownikom. Po drugie, zgodnie z art. 10, w przypadku incydentu związanego z bezpieczeństwem, w wyniku którego występuje znaczne ryzyko wystąpienia szkody, należy niezwłocznie podjąć odpowiednie działania, aby złagodzić szkodę, w tym powiadomić organ przekazujący informacje oraz, w przypadkach uzasadnionych okolicznościami incydentu, osobę, której dane dotyczą. Wyjątki od obowiązku powiadamiania są wymienione w sposób wyczerpujący w tym postanowieniu i odpowiadają rozsądnym ograniczeniom (np. z powodów bezpieczeństwa narodowego). (v) Przechowywanie dokumentacji (Artykuł 11) Strony ustanawiają skuteczne metody (takie jak rejestry) wykazywania zgodności z prawem operacji przetwarzania i wykorzystywania informacji osobowych. Wymóg ten stanowi znaczące zabezpieczenie dla osób fizycznych, jako że obarcza organy ścigania prawa ciężarem wykazania, że przedmiotowa operacja przetwarzania danych została przeprowadzona zgodnie z prawem. Obowiązek udokumentowania operacji przetwarzania danych w szczególności powoduje, że w przypadku nielegalnego przetwarzania danych PL 9 PL będzie istniał „ślad”. Powinno to ułatwić rozpatrywanie skarg oraz składanie wniosków dotyczących legalności operacji przetwarzania danych. (vi) Okres zatrzymywania danych (Artykuł 12) Przetwarzanie danych będzie podlegało szczególnym okresom zatrzymywania danych, aby zagwarantować, że dane nie będą przechowywane przez czas dłuższy niż jest to konieczne i właściwe. Aby określić długość takich okresów zatrzymywania danych, należy wziąć pod uwagę szereg elementów, w szczególności cel przetwarzania lub wykorzystania danych, charakter danych oraz wpływ na prawa i interesy osób, których dane dotyczą. W artykule określono również, że jeśli strony zawierają umowę o zbiorczym przekazywaniu danych, umowa ta musi zawierać szczególny zapis dotyczący obowiązującego okresu zatrzymywania danych. Przyjmując to postanowienie, strony akceptują zasadę, zgodnie z którą umowy o zbiorczym przekazywaniu powinny zawierać określony okres zatrzymywania danych, dzięki czemu nie będzie konieczne jego ponowne negocjowanie. Okresy zatrzymywania danych będą podlegały okresowym przeglądom, aby ustalić, czy zmiana okoliczności wymaga jakiejkolwiek zmiany obowiązującego okresu zatrzymywania danych. Aby zachować przejrzystość, długość okresów zatrzymywania danych będzie publikowana lub w inny sposób podawana do wiadomości publicznej. (vii) Specjalne kategorie danych (Artykuł 13) Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne lub przekonania religijne lub inne, członkostwo w związkach zawodowych lub informacji osobowych dotyczących zdrowia lub życia seksualnego może następować jedynie przy zachowaniu odpowiednich zabezpieczeń przewidzianych prawem (np. zamaskowanie informacji po osiągnięciu celu, dla którego przetwarzano dane, lub wymóg wyrażenia zgody przez organ nadzoru na udostępnienie informacji). W umowach zezwalających na zbiorcze przekazywanie danych osobowych konieczne będzie sprecyzowanie norm i warunków, po spełnieniu których możliwe będzie przetworzenie szczególnych kategorii danych. Postanowienia dotyczące specjalnych kategorii danych są spójne z wymogiem, zgodnie z którym przetwarzanie jest bezpośrednio zgodne z celami tego przetwarzania oraz nie wykracza poza te cele na podstawie art. 6 dotyczącego celowości i ograniczeń stosowania. (viii) Decyzje zautomatyzowane (Artykuł 15) Przetwarzanie danych, które może prowadzić do decyzji mającej negatywne skutki dla osoby fizycznej (np. w kontekście profilowania), nie może się opierać jedynie na zautomatyzowanym przetwarzaniu informacji osobowych, chyba że jest to dozwolone na podstawie prawa krajowego oraz pod warunkiem, że zapewniono właściwe zabezpieczenia, w tym istnieje możliwość uzyskania interwencji ludzkiej. (ix) Przejrzystość (Artykuł 20) PL 10 PL Osoby fizyczne są uprawnione do otrzymywania informacji (za pośrednictwem ogólnych lub indywidualnych zawiadomień oraz przy zachowaniu „uzasadnionych ograniczeń”) dotyczących celu przetwarzania i możliwego dalszego wykorzystania ich danych osobowych, przepisów lub zasad regulujących takie przetwarzanie, tożsamości osób trzecich, którym zostaną ujawnione ich dane osobowe, jak również dostępnych mechanizmów dostępu do danych, ich sprostowania i środków zaskarżenia. Podnoszenie świadomości osób fizycznych na temat tego, kiedy i przez kogo przetwarzane są dotyczące ich dane, przyczynia się do umożliwienia osobom fizycznym wykonywania ich prawa dostępu do danych, sprostowania danych lub wniesienia środków zaskarżenia (zob. poniżej art. 16–19). (iii) Prawa osób fizycznych Te prawa mają szczególne znaczenie dla ochrony osób, których dane dotyczą i które po raz pierwszy będą miały możliwość skorzystania z praw ogólnego zastosowania w odniesieniu do dowolnego transatlantyckiego przekazywania danych osobowych w obszarze egzekwowania przepisów prawa karnego. (i) Dostęp do danych i ich sprostowanie (Artykuł 16 i 17) Prawo dostępu do danych upoważnia każdą osobę fizyczną do zażądania i uzyskania dostępu do dotyczących jej danych osobowych. Powody ograniczenia dostępu są określone w sposób wyczerpujący i odpowiadają uzasadnionym ograniczeniom (np. zapewnienie bezpieczeństwa narodowego, uniemożliwienie utrudniania dochodzeń i śledztw w sprawach karnych, ochrona praw i wolności innych osób). Uzyskanie dostępu do danych nie może być powiązane z nadmiernymi wydatkami dla osoby, której dane dotyczą. Prawo do sprostowania danych umożliwia wszystkim osobom fizycznym złożenie wniosku o korektę lub sprostowanie ich danych osobowych w przypadku, gdy dane te są niedokładne lub zostały przetworzone w niewłaściwy sposób. Może to obejmować uzupełnienie danych, ich usunięcie, zablokowanie lub inne środki lub metody mające na celu usunięcie niedokładności lub zaprzestanie niewłaściwego przetwarzania. Jeśli właściwy organ kraju otrzymującego dane stwierdzi – na wniosek osoby fizycznej, na skutek zawiadomienia od podmiotu przekazującego informacje osobowe lub w wyniku własnego dochodzenia – że informacje są niedokładne lub zostały niewłaściwie przetworzone, organ ten podejmuje środki w postaci uzupełnienia, usunięcia, zablokowania danych lub inne środki służące korekcie lub sprostowaniu. Jeśli zezwala na to prawo krajowe, każda osoba fizyczna jest uprawniona do upoważnienia organu nadzoru (tj. krajowego organu ochrony danych właściwego dla osoby w UE, której dane dotyczą) do złożenia w jej imieniu wniosku o dostęp do danych lub ich sprostowanie Ta możliwość bezpośredniego wykonywania praw za pośrednictwem organu i w ramach systemu prawnego, który jest znany osobom, których dane dotyczą, powinna w konkretny sposób ułatwić tym osobom wykonywanie swoich praw. W przypadku odmowy lub ograniczenia dostępu do danych lub ich sprostowania organ, do którego złożono wniosek, udziela osobie fizycznej (lub jej należycie upoważnionemu przedstawicielowi) odpowiedzi zawierającej powody odmowy lub ograniczenia dostępu do danych lub ich sprostowania. Obowiązek udzielenia osobie fizycznej uzasadnionej odpowiedzi ma na celu umożliwienie i ułatwienie wykonywania jej praw do wniesienia PL 11 PL administracyjnych i sądowych środków zaskarżenia w przypadku odmowy lub ograniczenia dostępu/sprostowania przez przedmiotowy organ ścigania. (ii) Administracyjne środki zaskarżenia (Artykuł 18) W przypadku, gdy osoba fizyczna nie zgadza się z decyzją dotyczącą jej wniosku o dostęp do danych osobowych lub ich sprostowanie, jest ona uprawniona do wniesienia administracyjnego środka zaskarżenia. Jeśli chodzi o prawo dostępu do danych oraz ich sprostowania, aby skutecznie wykonywać to prawo, przedmiotowa osoba, której dane dotyczą, jest uprawniona do upoważnienia w tym zakresie organu nadzoru (tj. krajowego organu ochrony danych właściwego dla osoby w UE, której dane dotyczą) lub innego przedstawiciela, jeśli jest to dozwolone na mocy obowiązujących przepisów krajowych. Organ, do którego się zwrócono, udzieli przedmiotowej osobie, której dane dotyczą, odpowiedzi na piśmie, w której wskaże, w stosownych przypadkach, podjęte działania usprawniające lub naprawcze. (ii) Sądowe środki zaskarżenia (Artykuł 19) Obywatele państw każdej ze stron mogą złożyć w sądzie skargę dotyczącą i) odmowy dostępu do danych, ii) odmowy sprostowania danych lub iii) nielegalnego ujawnienia danych przez organy drugiej strony. Po stronie USA zostało to odzwierciedlone w ustawie o sądowych środkach odwoławczych podpisanej przez prezydenta Baracka Obamę w dniu 24 lutego 2016 r. Umowa ta rozszerzy obowiązywanie tych trzech powodów wniesienia sądowych środków zaskarżenia określonych w amerykańskiej ustawie o prywatności z 1974 r., które są obecnie ograniczone do obywateli USA i stałych rezydentów, na obywateli „państw objętych ustawą”9. W czwartym motywie preambuły umowy ramowej wyjaśniono, że to rozszerzenie będzie również obejmowało dane przekazywane na mocy takich umów, jak PNR i TFTP. Wraz z przyjęciem ustawy o sądowych środkach odwoławczych artykuł 19 znacznie zwiększy zatem ochronę sądową obywateli UE. Mimo że ustawa o sądowych środkach odwoławczych zawiera szereg ograniczeń (w szczególności będzie ona miała zastosowanie jedynie do danych dotyczących obywateli „państw objętych ustawą” – których dane zostały przekazane przez organy ścigania prawa z UE – zwłaszcza do obywateli UE, lecz nie tylko), w art. 19 umowy ramowej uwzględniono od dawna wysuwany postulat UE. Postanowienie to odpowiada wytycznym politycznym przewodniczącego Jeana-Claude'a Junckera, zgodnie z którymi „USA muszą [...] zagwarantować, by wszyscy obywatele UE mogli korzystać z przysługujących im praw do ochrony danych także i w sprawach toczących się przed amerykańskimi sądami, niezależnie od tego, czy zamieszkują na terytorium Stanów 9 PL Zgodnie z ustawą o sądowych środkach odwoławczych „państwo objęte ustawą” to państwo, i) które zawarło z USA umowę zapewniającą odpowiednie środki ochrony prywatności w przypadku wymiany informacji do celów egzekwowania prawa (lub które dokonało skutecznej wymiany informacji do celów egzekwowania prawa i posiada odpowiednie środki ochrony prywatności dla takich informacji podlegających wymianie); ii) które zezwala na przekazywanie danych osobowych do celów handlowych na podstawie umowy z USA lub za pomocą innych środków; iii) którego polityka dotycząca przekazywania danych osobowych do celów handlowych nie ma istotnego wpływu na interesy bezpieczeństwa narodowego Stanów Zjednoczonych. Status „państwa objętego ustawą” przyznaje prokurator generalny USA. 12 PL Zjednoczonych. Zlikwidowanie takiej dyskryminacji jest niezbędne dla odbudowy zaufania w relacjach transatlantyckich”. Podobnie postanowienie to odpowiada rezolucji Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, w której Parlament zwrócił się o bezzwłoczne wznowienie negocjacji z USA dotyczących umowy ramowej, aby „prawa obywateli UE były traktowane na równi z prawami obywateli Stanów Zjednoczonych (...)” oraz aby zapewnić „skuteczne i możliwe do wyegzekwowania (...) sądowe środki odwoławcze dla wszystkich obywateli UE w Stanach Zjednoczonych bez jakiejkolwiek dyskryminacji”10. W art. 19 ust. 3 wyjaśniono, że rozszerzenie trzech wyżej wymienionych sądowych środków zaskarżenia jest bez uszczerbku dla innych możliwości wniesienia sądowych środków odwoławczych dostępnych w odniesieniu do przetwarzania danych (np. na mocy ustawy o procedurze administracyjnej, ustawy o prywatności w kontekście łączności elektronicznej lub ustawy o swobodnym dostępie do informacji). Te inne podstawy prawne wniesienia sądowych środków zaskarżenia są otwarte dla wszystkich osób z UE, których dane dotyczą, objętych przekazywaniem danych do celów egzekwowania prawa, niezależnie od ich obywatelstwa lub miejsca pobytu. (iv) Aspekty dotyczące stosowania umowy ramowej i nadzoru (i) Rozliczalność (Artykuł 14) Należy wprowadzić środki propagujące odpowiedzialność organów przetwarzających dane osobowe objęte umową ramową. W szczególności jeśli dane osobowe są dalej przekazywane przez organ otrzymujący innym organom, organy te powinny być powiadamiane o zabezpieczeniach obowiązujących na mocy tej umowy, jak również o możliwych dodatkowych warunkach (ograniczających), które nałożono na przekazanie zgodnie z art. 6 ust. 3 (dotyczącym celowości i ograniczeń stosowania). Na poważne uchybienia należy reagować za pomocą odpowiednich i odstraszających sankcji karnych, cywilnych lub administracyjnych. Środki na rzecz propagowania odpowiedzialności obejmują również, w stosownych przypadkach, wstrzymanie dalszego przekazywania danych osobowych do podmiotów stron, które to podmioty nie są objęte umową ramową, jeśli nie zapewniają one skutecznej ochrony informacji osobowych w świetle celu umowy (a w szczególności postanowień dotyczących celowości i dalszego przekazywania). Postanowienie to uwzględnia sytuację, w której dane osobowe są przesyłane przez organ UE do organu federalnego w USA (tj. organu objętego umową), a następnie dalej przekazywane organowi egzekwowania prawa na szczeblu stanowym. Na mocy obowiązujących zasad konstytucyjnych USA mają ograniczone możliwości nałożenia na swoje stany wiążących przepisów na szczeblu międzynarodowym11. Aby zachować ciągłość ochrony danych przekazanych do agencji federalnych w USA, a następnie przesłanych do organów ścigania prawa na szczeblu stanowym, artykuł ten (i) uwzględnia w swoim zakresie „inne organy” stron (tj. organy nieobjęte zakresem tej umowy, 10 11 PL Zob. pkt 57 i lit. BJ rezolucji Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, organów nadzoru w różnych państwach członkowskich oraz ich wpływu na prawa podstawowe obywateli UE oraz na współpracę transatlantycką w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych (2013/2188(INI), dostępnej na stronie http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7TA-2014-0230+0+DOC+XML+V0//PL W przypadku republiki federalnej istnieje podział władzy między rządem federalnym i rządami poszczególnych stanów (zob. również w tym względzie art. 5 ust. 2 umowy ramowej). 13 PL takie jak organy stanowe w USA); (ii) przewiduje, że będą one informowane o zabezpieczeniach zapewnionych na podstawie umowy ramowej; oraz (iii) przewiduje, że przekazywanie do takich organów zostanie w razie konieczności wstrzymane, jeśli organy te nie będą zapewniały skutecznej ochrony danych osobowych w świetle celu umowy ramowej, a w szczególności w kontekście artykułów dotyczących celowości i dalszego przekazywania. Poprzez dążenie do zapewnienia, aby właściwe organy egzekwowania prawa odpowiadały za przestrzeganie postanowień umowy ramowej, artykuł ten jest istotnym elementem skutecznego systemu egzekwowania prawa i nadzoru w ramach umowy. Ułatwi on również składanie wniosków przez osoby fizyczne w przypadku uchybień (i związanej z nimi odpowiedzialności organów publicznych). Ponadto organy UE będą miały możliwość wyrażenia wątpliwości wobec swoich odpowiedników z USA i będą mogły otrzymać od nich informacje na temat tego, w jaki sposób przestrzegają one swoich obowiązków wynikających z art. 14 (w tym na temat środków podjętych w tym względzie). Również w kontekście wspólnych przeglądów (zob. art. 23 poniżej) szczególna uwaga zostanie poświęcona skutecznemu wdrożeniu tego artykułu. (ii) Skuteczny nadzór (Artykuł 21) Strony posiadają co najmniej jeden organ publiczny wypełniający niezależne funkcje nadzoru i wykonujący uprawnienia w tym zakresie, obejmujące między innymi przegląd, dochodzenia i podejmowanie interwencji. Organy te mają prawo do przyjmowania i rozpatrywania skarg od osób fizycznych, dotyczących wdrażania umowy ramowej, oraz przekazywania przypadków naruszenia prawa związanych z tą umową do celów ścigania lub wszczęcia postępowania dyscyplinarnego. Ze względu na właściwości systemu USA funkcje nadzoru, które w UE wypełniają organy ochrony danych, będą tam sprawowane łącznie przez organy nadzoru (w tym głównych urzędników ds. ochrony prywatności, inspektorów generalnych, komisje nadzoru prywatności i swobód obywatelskich itp.). Artykuł ten uzupełnia zabezpieczenia dostępne na podstawie postanowień dotyczących dostępu do danych, ich sprostowania i administracyjnych środków zaskarżenia. W szczególności umożliwia on osobom fizycznym wnoszenie do niezależnych organów skarg w odniesieniu do wdrażania umowy ramowej przez drugą stronę. (iii) Współpraca między organami nadzoru (Artykuł 22) Organy nadzoru będą współpracowały w celu zapewnienia skutecznego wdrożenia umowy, w szczególności w odniesieniu do systemu pośredniego wykonywania praw osób fizycznych w zakresie dostępu do danych, ich sprostowania i wniesienia administracyjnych środków zaskarżenia (zob. art. 16–18 poniżej). Ponadto należy ustanowić krajowe punkty kontaktowe, które będą pomagać w ustalaniu organu nadzoru, do którego należy zwrócić się w danej sprawie. Szczególnie ze względu na istnienie kilku organów nadzoru w USA ustanowienie centralnego „punktu obsługi” dla wniosków o pomoc i współpracę ma przyczynić się do skutecznego rozpatrywania tych wniosków. (iv) Wspólny przegląd (Artykuł 23) PL 14 PL Strony będą dokonywały okresowych wspólnych przeglądów wdrażania i skuteczności umowy ramowej, poświęcając szczególną uwagę skutecznemu wdrażaniu artykułów dotyczących praw osób fizycznych (dostęp do danych, sprostowanie, wniesienie administracyjnych i sądowych środków zaskarżenia), jak również kwestii przekazywania do jednostek terytorialnych nieobjętych umową (tj. poszczególnych stanów w USA). Pierwszy wspólny przegląd przeprowadzony zostanie nie później niż trzy lata od daty wejścia w życie niniejszej umowy, a następne w regularnych odstępach czasu. W skład odpowiednich delegacji powinni wchodzić przedstawiciele zarówno organów ochrony danych, jak i organów egzekwowania prawa / organów sądowych, a ustalenia poczynione w trakcie wspólnych przeglądów należy publikować. (v) Postanowienia końcowe Umowa ramowa zawiera szereg postanowień końcowych dotyczących następujących elementów: PL powiadomienie drugiej strony o wszelkich aktach prawnych, które w istotny sposób wpływają na wdrożenie umowy. USA będą w szczególności powiadamiać UE o wszelkich środkach związanych ze stosowaniem przepisów ustawy o sądowych środkach odwoławczych (art. 24); konsultacje w przypadku sporów dotyczących sposobu interpretacji lub stosowania umowy (art. 25); możliwość zawieszenia umowy przez jedną ze stron w przypadku istotnego naruszenia postanowień umowy przez drugą stronę (art. 26); terytorialny zakres stosowania umowy w celu uwzględnienia szczególnej sytuacji Zjednoczonego Królestwa, Irlandii i Danii (art. 27); nieokreślony okres obowiązywania umowy (co jest uzasadnione charakterem umowy, która stanowi ramy zapewniające ochronę i zabezpieczenia, jak również w świetle możliwości zawieszenia i rozwiązania umowy) (art. 28); możliwość rozwiązania umowy przez każdą ze stron poprzez powiadomienie drugiej strony, przy założeniu, że informacje osobowe przekazane przed rozwiązaniem umowy nadal będą przetwarzane zgodnie z postanowieniami umowy ramowej (art. 29, ust. 2 i 3); wejście w życie umowy pierwszego dnia miesiąca następującego po dniu, w którym strony powiadomiły się wzajemnie o zakończeniu swoich wewnętrznych procedur związanych z jej zatwierdzeniem (art. 29, ust. 1); postanowienie dotyczące języka umowy (bezpośrednio poprzedzające podpis) stanowiące, że (i) umowa będzie podpisana w języku angielskim oraz sporządzona przez UE w pozostałych 23 językach urzędowych UE; (ii) po podpisaniu umowy zapewniona będzie możliwość uwierzytelnienia tekstu umowy w którymkolwiek z tych pozostałych języków urzędowych UE poprzez wymianę not dyplomatycznych z USA; (iii) w razie rozbieżności między autentycznymi wersjami językowymi umowy rozstrzygająca jest wersja w języku angielskim. 15 PL 2016/0126 (NLE) Wniosek DECYZJA RADY dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem RADA UNII EUROPEJSKIEJ, uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 w związku z jego art. 218 ust. 6 lit. a), uwzględniając wniosek Komisji Europejskiej, uwzględniając zgodę Parlamentu Europejskiego12, po konsultacji z Europejskim Inspektorem Ochrony Danych, a także mając na uwadze, co następuje: (1) Zgodnie z decyzją Rady [...] z dnia [...]13w dniu XX XXXX 2016 r. podpisano umowę między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem (zwaną dalej „umową”), z zastrzeżeniem jej zawarcia w późniejszym terminie. (2) Umowa ma na celu ustanowienie kompleksowych ram zasad ochrony danych i zabezpieczeń w przypadku przekazywania informacji osobowych do celów egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE lub jej państwami członkowskimi z drugiej strony. Celem umowy jest zapewnienie wysokiego poziomu ochrony danych, a tym samym poprawa współpracy między stronami. Umowa ramowa nie jest wprawdzie podstawą prawną przekazywania informacji osobowych do USA, będzie ona jednak w razie konieczności uzupełniać zabezpieczenia w zakresie ochrony danych w obowiązujących i przyszłych umowach dotyczących przekazywania danych lub w przepisach krajowych zezwalających na takie przekazywanie. (3) Unia posiada kompetencje obejmujące wszystkie postanowienia umowy. W szczególności Unia przyjęła dyrektywę 2016/XXX/UE14 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. 12 Zgoda z dnia [data] r., Dz.U. C [...] z [...], s. [...]. Dz.U. ... Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych, uchylająca decyzję ramową Rady 2008/977/WSiSW. 13 14 PL 16 PL (4) Unia Europejska posiada wyłączne kompetencje w zakresie, w jakim umowa może mieć wpływ na wspólne przepisy Unii lub może zmienić ich zakres. (5) Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, który jest załączony do TUE i TFUE, Zjednoczone Królestwo i Irlandia nie są związane postanowieniami ustanowionymi w tej umowie, dotyczącymi przetwarzania danych osobowych w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 (Współpraca sądowa w sprawach karnych) lub rozdział 5 (Współpraca policyjna) TFUE, jeżeli Zjednoczone Królestwo i Irlandia nie są związane przepisami wymagającymi zgodności z tą umową. (6) Zgodnie z art. 1 i 2 Protokołu 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszej decyzji i w związku z tym nie jest związana umową ani objęta zakresem jej stosowania. (7) Należy zatwierdzić umowę w imieniu Unii, PRZYJMUJE NINIEJSZĄ DECYZJĘ: Artykuł 1 Niniejszym zatwierdza się w imieniu Unii Europejskiej umowę między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem. Tekst umowy dołącza się do niniejszej decyzji. Artykuł 2 Przewodniczący Rady wyznacza osobę upoważnioną do dokonania, w imieniu Unii, powiadomienia, o którym mowa w art. 29 ust. 1 umowy, w celu wyrażenia zgody Unii Europejskiej na związanie się postanowieniami umowy. Artykuł 3 Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej15. Sporządzono w Brukseli dnia r. W imieniu Rady Przewodniczący 15 PL Termin wejścia w życie umowy w odniesieniu do Unii Europejskiej zostanie opublikowany w Dzienniku Urzędowym Unii Europejskiej przez Sekretariat Generalny Rady. 17 PL