Mechanizm dochodzenia roszczeń w związku z naruszeniem ochrony danych osobowych przekazywanych z UE do USA

Wspomniany we wstępie mechanizm dotyczy składania skarg na organy wywiadowcze w USA w związku z przekazanymi do tego kraju danymi osobowymi klientów. Mechanizm ten został przyjęty przez amerykańskie władze z uwagi na zdarzające się zgłoszenia bezprawnego dostępu i wykorzystywania danych przez amerykańskie służby wywiadu sygnałowego. Zgłoszenia dotyczą dostępu służb do danych osobowych przekazywanych przez administratorów z Europejskiego Obszaru Gospodarczego. Mechanizm obejmuje rozpatrywanie i rozstrzyganie skarg osób z terenu EOG.

Przyjęty przez USA nowy mechanizm dochodzenia roszczeń może być wykorzystywany jedynie w zakresie przepływu danych po 10 lipca 2023 r. Z drugiej strony można z niego skorzystać niezależnie od tego, na jakiej podstawie oparto transfer danych do USA (a więc nie tylko na podstawie decyzji Komisji powiązanej z Data Privacy Framework czyli Ram ochrony danych UE – USA ale też np. standardowych klauzul umownych). 

Więcej na ich temat w artykule: 8 narzędzi niezbędnych do transferu danych do państwa trzeciego 

Skargi na naruszenie ochrony danych przez służby wywiadowcze w USA mogą być składane za pośrednictwem krajowego organu ochrony danych, a zatem Prezesa Urzędu Ochrony Danych Osobowych. Przy czym podmiot danych zaznacza w skardze, że dotyczy ona działalności organów amerykańskich.

Co ciekawe, weryfikacja formalna skargi należy do kompetencji Prezesa UODO. Prezes UODO sprawdza w szczególności:

• tożsamość skarżącego (czy działa on wyłącznie we własnym imieniu),

• czy skarga nawiązuje do danych osobowych przekazanych po 10 lipca 2023 r.

• czy skarga dotyczy naruszenia przepisów prawa USA (co oczywiste, nie bada się tu naruszenia RODO),

• czy skarga dotyczy bezprawnego udostępnienia danych amerykańskim agencjom wywiadowczym po dokonaniu transferu tych danych z EOG do USA (przy czym nie chodzi tu o weryfikację zasadności zarzutów).

Po weryfikacji i stwierdzeniu kompletności skargi Prezes UODO przekazuje skargę w zaszyfrowanym formacie do sekretariatu Europejskiej Rady Ochrony Danych. Z kolei EROD przesyła zaszyfrowany dokument organowi USA właściwemu do rozpatrzenia skargi.

Po przyjęciu skargi CLPO podejmuje następujące kroki:

• przeprowadza postępowanie wyjaśniające w sprawie skargi w celu ustalenia, czy doszło do naruszenia amerykańskich przepisów,

• ustala w razie potrzeby adekwatne wiążące środki zaradcze,

• przygotowuje odpowiedź dla krajowego organu nadzorczego w EOG.

Nie przewidziano żadnego konkretnego terminu na rozpoznanie skargi przez CLPO. Skarga ma być rozpoznana w „odpowiednim czasie”.

Przygotowana przez CLPO odpowiedź jest następnie dostarczana do Prezesa UODO za pośrednictwem sekretariatu EROD. Z odpowiedzi powinno wynikać, że:

• dokonana analiza nie wykazała żadnych naruszeń albo

• wydano decyzję wymagającą odpowiednich środków zaradczych (jest to kompetencja ODNI czyli Urzędnika ds. Ochrony Swobód Obywatelskich Biura Dyrektora Wywiadu Narodowego).

Na tej podstawie Prezes UODO poinformuje skarżącego o rozstrzygnięciu.

Skarżący ma prawo do złożenia odwołania od decyzji CLPO. Odwołanie takie składane jest do Sądu Kontroli Ochrony Danych (DPRC) w terminie 60 dni od dnia otrzymania powiadomienia od Prezesa UODO. Odwołanie składane jest za pośrednictwem krajowego organu nadzorczego tak jak pierwotna skarga. Następnie krajowy organ przekazuje odwołanie w zaszyfrowanym formacie do Sekretariatu EROD, który z kolei przesyła je w zaszyfrowanym formacie do Biura Prywatności i Swobód Obywatelskich Departamentu Sprawiedliwości USA (OPCL), który jest organem wspierającym DPRC. Na koniec DPRC wydaje ostateczną decyzję, w której może:

• stwierdzić brak dowodów wskazujących na to, że działania wywiadu dotyczyły danych osobowych skarżącego;

• zdecydować, że ustalenia CLPO były legalne i poparte istotnymi dowodami, lub

• podjąć własne ustalenia, jeśli nie zgadza się z ustaleniami CLPO.

Informacje dotyczące przeglądu skargi przez CLPO lub DPRC mogą zostać odtajnione i dzięki temu stać się dostępne dla skarżącego. Odtajnienie tych informacji jest możliwe m.in. na podstawie FOIA czyli ustawy o wolności informacji. Dzięki tej ustawie skarżący może wnioskować bezpośrednio do organów amerykańskich (ODNI, odpowiedniego elementu Społeczności Wywiadowczej lub Departamentu Sprawiedliwości) o uzyskania odtajnionych informacji na temat swojej skargi.

Dobrą praktyką jest przekazanie informacji dotyczących mechanizmu dochodzenia roszczeń swym klientom, których dane osobowe przekazujemy do USA. Nie jest to wprawdzie obowiązek prawny, ale przekazanie takiej informacji z pewnością pozytywnie wpłynie na wizerunek organizacji jako dbającej o dane osobowe swoich klientów. Przekazując taką informację, należy zaznaczyć, że informacja dotyczy wyłącznie zasad składania skarg na organy wywiadowcze w USA w związku z przekazanymi do USA danymi osobowymi klientów.

Pobierz wzór informacji dla klientów dotyczącej składania skarg na organy wywiadowcze w USA w związku z przekazanymi do USA danymi osobowymi klientów.