Stany Zjednoczone mają status państwa trzeciego w rozumieniu RODO w związku z czym transfer danych osobowych do tego kraju zasadniczo musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. W związku z tym amerykańskie władze przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, jak w oparciu o ten mechanizm dochodzić roszczeń z tytułu naruszenia ochrony w USA i co to oznacza dla administratora danych osobowych.
Wspomniany we wstępie mechanizm dotyczy składania skarg na organy wywiadowcze w USA w związku z przekazanymi do tego kraju danymi osobowymi klientów. Mechanizm ten został przyjęty przez amerykańskie władze z uwagi na zdarzające się zgłoszenia bezprawnego dostępu i wykorzystywania danych przez amerykańskie służby wywiadu sygnałowego. Zgłoszenia dotyczą dostępu służb do danych osobowych przekazywanych przez administratorów z Europejskiego Obszaru Gospodarczego. Mechanizm obejmuje rozpatrywanie i rozstrzyganie skarg osób z terenu EOG.
Przyjęty przez USA nowy mechanizm dochodzenia roszczeń może być wykorzystywany jedynie w zakresie przepływu danych po 10 lipca 2023 r. Z drugiej strony można z niego skorzystać niezależnie od tego, na jakiej podstawie oparto transfer danych do USA (a więc nie tylko na podstawie decyzji Komisji powiązanej z Data Privacy Framework czyli Ram ochrony danych UE – USA ale też np. standardowych klauzul umownych).
Więcej na ich temat w artykule: 8 narzędzi niezbędnych do transferu danych do państwa trzeciego
Skargi na naruszenie ochrony danych przez służby wywiadowcze w USA mogą być składane za pośrednictwem krajowego organu ochrony danych, a zatem Prezesa Urzędu Ochrony Danych Osobowych. Przy czym podmiot danych zaznacza w skardze, że dotyczy ona działalności organów amerykańskich.
Do złożenia skargi można wykorzystać stronę UODO.
Co ciekawe, weryfikacja formalna skargi należy do kompetencji Prezesa UODO. Prezes UODO sprawdza w szczególności:
tożsamość skarżącego (czy działa on wyłącznie we własnym imieniu),
czy skarga nawiązuje do danych osobowych przekazanych po 10 lipca 2023 r.
czy skarga dotyczy naruszenia przepisów prawa USA (co oczywiste, nie bada się tu naruszenia RODO),
czy skarga dotyczy bezprawnego udostępnienia danych amerykańskim agencjom wywiadowczym po dokonaniu transferu tych danych z EOG do USA (przy czym nie chodzi tu o weryfikację zasadności zarzutów).
Po weryfikacji i stwierdzeniu kompletności skargi Prezes UODO przekazuje skargę w zaszyfrowanym formacie do sekretariatu Europejskiej Rady Ochrony Danych. Z kolei EROD przesyła zaszyfrowany dokument organowi USA właściwemu do rozpatrzenia skargi.
Skargę w USA rozpatruje Urzędnik ds. ochrony swobód obywatelskich w USA (CLPO).
Po przyjęciu skargi CLPO podejmuje następujące kroki:
przeprowadza postępowanie wyjaśniające w sprawie skargi w celu ustalenia, czy doszło do naruszenia amerykańskich przepisów,
ustala w razie potrzeby adekwatne wiążące środki zaradcze,
przygotowuje odpowiedź dla krajowego organu nadzorczego w EOG.
Nie przewidziano żadnego konkretnego terminu na rozpoznanie skargi przez CLPO. Skarga ma być rozpoznana w „odpowiednim czasie”.
Przygotowana przez CLPO odpowiedź jest następnie dostarczana do Prezesa UODO za pośrednictwem sekretariatu EROD. Z odpowiedzi powinno wynikać, że:
dokonana analiza nie wykazała żadnych naruszeń albo
wydano decyzję wymagającą odpowiednich środków zaradczych (jest to kompetencja ODNI czyli Urzędnika ds. Ochrony Swobód Obywatelskich Biura Dyrektora Wywiadu Narodowego).
Co ciekawe, w odpowiedzi zazwyczaj nie zostanie wskazane, czy skarżący był rzeczywiście celem inwigilacji, ani też, jaki konkretny środek zaradczy został zastosowany.
Na tej podstawie Prezes UODO poinformuje skarżącego o rozstrzygnięciu.
Skarżący ma prawo do złożenia odwołania od decyzji CLPO. Odwołanie takie składane jest do Sądu Kontroli Ochrony Danych (DPRC) w terminie 60 dni od dnia otrzymania powiadomienia od Prezesa UODO. Odwołanie składane jest za pośrednictwem krajowego organu nadzorczego tak jak pierwotna skarga. Następnie krajowy organ przekazuje odwołanie w zaszyfrowanym formacie do Sekretariatu EROD, który z kolei przesyła je w zaszyfrowanym formacie do Biura Prywatności i Swobód Obywatelskich Departamentu Sprawiedliwości USA (OPCL), który jest organem wspierającym DPRC. Na koniec DPRC wydaje ostateczną decyzję, w której może:
stwierdzić brak dowodów wskazujących na to, że działania wywiadu dotyczyły danych osobowych skarżącego;
zdecydować, że ustalenia CLPO były legalne i poparte istotnymi dowodami, lub
podjąć własne ustalenia, jeśli nie zgadza się z ustaleniami CLPO.
Skarżący nie otrzyma jednak tej decyzji, lecz – za pośrednictwem Prezesa UODO - oświadczenie informujące o zakończeniu procedury i stwierdzające, że:
przegląd nie wykazał żadnych objętych nim naruszeń albo
wydano orzeczenie wymagające odpowiednich środków zaradczych.
Informacje dotyczące przeglądu skargi przez CLPO lub DPRC mogą zostać odtajnione i dzięki temu stać się dostępne dla skarżącego. Odtajnienie tych informacji jest możliwe m.in. na podstawie FOIA czyli ustawy o wolności informacji. Dzięki tej ustawie skarżący może wnioskować bezpośrednio do organów amerykańskich (ODNI, odpowiedniego elementu Społeczności Wywiadowczej lub Departamentu Sprawiedliwości) o uzyskania odtajnionych informacji na temat swojej skargi.
Dobrą praktyką jest przekazanie informacji dotyczących mechanizmu dochodzenia roszczeń swym klientom, których dane osobowe przekazujemy do USA. Nie jest to wprawdzie obowiązek prawny, ale przekazanie takiej informacji z pewnością pozytywnie wpłynie na wizerunek organizacji jako dbającej o dane osobowe swoich klientów. Przekazując taką informację, należy zaznaczyć, że informacja dotyczy wyłącznie zasad składania skarg na organy wywiadowcze w USA w związku z przekazanymi do USA danymi osobowymi klientów.
Z drugiej strony należy mieć na względzie, że przekazanie takiej informacji nie zwalnia administratora z odpowiedzialności za dane osobowe ani z obowiązku realizacji praw osób, których dane dotyczą.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl