PL - Ipex.eu

KOMISJA
EUROPEJSKA
Bruksela, dnia 29.4.2016 r.
COM(2016) 237 final
2016/0126 (NLE)
Wniosek
DECYZJA RADY
dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami
Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych
powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
PL
PL
UZASADNIENIE
1.
KONTEKST WNIOSKU
•
Przyczyny i cele wniosku
Grupa kontaktowa wysokiego szczebla, składająca się z urzędników wysokiego szczebla z
Komisji, prezydencji Rady i Departamentów: Sprawiedliwości, Bezpieczeństwa
Wewnętrznego i Stanu Stanów Zjednoczonych, została powołana w listopadzie 2006 r., aby
zbadać sposoby umożliwiające UE i USA bliższą i skuteczniejszą współpracę, jeśli chodzi o
wymianę informacji na temat egzekwowania prawa przy jednoczesnym zapewnieniu ochrony
danych osobowych i prywatności. W sprawozdaniu końcowym z października 2009 r.1 grupa
ta doszła do wniosku, że najlepszym rozwiązaniem będzie zawarcie umowy
międzynarodowej, zobowiązującej zarówno UE, jak i USA do przestrzegania wspólnych
zasad ochrony danych w odniesieniu do transatlantyckiego przekazywania danych w obszarze
egzekwowania prawa. Korzyścią takiego rozwiązania byłoby ustanowienie podstawowych
zasad skutecznej ochrony prywatności i danych osobowych regulujących wszelką wymianę
informacji na temat egzekwowania prawa; ponadto gwarantowałoby ono najwyższy poziom
pewności prawa.
W dniu 3 grudnia 2010 r. Rada przyjęła decyzję upoważniającą Komisję do rozpoczęcia
negocjacji dotyczących umowy między Unią Europejską i Stanami Zjednoczonymi Ameryki
w sprawie ochrony danych osobowych w przypadku ich przekazywania i przetwarzania do
celów zapobiegania przestępstwom, w tym terroryzmowi, oraz ich śledzenia, wykrywania i
ścigania, w ramach współpracy policyjnej i sądowej w sprawach karnych (zwanej dalej
„umową ramową”)2.
W dniu 28 marca 2011 r. Komisja rozpoczęła negocjacje. W dniu 8 września 2015 r. strony
parafowały tekst umowy.
Umowa ramowa ustanawia (po raz pierwszy w historii) kompleksowe ramy zasad ochrony
danych i zabezpieczeń w przypadku przekazywania informacji osobowych3 do celów
egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE lub jej
państwami członkowskimi z drugiej strony. Celem umowy jest zarówno zapewnienie
wysokiego poziomu ochrony danych, jak i poprawa współpracy między stronami. Umowa
ramowa nie jest wprawdzie podstawą prawną przekazywania informacji osobowych do USA,
będzie ona jednak w razie konieczności uzupełniać zabezpieczenia w zakresie ochrony
1
2
3
PL
Sprawozdanie grupy kontaktowej wysokiego szczebla dotyczące wymiany informacji i ochrony
prywatności i danych osobowych, Bruksela, 23 listopada 2009 r., 15851/09, JAI 822 DATAPROTECT
74 USA 102.
Wraz z wprowadzeniem reformy ochrony danych w UE oraz przyjęciem nowych zasad ochrony
prywatności UE–USA dotyczących przekazywania danych w obszarze handlu zawarcie znaczącej i
kompleksowej umowy ramowej jest podstawowym elementem strategii sformułowanej w komunikacie
Komisji dotyczącym odbudowy zaufania w przypadku przepływów danych między UE i USA
(COM(20123) 846) z dnia 27 listopada 2013 r., dostępnym na stronie http://ec.europa.eu/justice/dataprotection/files/com_2013_846_en.pdf, co zostało również potwierdzone w wytycznych politycznych
przewodniczącego Jeana-Claude'a Junckera oraz w komunikacie Komisji do Parlamentu Europejskiego
i Rady „Transatlantyckie przepływy danych: odbudowa zaufania dzięki ustanowieniu
silniejszych gwarancji”, COM(2016) 117 final z dnia 29 lutego 2016 r., dostępnym na stronie:
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf
Pojęcie „informacje osobowe” stosowane w umowie ramowej jest synonimem terminu stosowanego w
UE, tj. „dane osobowe”.
2
PL
danych w obowiązujących i przyszłych umowach dotyczących przekazywania danych lub w
przepisach krajowych zezwalających na takie przekazywanie.
Stanowi to znaczną poprawę w porównaniu z obecną sytuacją, w której informacje osobowe
są przekazywane przez Atlantyk na podstawie instrumentów prawnych (umów
międzynarodowych lub przepisów krajowych), które zasadniczo zawierają nieskuteczne
przepisy dotyczące ochrony danych osobowych lub takich przepisów w ogóle nie przewidują.
•
Spójność z przepisami obowiązującymi w tej dziedzinie polityki
Umowa ramowa zwiększy ochronę wszystkich danych osobowych osób w UE, których te
dane dotyczą, w przypadku wymiany takich danych z USA do celów egzekwowania
przepisów prawa karnego. Dzięki ustanowieniu kompleksowych ram obejmujących
gwarancje ochrony danych umowa będzie stanowiła uzupełnienie obowiązujących umów
(zarówno umów dwustronnych między państwami członkowskimi i USA, jak i umów między
UE i USA), na podstawie których dane osobowe są przesyłane do USA do celów
egzekwowania prawa, w przypadku gdy i o ile umowy te nie zapewniają wymaganego
poziomu ochrony i zabezpieczeń.
Ponadto umowa zagwarantuje „siatkę bezpieczeństwa” dla przyszłych umów między UE lub
jej państwami członkowskimi i USA, poniżej której wymagany poziom ochrony nie będzie
mógł zejść. Jest to ważna gwarancja na przyszłość i zdecydowane przejście od sytuacji
obecnej, w której zabezpieczenia, środki ochrony i prawa muszą być negocjowane od nowa w
przypadku każdej nowej umowy.
Ogólnie umowa ramowa przysporzy znacznej wartości dodanej ze względu na zwiększenie
poziomu ochrony osób w UE, których te dane dotyczą, zgodnie z wymogami unijnego prawa
pierwotnego i wtórnego. Po raz pierwszy w historii umowa wprowadzi instrument ochrony
danych obejmujący w kompleksowy i spójny sposób wszelkie przekazywanie danych w
danym obszarze (tj. transatlantyckie wymiany danych w dziedzinie współpracy policyjnej i
współpracy sądowej w sprawach karnych). Ponadto w umowie ramowej zostaną
potwierdzone w kontekście transatlantyckim ogólne wymogi dotyczące międzynarodowego
przekazywania danych określone w przyszłej dyrektywie w sprawie ochrony osób fizycznych
w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania
przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo
wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (zwanej dalej
„dyrektywą w sprawie policji”), przyjętej w dniu 14 kwietnia 2016 r.4. W świetle powyższego
umowa ramowa posłuży za precedens w przypadku możliwych podobnych umów z
pozostałymi partnerami międzynarodowymi.
•
Spójność z innymi politykami Unii
Oczekuje się, że umowa ramowa będzie miała znaczny wpływ na współpracę z policją i
organami ścigania w Stanach Zjednoczonych. Dzięki ustanowieniu wspólnych i
kompleksowych ram zawierających zasady i gwarancje dotyczące ochrony danych umowa
umożliwi organom ścigania w UE lub jej państwach członkowskich, z jednej strony, i USA, z
4
PL
Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania
przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania
kar kryminalnych oraz swobodnego przepływu tych danych, COM/2012/010 final - 2012/0010 (COD),
dostępny
na
stronie:
http://eur-lex.europa.eu/legalcontent/PL/TXT/PDF/?uri=CELEX:52012PC0010&from=en
3
PL
drugiej strony, bardziej skuteczną współpracę. Ponadto zapewni, aby obowiązujące umowy
zawierały wszystkie konieczne środki ochrony. Umożliwi to ciągłość współpracy organów
ścigania, zapewniając jednocześnie większą pewność prawa przy przekazywaniu danych.
Umowa ułatwi także zawieranie przyszłych umów w sprawie przekazywania danych z USA
w sektorze egzekwowania przepisów prawa karnego, jako że zabezpieczenia służące ochronie
danych będą już uzgodnione i nie będzie konieczne ich ponowne negocjowanie. Co więcej,
ustalenie wspólnych norm w tym kluczowym, lecz złożonym obszarze współpracy jest
ważnym osiągnięciem, które może w znacznym stopniu przyczynić się do odbudowy zaufania
w dziedzinie transatlantyckich przepływów danych.
2.
PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ
•
Podstawa prawna
Podstawą prawną niniejszego wniosku jest art. 16 TFUE w związku z art. 218 ust. 6 lit. a)
TFUE.
•
Pomocniczość
Umowa ramowa wchodzi w zakres wyłącznych kompetencji UE zgodnie z art. 3 ust. 2 TFUE.
Zasada pomocniczości nie ma zatem zastosowania.
•
Proporcjonalność
Umowa ramowa przewiduje gwarancje ochrony danych wymagane w wytycznych
negocjacyjnych Rady. Są one uznawane za niezbędne elementy zapewniające wymagany
poziom ochrony w przypadku przekazywania danych osobowych do państwa trzeciego,
zarówno na mocy Karty praw podstawowych UE, jak i zmieniającego się dorobku prawnego
UE. Ani znacznie mniejszego zestawu takich gwarancji, ani instrumentu o mniejszej mocy
wiążącej nie można było uznać za wystarczające do zapewnienia takiego poziomu ochrony.
Wniosek nie wykracza zatem poza to, co jest niezbędne do osiągnięcia celu politycznego,
jakim jest ustanowienie ram ochrony danych osobowych w przypadku ich przekazywania
między Stanami Zjednoczonymi, z jednej strony, a Unią Europejską lub jej państwami
członkowskimi, z drugiej strony, w kontekście egzekwowania prawa.
•
Wybór instrumentu
Ustanowienie wiążących ram ochrony danych osobowych, które będą uzupełniały
obowiązujące umowy i będą stanowiły podstawę dla przyszłych umów, może być zapewnione
jedynie dzięki umowie międzynarodowej zawartej między UE i Stanami Zjednoczonymi.
Ponadto, jak podkreślono w sprawozdaniu grupy kontaktowej wysokiego szczebla z
października 2009 r., umowa międzynarodowa gwarantuje najwyższy poziom pewności
prawa.
3.
WYNIKI OCEN EX-POST, KONSULTACJI Z ZAINTERESOWANYMI
STRONAMI I OCEN SKUTKÓW
•
Oceny ex-post/kontrole sprawności obowiązującego prawodawstwa
Nie dotyczy.
PL
4
PL
•
Konsultacje z zainteresowanymi stronami
Komisja regularnie składała specjalnemu komitetowi Rady pisemne i ustne sprawozdania
dotyczące postępów w negocjacjach. Również Parlament Europejski był regularnie
informowany o postępach, zarówno w formie pisemnej, jak i ustnej, za pośrednictwem
Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych.
•
Gromadzenie i wykorzystanie wiedzy eksperckiej
Inicjatywa stanowi realizację wytycznych negocjacyjnych Rady z dnia 3 grudnia 2010 r.
•
Ocena skutków
Ocena skutków nie była konieczna. Umowa będąca przedmiotem wniosku jest zgodna z
wytycznymi negocjacyjnymi Rady.
•
Sprawność regulacyjna i uproszczenie
Nie dotyczy.
•
Prawa podstawowe
Postanowienia umowy ramowej mają na celu ochronę podstawowego prawa do ochrony
danych osobowych i prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu,
jak zapisano odpowiednio w art. 8 i art. 47 Karty praw podstawowych Unii Europejskiej.
4.
WPŁYW NA BUDŻET
Umowa będąca przedmiotem wniosku nie ma wpływu na budżet.
5.
ELEMENTY FAKULTATYWNE
•
Plany wdrożenia i monitorowanie, ocena i sprawozdania
Wdrożenie umowy przez państwa członkowskie będzie niezbędne, lecz nie przewiduje się
konieczności wprowadzenia większych zmian w przepisach krajowych, jako że
postanowienia materialne umowy ramowej w znacznym stopniu odzwierciedlają zasady,
które już obowiązują w odniesieniu do organów UE lub organów krajowych na mocy prawa
UE lub prawa krajowego.
•
Szczegółowe objaśnienia poszczególnych postanowień wniosku
Umowa ramowa, zgodnie z wytycznymi negocjacyjnymi Rady, obejmuje pięć kategorii
postanowień: (i) postanowienia horyzontalne; (ii) zasady ochrony danych i związane z tym
zabezpieczenia; (iii) prawa osób fizycznych; (iv) aspekty dotyczące stosowania umowy i
nadzoru; oraz (v) postanowienia końcowe.
(i)
Postanowienia horyzontalne
(i) Cel umowy (Artykuł 1)
Aby osiągnąć cel umowy (tj. zapewnić wysoki poziom ochrony informacji osobowych oraz
poprawić współpracę w obszarze egzekwowania prawa), umowa ramowa ustanawia ramy
ochrony informacji osobowych w przypadku ich przekazywania między USA, z jednej strony,
a UE lub jej państwami członkowskimi, z drugiej strony, do celów zapobiegania
przestępstwom, w tym terroryzmowi, ich śledzenia, wykrywania i ścigania albo wykonywania
PL
5
PL
kar kryminalnych. Odniesienie do pojęcia „zapobieganie przestępstwom, ich śledzenie,
wykrywanie i ściganie albo wykonywanie kar kryminalnych” (zwanego dalej łącznie
„egzekwowaniem prawa”) zapewnia zgodność umowy z konstrukcją obecnego i przyszłego
dorobku prawnego UE w zakresie ochrony danych (w szczególności z rozdzielnością
rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i swobodnym przepływem takich danych („ogólnego rozporządzenia o ochronie
danych”5) i „dyrektywy w sprawie policji” pod względem zakresu tych aktów).
Dzięki określeniu, że sama umowa ramowa nie jest podstawą prawną dla jakiegokolwiek
przekazywania informacji osobowych oraz że zawsze wymagana jest (oddzielna) podstawa
prawna, w art. 1 wyjaśniono, iż umowa ramowa jest prawdziwą umową w sprawie
przestrzegania praw podstawowych ustanawiającą zestaw środków ochronnych i
zabezpieczających mających zastosowanie do takiego przekazywania.
(ii) Definicje (Artykuł 2)
Podstawowe pojęcia zastosowane w umowie ramowej zostały zdefiniowane w art. 2.
Definicje dotyczące informacji osobowych, przetwarzania informacji osobowych, stron,
państwa członkowskiego i właściwego organu są zgodne pod kątem merytorycznym z
definicjami tych pojęć określonymi w innych umowach między UE i USA lub w dorobku
prawnym UE w zakresie ochrony danych.
(iii) Zakres umowy (Artykuł 3)
W art. 3 umowy ramowej określono zakres umowy ramowej. W artykule tym zapewnia się,
aby środki ochrony i zabezpieczenia przewidziane w umowie ramowej miały zastosowanie do
wszystkich rodzajów wymian danych odbywających się w kontekście transatlantyckiej
współpracy organów ścigania w sprawach karnych. Obejmuje to przekazywanie na podstawie
przepisów krajowych, umów między UE i USA (np. ·traktatu o pomocy prawnej UE-USA),
umów między państwami członkowskimi i USA ( ·traktatów o pomocy prawnej, porozumień
o zacieśnieniu współpracy w zakresie zapobiegania poważnej przestępczości i jej zwalczania,
porozumień lub ustaleń w sprawie informacji antyterrorystycznych), jak również konkretnych
umów umożliwiających przekazywanie danych osobowych przez podmioty prywatne do
celów egzekwowania prawa (np. na mocy umowy UE-USA w sprawie danych dotyczących
przelotu pasażera6 (PNR) oraz w ramach Programu śledzenia środków finansowych
należących do terrorystów7 (TFTP)). Zakres jest sformułowany pod kątem przekazywania
danych, tj. obejmuje zasadniczo wszystkie formy przekazywania danych do celów
egzekwowania przepisów prawa karnego między UE i USA, niezależnie od obywatelstwa lub
miejsca pobytu przedmiotowej osoby, której dotyczą dane.
5
6
7
PL
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o
ochronie danych), COM(2012) 11 final 2012/0011 (COD), dostępne na stronie:
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_pl.pdf
Umowa między Stanami Zjednoczonymi Ameryki a Unią Europejską o wykorzystywaniu danych
dotyczących przelotu pasażera oraz przekazywaniu takich danych do Departamentu Bezpieczeństwa
Wewnętrznego Stanów Zjednoczonych, Dz.U. L 215 z 11.8.2012, s. 5.
Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu
z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu
śledzenia środków finansowych należących do terrorystów, Dz.U. L 195 z 27.7.2010, s. 5.
6
PL
Umowa ramowa nie będzie obejmowała przekazywania danych osobowych (ani innych form
współpracy) między organami z USA i państw członkowskich odpowiedzialnymi za
zapewnienie bezpieczeństwa narodowego.
(iv) Niedyskryminacja (Artykuł 4)
Artykuł 4 stanowi, że każda strona wdroży umowę ramową, nie stosując żadnej arbitralnej lub
nieuzasadnionej dyskryminacji między obywatelami własnego kraju i obywatelami kraju
drugiej strony.
Artykuł ten uzupełnia i wzmacnia inne postanowienia umowy (w szczególności artykuły
ustanawiające zabezpieczenia dla osób fizycznych, takie jak dostęp do danych, możliwość ich
sprostowania i administracyjne środki zaskarżenia, zob. poniżej), jako że zapewnia
traktowanie obywateli europejskich zasadniczo na równi z obywatelami USA w przypadku
praktycznego wdrażania postanowień umowy przez organy z USA.
(v) Skutki umowy (Artykuł 5)
Jeśli chodzi o obowiązujące umowy między UE lub jej państwami członkowskimi i USA,
umowa ramowa uzupełni je w razie konieczności, tj. w przypadku gdy i o ile brak w nich
będzie niezbędnych zabezpieczeń służących ochronie danych8.
Skuteczne wdrożenie umowy ramowej (a w szczególności artykułów dotyczących praw osób
fizycznych) jest oparte na założeniu zgodności z mającymi zastosowanie międzynarodowymi
przepisami dotyczącymi przekazywania danych. To założenie nie jest ani automatyczne, ani
ogólne oraz — jak wszystkie założenia — może zostać obalone. Nie jest to założenie
automatyczne, ponieważ jego spełnienie wyraźnie zależy od skutecznego wdrożenia umowy
ramowej przez USA, a bardziej konkretnie – jak bezpośrednio wynika z art. 5 ust. 2 – od
skutecznego wdrożenia artykułów dotyczących praw osób fizycznych (w szczególności w
zakresie dostępu do danych, możliwości ich sprostowania i administracyjnych środków
zaskarżenia). Nie jest to również założenie ogólne: jako że umowa ramowa nie jest
samodzielnym instrumentem umożliwiającym przekazywanie danych, takie założenie z
konieczności jest analizowane indywidualnie dla poszczególnych przypadków, tj. przez
ocenę, czy połączenie umowy ramowej i konkretnej podstawy prawnej umożliwiającej
przekazywanie zapewnia poziom ochrony zgodny z unijnymi przepisami dotyczącymi
ochrony danych. Innymi słowy, inaczej niż w przypadku ustalenia dotyczącego adekwatności,
postanowienie to nie przewiduje blokowego uznania poziomu ochrony zapewnianej w USA
jako takiej ani ogólnego zezwolenia na przekazywanie informacji.
(ii)
Zasady ochrony danych i związane z tym zabezpieczenia
Opisane poniżej artykuły obejmują istotne zasady regulujące przetwarzanie danych
osobowych, jak również kluczowe zabezpieczenia i ograniczenia.
(i) Celowość i ograniczenia stosowania (Artykuł 6)
Zgodnie z Kartą praw podstawowych UE i dorobkiem prawnym UE art. 6 nakłada obowiązek
stosowania zasady celowości do wszelkiego przekazywania danych osobowych objętego
8
PL
W czwartym motywie preambuły wskazano, iż umowa ramowa nie zmienia, warunkuje ani w inny
sposób nie odstępuje od umów zapewniających odpowiedni poziom ochrony danych, z wyjątkiem
postanowienia dotyczącego sądowych środków zaskarżenia w art. 19, które również ma do nich
zastosowanie. Dotyczy to umów PNR i TFTP.
7
PL
umową ramową, zarówno w przypadku przekazywania w odniesieniu do konkretnych
przypadków, jak i w przypadku, gdy USA i UE lub jej państwa członkowskie zawierają
umowę zezwalającą na zbiorcze przekazywanie danych osobowych. Przetwarzanie
(obejmujące przekazywanie) może mieć miejsce jedynie w wyraźnie określonych i prawnie
uzasadnionych celach w ramach zakresu umowy ramowej, tj. w celach zapobiegania
przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo
wykonywania kar kryminalnych, w tym w odniesieniu do terroryzmu.
Ponadto dalsze przetwarzanie informacji osobowych przez organy (ścigania, regulacyjne lub
administracyjne) inne niż pierwszy organ danej strony otrzymujący dane jest możliwe pod
warunkiem, że przetwarzanie to nie jest niezgodne z celami, dla których dane zostały
pierwotnie przekazane, oraz że ten inny organ spełnia wszystkie pozostałe postanowienia
umowy ramowej.
W szczególnych przypadkach właściwy organ odpowiedzialny za przekazanie może również
nałożyć dodatkowe warunki (np. dotyczące wykorzystania danych).
Ponadto informacje osobowe mogą być przetwarzane tylko wtedy, gdy są bezpośrednio
zgodne z celami tego przetwarzania oraz nie wykraczają poza te cele i nie są nadmiernie
szerokie w stosunku do tych celów.
Artykuł 6 stanowi kluczowe postanowienie umowy: zapewnia stosowanie zabezpieczeń przez
cały „cykl życia” zestawu danych od momentu pierwotnego przekazania danych z UE do
chwili ich przetwarzania przez właściwe organy w USA i odwrotnie, jak również podczas
możliwej dalszej wymiany lub dalszego przetwarzania przez inny organ USA lub —– w
przypadku przekazywania danych z USA do właściwego organu UE lub (jednego z) jej
państw członkowskich – podczas możliwej dalszej wymiany lub dalszego przetwarzania
przez inny organ UE lub jej państwa członkowskiego.
(ii) Dalsze przekazywanie informacji (Artykuł 7)
Ograniczenie dalszego przekazywania danych, jak określono w art. 7, oznacza, że w
przypadku, gdy organ USA zamierza przekazać dalej dane – które otrzymał z UE lub jednego
z jej państw członkowskich – państwu trzeciemu lub organizacji międzynarodowej, które nie
podlegają umowie, będzie musiał najpierw uzyskać zgodę organu ścigania w UE, który
dokonał pierwotnego przekazania danych do Stanów Zjednoczonych. Zasada ta ma również
zastosowanie w przypadku, gdy organ UE lub jednego z jej państw członkowskich zamierza
przekazać dalej dane, które otrzymał z USA, państwu trzeciemu lub organizacji
międzynarodowej.
Podejmując decyzję o wyrażeniu zgody na dalsze przekazanie danych, organ, który dokonał
pierwotnego przekazania, będzie musiał uwzględnić wszystkie istotne czynniki, w tym cel,
dla którego pierwotnie przekazano dane, oraz fakt, czy państwo trzeci lub organizacja
międzynarodowa zapewnia odpowiedni poziom ochrony informacji osobowych. Może także
objąć transfer szczególnymi warunkami.
Ponadto – w odniesieniu do artykułów dotyczących celowości (zob. poniżej art. 6), okresów
zatrzymywania informacji (zob. poniżej art. 12) i danych wrażliwych (zob. poniżej art. 13) –
w artykule tym wyraźnie uwzględniono szczególną wrażliwość zbiorczego przekazywania
danych dotyczących osób, na których nie ciąży podejrzenie (np. dane PNR każdego pasażera
odbywającego lot, niezależnie od tego, czy istnieje wobec niego jakiekolwiek konkretne
podejrzenie), poprzez zawarcie wymogu, zgodnie z którym wszelkie dalsze przekazywanie
PL
8
PL
informacji osobowych, „innych niż dotyczących konkretnych spraw”, może się odbywać
jedynie po spełnieniu szczególnych warunków określonych w umowie, które należycie
uzasadniają dalsze przekazywanie tych informacji.
Szczególny przypadek dalszego przekazywania danych do innego państwa w UE (np.
francuska policja dzieli się z niemiecką policją informacjami otrzymanymi od FBI z USA)
również został uwzględniony w tym artykule (ust. 4) dzięki zapisowi, że jeżeli według
mających zastosowanie przepisów takie przekazanie wymaga uprzedniej zgody, organ, który
pierwotnie przesłał informacje (np. FBI z USA), nie będzie mógł odmówić zgody na takie
przekazanie ani nałożyć na takie przekazanie szczególnych warunków z powodu ochrony
danych (jako że wszystkie organy w tym przypadku podlegają umowie ramowej).
(iii) Jakość i integralność informacji (Artykuł 8)
Strony podejmą rozsądne działania, aby przekazane dane osobowe były przechowywane z
taką trafnością, terminowością, kompletnością i dokładnością, jakie są konieczne i
odpowiednie do zgodnego z prawem przetwarzania informacji. Jeśli organ otrzymujący lub
przekazujący informacje stwierdzi poważne wątpliwości co do trafności, terminowości,
kompletności i dokładności danych osobowych, które otrzymał lub przekazał, powiadamia o
tym, o ile to możliwe, właściwy organ przekazujący lub otrzymujący dane.
(iv) Bezpieczeństwo informacji (Artykuł 9) i Zgłoszenie
bezpieczeństwem informacji (Artykuł 10)
incydentu
związanego
z
Te artykuły przyczyniają się do zapewnienia wysokiego poziomu bezpieczeństwa danych
osobowych podlegających wymianie między stronami umowy ramowej.
Po pierwsze, zgodnie z art. 9, strony zapewniają wprowadzenie odpowiednich uzgodnień
technicznych, uzgodnień w zakresie bezpieczeństwa i uzgodnień organizacyjnych w celu
ochrony informacji osobowych przed wystąpieniem przypadkowego lub nielegalnego
zniszczenia, przypadkowej utraty lub nieuprawnionego dostępu do informacji osobowych, ich
nieuprawnionego ujawnienia, modyfikacji lub innej formy przetwarzania. Ustalenia te
obejmują również zapis, zgodnie z którym dostęp do danych osobowych będzie przyznawany
jedynie upoważnionym pracownikom.
Po drugie, zgodnie z art. 10, w przypadku incydentu związanego z bezpieczeństwem, w
wyniku którego występuje znaczne ryzyko wystąpienia szkody, należy niezwłocznie podjąć
odpowiednie działania, aby złagodzić szkodę, w tym powiadomić organ przekazujący
informacje oraz, w przypadkach uzasadnionych okolicznościami incydentu, osobę, której
dane dotyczą. Wyjątki od obowiązku powiadamiania są wymienione w sposób wyczerpujący
w tym postanowieniu i odpowiadają rozsądnym ograniczeniom (np. z powodów
bezpieczeństwa narodowego).
(v) Przechowywanie dokumentacji (Artykuł 11)
Strony ustanawiają skuteczne metody (takie jak rejestry) wykazywania zgodności z prawem
operacji przetwarzania i wykorzystywania informacji osobowych.
Wymóg ten stanowi znaczące zabezpieczenie dla osób fizycznych, jako że obarcza organy
ścigania prawa ciężarem wykazania, że przedmiotowa operacja przetwarzania danych została
przeprowadzona zgodnie z prawem. Obowiązek udokumentowania operacji przetwarzania
danych w szczególności powoduje, że w przypadku nielegalnego przetwarzania danych
PL
9
PL
będzie istniał „ślad”. Powinno to ułatwić rozpatrywanie skarg oraz składanie wniosków
dotyczących legalności operacji przetwarzania danych.
(vi) Okres zatrzymywania danych (Artykuł 12)
Przetwarzanie danych będzie podlegało szczególnym okresom zatrzymywania danych, aby
zagwarantować, że dane nie będą przechowywane przez czas dłuższy niż jest to konieczne i
właściwe. Aby określić długość takich okresów zatrzymywania danych, należy wziąć pod
uwagę szereg elementów, w szczególności cel przetwarzania lub wykorzystania danych,
charakter danych oraz wpływ na prawa i interesy osób, których dane dotyczą.
W artykule określono również, że jeśli strony zawierają umowę o zbiorczym przekazywaniu
danych, umowa ta musi zawierać szczególny zapis dotyczący obowiązującego okresu
zatrzymywania danych. Przyjmując to postanowienie, strony akceptują zasadę, zgodnie z
którą umowy o zbiorczym przekazywaniu powinny zawierać określony okres zatrzymywania
danych, dzięki czemu nie będzie konieczne jego ponowne negocjowanie.
Okresy zatrzymywania danych będą podlegały okresowym przeglądom, aby ustalić, czy
zmiana okoliczności wymaga jakiejkolwiek zmiany obowiązującego okresu zatrzymywania
danych.
Aby zachować przejrzystość, długość okresów zatrzymywania danych będzie publikowana
lub w inny sposób podawana do wiadomości publicznej.
(vii)
Specjalne kategorie danych (Artykuł 13)
Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne lub przekonania religijne lub inne, członkostwo w związkach zawodowych lub
informacji osobowych dotyczących zdrowia lub życia seksualnego może następować jedynie
przy zachowaniu odpowiednich zabezpieczeń przewidzianych prawem (np. zamaskowanie
informacji po osiągnięciu celu, dla którego przetwarzano dane, lub wymóg wyrażenia zgody
przez organ nadzoru na udostępnienie informacji).
W umowach zezwalających na zbiorcze przekazywanie danych osobowych konieczne będzie
sprecyzowanie norm i warunków, po spełnieniu których możliwe będzie przetworzenie
szczególnych kategorii danych.
Postanowienia dotyczące specjalnych kategorii danych są spójne z wymogiem, zgodnie z
którym przetwarzanie jest bezpośrednio zgodne z celami tego przetwarzania oraz nie
wykracza poza te cele na podstawie art. 6 dotyczącego celowości i ograniczeń stosowania.
(viii) Decyzje zautomatyzowane (Artykuł 15)
Przetwarzanie danych, które może prowadzić do decyzji mającej negatywne skutki dla osoby
fizycznej (np. w kontekście profilowania), nie może się opierać jedynie na
zautomatyzowanym przetwarzaniu informacji osobowych, chyba że jest to dozwolone na
podstawie prawa krajowego oraz pod warunkiem, że zapewniono właściwe zabezpieczenia, w
tym istnieje możliwość uzyskania interwencji ludzkiej.
(ix) Przejrzystość (Artykuł 20)
PL
10
PL
Osoby fizyczne są uprawnione do otrzymywania informacji (za pośrednictwem ogólnych lub
indywidualnych zawiadomień oraz przy zachowaniu „uzasadnionych ograniczeń”)
dotyczących celu przetwarzania i możliwego dalszego wykorzystania ich danych osobowych,
przepisów lub zasad regulujących takie przetwarzanie, tożsamości osób trzecich, którym
zostaną ujawnione ich dane osobowe, jak również dostępnych mechanizmów dostępu do
danych, ich sprostowania i środków zaskarżenia.
Podnoszenie świadomości osób fizycznych na temat tego, kiedy i przez kogo przetwarzane są
dotyczące ich dane, przyczynia się do umożliwienia osobom fizycznym wykonywania ich
prawa dostępu do danych, sprostowania danych lub wniesienia środków zaskarżenia (zob.
poniżej art. 16–19).
(iii)
Prawa osób fizycznych
Te prawa mają szczególne znaczenie dla ochrony osób, których dane dotyczą i które po raz
pierwszy będą miały możliwość skorzystania z praw ogólnego zastosowania w odniesieniu do
dowolnego transatlantyckiego przekazywania danych osobowych w obszarze egzekwowania
przepisów prawa karnego.
(i) Dostęp do danych i ich sprostowanie (Artykuł 16 i 17)
Prawo dostępu do danych upoważnia każdą osobę fizyczną do zażądania i uzyskania dostępu
do dotyczących jej danych osobowych. Powody ograniczenia dostępu są określone w sposób
wyczerpujący i odpowiadają uzasadnionym ograniczeniom (np. zapewnienie bezpieczeństwa
narodowego, uniemożliwienie utrudniania dochodzeń i śledztw w sprawach karnych, ochrona
praw i wolności innych osób). Uzyskanie dostępu do danych nie może być powiązane z
nadmiernymi wydatkami dla osoby, której dane dotyczą.
Prawo do sprostowania danych umożliwia wszystkim osobom fizycznym złożenie wniosku o
korektę lub sprostowanie ich danych osobowych w przypadku, gdy dane te są niedokładne lub
zostały przetworzone w niewłaściwy sposób. Może to obejmować uzupełnienie danych, ich
usunięcie, zablokowanie lub inne środki lub metody mające na celu usunięcie niedokładności
lub zaprzestanie niewłaściwego przetwarzania.
Jeśli właściwy organ kraju otrzymującego dane stwierdzi – na wniosek osoby fizycznej, na
skutek zawiadomienia od podmiotu przekazującego informacje osobowe lub w wyniku
własnego dochodzenia – że informacje są niedokładne lub zostały niewłaściwie przetworzone,
organ ten podejmuje środki w postaci uzupełnienia, usunięcia, zablokowania danych lub inne
środki służące korekcie lub sprostowaniu.
Jeśli zezwala na to prawo krajowe, każda osoba fizyczna jest uprawniona do upoważnienia
organu nadzoru (tj. krajowego organu ochrony danych właściwego dla osoby w UE, której
dane dotyczą) do złożenia w jej imieniu wniosku o dostęp do danych lub ich sprostowanie Ta
możliwość bezpośredniego wykonywania praw za pośrednictwem organu i w ramach systemu
prawnego, który jest znany osobom, których dane dotyczą, powinna w konkretny sposób
ułatwić tym osobom wykonywanie swoich praw.
W przypadku odmowy lub ograniczenia dostępu do danych lub ich sprostowania organ, do
którego złożono wniosek, udziela osobie fizycznej (lub jej należycie upoważnionemu
przedstawicielowi) odpowiedzi zawierającej powody odmowy lub ograniczenia dostępu do
danych lub ich sprostowania. Obowiązek udzielenia osobie fizycznej uzasadnionej
odpowiedzi ma na celu umożliwienie i ułatwienie wykonywania jej praw do wniesienia
PL
11
PL
administracyjnych i sądowych środków zaskarżenia w przypadku odmowy lub ograniczenia
dostępu/sprostowania przez przedmiotowy organ ścigania.
(ii) Administracyjne środki zaskarżenia (Artykuł 18)
W przypadku, gdy osoba fizyczna nie zgadza się z decyzją dotyczącą jej wniosku o dostęp do
danych osobowych lub ich sprostowanie, jest ona uprawniona do wniesienia
administracyjnego środka zaskarżenia. Jeśli chodzi o prawo dostępu do danych oraz ich
sprostowania, aby skutecznie wykonywać to prawo, przedmiotowa osoba, której dane
dotyczą, jest uprawniona do upoważnienia w tym zakresie organu nadzoru (tj. krajowego
organu ochrony danych właściwego dla osoby w UE, której dane dotyczą) lub innego
przedstawiciela, jeśli jest to dozwolone na mocy obowiązujących przepisów krajowych.
Organ, do którego się zwrócono, udzieli przedmiotowej osobie, której dane dotyczą,
odpowiedzi na piśmie, w której wskaże, w stosownych przypadkach, podjęte działania
usprawniające lub naprawcze.
(ii) Sądowe środki zaskarżenia (Artykuł 19)
Obywatele państw każdej ze stron mogą złożyć w sądzie skargę dotyczącą i) odmowy dostępu
do danych, ii) odmowy sprostowania danych lub iii) nielegalnego ujawnienia danych przez
organy drugiej strony.
Po stronie USA zostało to odzwierciedlone w ustawie o sądowych środkach odwoławczych
podpisanej przez prezydenta Baracka Obamę w dniu 24 lutego 2016 r. Umowa ta rozszerzy
obowiązywanie tych trzech powodów wniesienia sądowych środków zaskarżenia określonych
w amerykańskiej ustawie o prywatności z 1974 r., które są obecnie ograniczone do obywateli
USA i stałych rezydentów, na obywateli „państw objętych ustawą”9. W czwartym motywie
preambuły umowy ramowej wyjaśniono, że to rozszerzenie będzie również obejmowało dane
przekazywane na mocy takich umów, jak PNR i TFTP. Wraz z przyjęciem ustawy o
sądowych środkach odwoławczych artykuł 19 znacznie zwiększy zatem ochronę sądową
obywateli UE.
Mimo że ustawa o sądowych środkach odwoławczych zawiera szereg ograniczeń (w
szczególności będzie ona miała zastosowanie jedynie do danych dotyczących obywateli
„państw objętych ustawą” – których dane zostały przekazane przez organy ścigania prawa z
UE – zwłaszcza do obywateli UE, lecz nie tylko), w art. 19 umowy ramowej uwzględniono
od dawna wysuwany postulat UE.
Postanowienie to odpowiada wytycznym politycznym przewodniczącego Jeana-Claude'a
Junckera, zgodnie z którymi „USA muszą [...] zagwarantować, by wszyscy obywatele UE
mogli korzystać z przysługujących im praw do ochrony danych także i w sprawach toczących
się przed amerykańskimi sądami, niezależnie od tego, czy zamieszkują na terytorium Stanów
9
PL
Zgodnie z ustawą o sądowych środkach odwoławczych „państwo objęte ustawą” to państwo, i) które
zawarło z USA umowę zapewniającą odpowiednie środki ochrony prywatności w przypadku wymiany
informacji do celów egzekwowania prawa (lub które dokonało skutecznej wymiany informacji do
celów egzekwowania prawa i posiada odpowiednie środki ochrony prywatności dla takich informacji
podlegających wymianie); ii) które zezwala na przekazywanie danych osobowych do celów
handlowych na podstawie umowy z USA lub za pomocą innych środków; iii) którego polityka
dotycząca przekazywania danych osobowych do celów handlowych nie ma istotnego wpływu na
interesy bezpieczeństwa narodowego Stanów Zjednoczonych. Status „państwa objętego ustawą”
przyznaje prokurator generalny USA.
12
PL
Zjednoczonych. Zlikwidowanie takiej dyskryminacji jest niezbędne dla odbudowy zaufania w
relacjach transatlantyckich”. Podobnie postanowienie to odpowiada rezolucji Parlamentu
Europejskiego z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich
programów nadzoru, w której Parlament zwrócił się o bezzwłoczne wznowienie negocjacji z
USA dotyczących umowy ramowej, aby „prawa obywateli UE były traktowane na równi z
prawami obywateli Stanów Zjednoczonych (...)” oraz aby zapewnić „skuteczne i możliwe do
wyegzekwowania (...) sądowe środki odwoławcze dla wszystkich obywateli UE w Stanach
Zjednoczonych bez jakiejkolwiek dyskryminacji”10.
W art. 19 ust. 3 wyjaśniono, że rozszerzenie trzech wyżej wymienionych sądowych środków
zaskarżenia jest bez uszczerbku dla innych możliwości wniesienia sądowych środków
odwoławczych dostępnych w odniesieniu do przetwarzania danych (np. na mocy ustawy o
procedurze administracyjnej, ustawy o prywatności w kontekście łączności elektronicznej lub
ustawy o swobodnym dostępie do informacji). Te inne podstawy prawne wniesienia
sądowych środków zaskarżenia są otwarte dla wszystkich osób z UE, których dane dotyczą,
objętych przekazywaniem danych do celów egzekwowania prawa, niezależnie od ich
obywatelstwa lub miejsca pobytu.
(iv)
Aspekty dotyczące stosowania umowy ramowej i nadzoru
(i) Rozliczalność (Artykuł 14)
Należy wprowadzić środki propagujące odpowiedzialność organów przetwarzających dane
osobowe objęte umową ramową. W szczególności jeśli dane osobowe są dalej przekazywane
przez organ otrzymujący innym organom, organy te powinny być powiadamiane o
zabezpieczeniach obowiązujących na mocy tej umowy, jak również o możliwych
dodatkowych warunkach (ograniczających), które nałożono na przekazanie zgodnie z art. 6
ust. 3 (dotyczącym celowości i ograniczeń stosowania). Na poważne uchybienia należy
reagować za pomocą odpowiednich i odstraszających sankcji karnych, cywilnych lub
administracyjnych.
Środki na rzecz propagowania odpowiedzialności obejmują również, w stosownych
przypadkach, wstrzymanie dalszego przekazywania danych osobowych do podmiotów stron,
które to podmioty nie są objęte umową ramową, jeśli nie zapewniają one skutecznej ochrony
informacji osobowych w świetle celu umowy (a w szczególności postanowień dotyczących
celowości i dalszego przekazywania). Postanowienie to uwzględnia sytuację, w której dane
osobowe są przesyłane przez organ UE do organu federalnego w USA (tj. organu objętego
umową), a następnie dalej przekazywane organowi egzekwowania prawa na szczeblu
stanowym. Na mocy obowiązujących zasad konstytucyjnych USA mają ograniczone
możliwości nałożenia na swoje stany wiążących przepisów na szczeblu międzynarodowym11.
Aby zachować ciągłość ochrony danych przekazanych do agencji federalnych w USA, a
następnie przesłanych do organów ścigania prawa na szczeblu stanowym, artykuł ten (i)
uwzględnia w swoim zakresie „inne organy” stron (tj. organy nieobjęte zakresem tej umowy,
10
11
PL
Zob. pkt 57 i lit. BJ rezolucji Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie
realizowanych przez NSA amerykańskich programów nadzoru, organów nadzoru w różnych państwach
członkowskich oraz ich wpływu na prawa podstawowe obywateli UE oraz na współpracę
transatlantycką w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych (2013/2188(INI),
dostępnej na stronie http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7TA-2014-0230+0+DOC+XML+V0//PL
W przypadku republiki federalnej istnieje podział władzy między rządem federalnym i rządami
poszczególnych stanów (zob. również w tym względzie art. 5 ust. 2 umowy ramowej).
13
PL
takie jak organy stanowe w USA); (ii) przewiduje, że będą one informowane o
zabezpieczeniach zapewnionych na podstawie umowy ramowej; oraz (iii) przewiduje, że
przekazywanie do takich organów zostanie w razie konieczności wstrzymane, jeśli organy te
nie będą zapewniały skutecznej ochrony danych osobowych w świetle celu umowy ramowej,
a w szczególności w kontekście artykułów dotyczących celowości i dalszego przekazywania.
Poprzez dążenie do zapewnienia, aby właściwe organy egzekwowania prawa odpowiadały za
przestrzeganie postanowień umowy ramowej, artykuł ten jest istotnym elementem
skutecznego systemu egzekwowania prawa i nadzoru w ramach umowy. Ułatwi on również
składanie wniosków przez osoby fizyczne w przypadku uchybień (i związanej z nimi
odpowiedzialności organów publicznych).
Ponadto organy UE będą miały możliwość wyrażenia wątpliwości wobec swoich
odpowiedników z USA i będą mogły otrzymać od nich informacje na temat tego, w jaki
sposób przestrzegają one swoich obowiązków wynikających z art. 14 (w tym na temat
środków podjętych w tym względzie). Również w kontekście wspólnych przeglądów (zob.
art. 23 poniżej) szczególna uwaga zostanie poświęcona skutecznemu wdrożeniu tego
artykułu.
(ii) Skuteczny nadzór (Artykuł 21)
Strony posiadają co najmniej jeden organ publiczny wypełniający niezależne funkcje nadzoru
i wykonujący uprawnienia w tym zakresie, obejmujące między innymi przegląd, dochodzenia
i podejmowanie interwencji. Organy te mają prawo do przyjmowania i rozpatrywania skarg
od osób fizycznych, dotyczących wdrażania umowy ramowej, oraz przekazywania
przypadków naruszenia prawa związanych z tą umową do celów ścigania lub wszczęcia
postępowania dyscyplinarnego. Ze względu na właściwości systemu USA funkcje nadzoru,
które w UE wypełniają organy ochrony danych, będą tam sprawowane łącznie przez organy
nadzoru (w tym głównych urzędników ds. ochrony prywatności, inspektorów generalnych,
komisje nadzoru prywatności i swobód obywatelskich itp.).
Artykuł ten uzupełnia zabezpieczenia dostępne na podstawie postanowień dotyczących
dostępu do danych, ich sprostowania i administracyjnych środków zaskarżenia. W
szczególności umożliwia on osobom fizycznym wnoszenie do niezależnych organów skarg w
odniesieniu do wdrażania umowy ramowej przez drugą stronę.
(iii) Współpraca między organami nadzoru (Artykuł 22)
Organy nadzoru będą współpracowały w celu zapewnienia skutecznego wdrożenia umowy, w
szczególności w odniesieniu do systemu pośredniego wykonywania praw osób fizycznych w
zakresie dostępu do danych, ich sprostowania i wniesienia administracyjnych środków
zaskarżenia (zob. art. 16–18 poniżej).
Ponadto należy ustanowić krajowe punkty kontaktowe, które będą pomagać w ustalaniu
organu nadzoru, do którego należy zwrócić się w danej sprawie. Szczególnie ze względu na
istnienie kilku organów nadzoru w USA ustanowienie centralnego „punktu obsługi” dla
wniosków o pomoc i współpracę ma przyczynić się do skutecznego rozpatrywania tych
wniosków.
(iv) Wspólny przegląd (Artykuł 23)
PL
14
PL
Strony będą dokonywały okresowych wspólnych przeglądów wdrażania i skuteczności
umowy ramowej, poświęcając szczególną uwagę skutecznemu wdrażaniu artykułów
dotyczących praw osób fizycznych (dostęp do danych, sprostowanie, wniesienie
administracyjnych i sądowych środków zaskarżenia), jak również kwestii przekazywania do
jednostek terytorialnych nieobjętych umową (tj. poszczególnych stanów w USA). Pierwszy
wspólny przegląd przeprowadzony zostanie nie później niż trzy lata od daty wejścia w życie
niniejszej umowy, a następne w regularnych odstępach czasu.
W skład odpowiednich delegacji powinni wchodzić przedstawiciele zarówno organów
ochrony danych, jak i organów egzekwowania prawa / organów sądowych, a ustalenia
poczynione w trakcie wspólnych przeglądów należy publikować.
(v)
Postanowienia końcowe
Umowa ramowa zawiera szereg postanowień końcowych dotyczących następujących
elementów:
PL

powiadomienie drugiej strony o wszelkich aktach prawnych, które w istotny sposób
wpływają na wdrożenie umowy. USA będą w szczególności powiadamiać UE o
wszelkich środkach związanych ze stosowaniem przepisów ustawy o sądowych
środkach odwoławczych (art. 24);

konsultacje w przypadku sporów dotyczących sposobu interpretacji lub stosowania
umowy (art. 25);

możliwość zawieszenia umowy przez jedną ze stron w przypadku istotnego
naruszenia postanowień umowy przez drugą stronę (art. 26);

terytorialny zakres stosowania umowy w celu uwzględnienia szczególnej sytuacji
Zjednoczonego Królestwa, Irlandii i Danii (art. 27);

nieokreślony okres obowiązywania umowy (co jest uzasadnione charakterem
umowy, która stanowi ramy zapewniające ochronę i zabezpieczenia, jak również w
świetle możliwości zawieszenia i rozwiązania umowy) (art. 28);

możliwość rozwiązania umowy przez każdą ze stron poprzez powiadomienie drugiej
strony, przy założeniu, że informacje osobowe przekazane przed rozwiązaniem
umowy nadal będą przetwarzane zgodnie z postanowieniami umowy ramowej (art.
29, ust. 2 i 3);

wejście w życie umowy pierwszego dnia miesiąca następującego po dniu, w którym
strony powiadomiły się wzajemnie o zakończeniu swoich wewnętrznych procedur
związanych z jej zatwierdzeniem (art. 29, ust. 1);

postanowienie dotyczące języka umowy (bezpośrednio poprzedzające podpis)
stanowiące, że (i) umowa będzie podpisana w języku angielskim oraz sporządzona
przez UE w pozostałych 23 językach urzędowych UE; (ii) po podpisaniu umowy
zapewniona będzie możliwość uwierzytelnienia tekstu umowy w którymkolwiek z
tych pozostałych języków urzędowych UE poprzez wymianę not dyplomatycznych z
USA; (iii) w razie rozbieżności między autentycznymi wersjami językowymi umowy
rozstrzygająca jest wersja w języku angielskim.
15
PL
2016/0126 (NLE)
Wniosek
DECYZJA RADY
dotycząca zawarcia w imieniu Unii Europejskiej umowy między Stanami
Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych
powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 w
związku z jego art. 218 ust. 6 lit. a),
uwzględniając wniosek Komisji Europejskiej,
uwzględniając zgodę Parlamentu Europejskiego12,
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1)
Zgodnie z decyzją Rady [...] z dnia [...]13w dniu XX XXXX 2016 r. podpisano umowę
między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony
informacji osobowych powiązanych z zapobieganiem przestępstwom, ich śledzeniem,
wykrywaniem i ściganiem (zwaną dalej „umową”), z zastrzeżeniem jej zawarcia w
późniejszym terminie.
(2)
Umowa ma na celu ustanowienie kompleksowych ram zasad ochrony danych i
zabezpieczeń w przypadku przekazywania informacji osobowych do celów
egzekwowania prawa karnego między Stanami Zjednoczonymi, z jednej strony, a UE
lub jej państwami członkowskimi z drugiej strony. Celem umowy jest zapewnienie
wysokiego poziomu ochrony danych, a tym samym poprawa współpracy między
stronami. Umowa ramowa nie jest wprawdzie podstawą prawną przekazywania
informacji osobowych do USA, będzie ona jednak w razie konieczności uzupełniać
zabezpieczenia w zakresie ochrony danych w obowiązujących i przyszłych umowach
dotyczących przekazywania danych lub w przepisach krajowych zezwalających na
takie przekazywanie.
(3)
Unia posiada kompetencje obejmujące wszystkie postanowienia umowy. W
szczególności Unia przyjęła dyrektywę 2016/XXX/UE14 w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do
celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie,
wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego
przepływu tych danych.
12
Zgoda z dnia [data] r., Dz.U. C [...] z [...], s. [...].
Dz.U. ...
Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom,
prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych
oraz swobodnego przepływu tych danych, uchylająca decyzję ramową Rady 2008/977/WSiSW.
13
14
PL
16
PL
(4)
Unia Europejska posiada wyłączne kompetencje w zakresie, w jakim umowa może
mieć wpływ na wspólne przepisy Unii lub może zmienić ich zakres.
(5)
Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i
Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości,
który jest załączony do TUE i TFUE, Zjednoczone Królestwo i Irlandia nie są
związane postanowieniami ustanowionymi w tej umowie, dotyczącymi przetwarzania
danych osobowych w ramach wykonywania działań wchodzących w zakres
zastosowania części trzeciej tytuł V rozdział 4 (Współpraca sądowa w sprawach
karnych) lub rozdział 5 (Współpraca policyjna) TFUE, jeżeli Zjednoczone Królestwo i
Irlandia nie są związane przepisami wymagającymi zgodności z tą umową.
(6)
Zgodnie z art. 1 i 2 Protokołu 22 w sprawie stanowiska Danii, załączonego do
Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie
uczestniczy w przyjęciu niniejszej decyzji i w związku z tym nie jest związana umową
ani objęta zakresem jej stosowania.
(7)
Należy zatwierdzić umowę w imieniu Unii,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Niniejszym zatwierdza się w imieniu Unii Europejskiej umowę między Stanami
Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych
powiązanych z zapobieganiem przestępstwom, ich śledzeniem, wykrywaniem i ściganiem.
Tekst umowy dołącza się do niniejszej decyzji.
Artykuł 2
Przewodniczący Rady wyznacza osobę upoważnioną do dokonania, w imieniu Unii,
powiadomienia, o którym mowa w art. 29 ust. 1 umowy, w celu wyrażenia zgody Unii
Europejskiej na związanie się postanowieniami umowy.
Artykuł 3
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii
Europejskiej15.
Sporządzono w Brukseli dnia r.
W imieniu Rady
Przewodniczący
15
PL
Termin wejścia w życie umowy w odniesieniu do Unii Europejskiej zostanie opublikowany w
Dzienniku Urzędowym Unii Europejskiej przez Sekretariat Generalny Rady.
17
PL