PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 10.9.2010 DOKUMENT ROBOCZY 2 Przyszłe porozumienie międzynarodowe między Unią Europejską (UE) a Stanami Zjednoczonymi Ameryki (USA) w sprawie ochrony danych osobowych przekazywanych i przetwarzanych do celów działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych, w tym terroryzmu, w ramach współpracy policyjnej i sądowej w sprawach karnych. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Sprawozdawca: Jan Philipp Albrecht DT\830120.doc PE448.805v01-00 Zjednoczona w różnorodności
Podejście USA do przedmiotowej kwestii Na szczeblu konstytucyjnym W konstytucji Stanów Zjednoczonych nie ma wyraźnych odniesień do podstawowego prawa do prywatności. Uznano jednak, że przynajmniej pierwszą, trzecią, czwartą i piątą poprawkę do konstytucji można traktować jako chroniące i podtrzymujące prawo do prywatności. Pierwsza poprawka chroni prywatność w odniesieniu do swobody anonimowej wypowiedzi oraz prawa do nieujawniania przynależności do grup. 1 Czwarta poprawka chroni osobistą prywatność i godność przed bezzasadnym naruszeniem ze strony państwa 2. Ponadto w sprawie Griswold v. Connecticut 3 Sąd Najwyższy USA utrzymał w mocy konstytucyjne prawo jednostki do prywatności (prywatność jako autonomia decyzyjna ). 4 Problemy pojawiły się w odniesieniu do czwartej poprawki, jeśli chodzi o stosowanie przez Sąd Najwyższy kryterium rozsądnych oczekiwań dotyczących prywatności, które wydaje się i jest to sprzeczne ze stosowaniem tego kryterium przez Europejski Trybunał Praw Człowieka w większości przypadków odmawiać ochrony konstytucyjnej. 5 Ustawa o prywatności W USA nie ma ogólnej ustawy o prywatności. Ustawa o prywatności z 1974 r. 6 reguluje gromadzenie, utrzymanie, wykorzystanie i rozpowszechnianie informacji osobowych przez federalne agencje wykonawcze. Ustawa ma zastosowanie do informacji zawartych w systemie akt, który zawiera dane osobowe osób fizycznych. Agencje federalne spoza organów władzy wykonawczej (federalny sąd okręgowy, wielka ława przysięgłych, nadzór kuratorski), stanowe i lokalne agencje rządowe i podmioty prywatne nie podlegają ustawie. Wyjątkiem od tej reguły są jednak ograniczenia w zakresie wykorzystania numeru ubezpieczenia społecznego, które mają zastosowanie do rządowych agencji federalnych, stanowych i lokalnych. 7 Ustawa ustanawia cztery prawa proceduralne i rzeczowe w odniesieniu do danych osobowych: nakłada na agencje rządowe obowiązek pokazania danej osobie wszelkich danych przechowywanych na jej temat; nakłada na agencje obowiązek przestrzegania pewnych uczciwych praktyk informacyjnych przy gromadzeniu i przetwarzaniu danych osobowych; 1 P De Hert i R Bellanova, Ochrona danych z perspektywy transatlantyckiej: działania UE i USA w kierunku międzynarodowego porozumienia w sprawie ochrony danych? Badanie departamentu tematycznego C Parlamentu Europejskiego 2008, s. 13. 2 Schmerber v. California 384 US 757 (1966). 3 318 U.S. 479, (1965). 4 W sprawie dodatkowych komentarzy zob. Rouvroy i Y Poullet, 'The right to informational self-determination and the value of self-development Reassessing the importance of privacy for democracy', s.20. 5 (n1). 14-15; zob. konstruktywne podejście do spraw Katz i Kyllo w przeciwieństwie do sprawy Pen Register. s 6 Skodyfikowae w 5 U.S.C. 552a (2000). zob. również ostatni przegląd Ustawy o Prywatności (2010) wraz ze szczegółowym prawem precedensowym w sprawie ust. każdego przepisu ustawy na http://www.justice.gov/opcl/1974privacyact-overview.htm. 7 (n6) s. 5-9; Zob. również komentarze w sprawie wykorzystania numeru ubezpieczenia społecznego (n6) na s.232-235. PE448.805v01-00 2/6 DT\830120.doc
nakłada ograniczenia na to, w jaki sposób agencje mogą udostępniać dane osobowe osób fizycznych innym osobom lub agencjom; pozwala osobom fizycznym na pozwanie rządu za łamanie przepisów ustawy. Ustawa daje osobom fizycznym prawo dostępu i poprawek, lecz pozwala im na staranie się o dostęp tylko w przypadku gdy ich akta są przechowywane w agencji w ramach systemu akt tzn. można je uzyskać, podając nazwisko indywidualnego wnioskującego lub osobisty numer identyfikacyjny. 8 O ile zgodnie z ustawą o prywatności agencja powinna przechowywać w swoich zbiorach jedynie minimum istotnych i niezbędnych informacji potrzebnych do osiągnięcia jej celów, o tyle nie ma warunków dotyczących proporcjonalności zbiorów danych, jak to ma miejsce w Europie. Jeśli informacja może mieć negatywny wpływ na daną osobę (przez zmniejszenie jej praw, korzyści czy przywilejów), agencja musi zgromadzić jak najwięcej praktycznie możliwych do uzyskania danych bezpośrednio od tej osoby i poinformować ją o podstawie prawnej, rutynowym ewentualnym wykorzystaniu danych i skutkach nieudzielenia informacji przez tę osobę. Osoby fizyczne posiadające prawo ochrony danych w myśl ustawy o prywatności są zdefiniowane jako obywatele Stanów Zjednoczonych lub cudzoziemcy posiadający prawo stałego pobytu, co wyklucza odwiedzających i cudzoziemców. 9 W styczniu 2009 r. polityka Urzędu ds. Prywatności Departamentu Bezpieczeństwa Wewnętrznego (DHS) została zmieniona, wskutek czego wszelkie dane osobowe osób fizycznych (PII), które są gromadzone, wykorzystywane, zachowane i/lub rozpowszechniane w związku z mieszanym systemem Departamentu Bezpieczeństwa Wewnętrznego są traktowane jako system akt podlegających ustawie o prywatności bez względu na to, czy informacje dotyczą obywatela USA, osoby z pozwoleniem na pobyt stały, odwiedzającego czy cudzoziemca. 10 Ponadto jest określone, że zgodnie z tą polityką organy Departamentu Bezpieczeństwa Wewnętrznego będą traktować dane osobowe osób fizycznych, przechowywane w mieszanym systemie zgodnie z uczciwą praktyką informacji, w myśl ustawy o prywatności. Obywatele nieamerykańscy mają prawo dostępu do swoich danych osobowych oraz prawo do wniesienia poprawek do ich akt, jeśli nie ma wyjątku zgodnie z ustawą o prywatności; jednak polityka ta nie rozszerza ani nie tworzy prawa do kontroli sądowej w przypadku obywateli nieamerykańskich. 11 Jest to polityka administracyjna, która nie może tworzyć prawnie egzekwowalnych praw i może ona w każdym momencie zostać zmieniona. Ponadto dane osobowe obywateli nieamerykańskich nieprzechowywane w mieszanych systemach (tzn. systemach akt zawierających dane osobowe zarówno obywateli amerykańskich, jak i nieamerykańskich), lecz w systemach akt dotyczących wyłącznie cudzoziemców (takich jak US-ESTA), nie są ochronione i nie wchodzą w zakres tej polityki. Podpunkt b) ustawy o prywatności ogranicza prawo agencji rządowej do ujawniania informacji (warunki ujawnienia). Agencja może ujawnić takie informacje, jeżeli spełnia jeden z dwunastu warunków przewidzianych w ustawie, między innymi ujawnienie agencji 8 (n6) s..92. 9 Natomiast ustawa o wolności informacji (FOIA) nie wprowadza takiego rozróżnienia, mówiąc po prostu o każdej osobie. 10 http://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2007-1.pdf. 11 (n1 0 ) DT\830120.doc 3/6 PE448.805v01-00
podlegającej rządowej kompetencji na terytorium Stanów Zjednoczonych lub pod ich kontrolą do celów egzekwowania prawa cywilnego lub karnego. 12 Ustawa o prywatności przewiduje ponadto dziesięć odstępstw, np. dla agencji egzekwujących prawo karne, łącznie ze staraniami policji na rzecz prewencji, kontroli i zmniejszania poziomu przestępstw lub ścigania przestępców, oraz dla prokuratorów, sądów, władz więziennych, kuratorskich, ułaskawiających czy ds. zwolnienia warunkowego. 13 Niemniej takie agencje nadal muszą przestrzegać przepisów podpunktu b) dotyczących ujawniania oraz stosować uczciwe praktyki informacyjne. 14 Agencje obchodziły również ograniczenia dotyczące ujawnienia informacji przez wykorzystywanie odstępstwa związanego z rutynowym wykorzystaniem. 15 Jest ono zdefiniowane jako wykorzystanie akt w celach, które są zgodne z celem, w jakim zostały zgromadzone i wymaga się aby każde rutynowe wykorzystanie akt zawartych w systemie, łącznie z kategoriami użytkowników i celem takiego wykorzystania było opublikowane w rejestrze federalnym. 16 To odstępstwo mogłoby okazać się problematyczne w zestawieniu z zasadą celowości i specyfikacji celów. Inne prawa federalne Inne ustawy związane z ochroną danych to: ustawa o nadzorze nad wywiadem zagranicznym (Foreign Intelligence Surveillance Act) (FISA) (50 U.S.C. ust. 1801-1811, 1978) oraz ustawa o prywatności komunikacji elektronicznej (Electronic Communication Privacy Act) (18 U.S.C. ust. 2510-2522, 2701-2709, 1986). ustawa o wolności informacji Freedom of Information Act (FOIA) (5 U.S.C. ust. 552, ostatnio zmieniona w 2002 r.) daje każdej osobie możliwość dostępu do akt przechowywanych przez władze USA. FOIA dopuszcza podobne odstępstwa dla celów egzekwowania prawa jak ustawa o prywatności. ustawa USA-PATRIOT Act (107-56), która między innymi ustanowiła tzw. National Security Letters (NSL) (nakazy wydania informacji), tzn. mechanizm administracyjny dzięki któremu podmiotowi prywatnemu można nakazać przekazanie akt i danych dotyczących osób fizycznych bez prawdopodobieństwa winy i nadzoru sądowego. NSL mogą także zawierać nakaz milczenia niedopuszczajacy nawet, by odbiorca publicznie ujawnił fakt, że NSL zostały wydane. ustawa o bezpieczeństwie krajowym (Homeland Security Act) (6 U.S.C. ust. 222, 2002). Ustawa ta konsoliduje i łączy 22 agencje federalne w departamencie bezpieczeństwa krajowego i daje między innymi podstawy tworzenia tzw. fusion centers na poziomie stanowym i lokalnych, których celem jest dzielenie się informacjami i wywiadem. 12 To odstępstwo, oprócz dania możliwości ujawnienia rządowym organom ścigania, pozwala również agencji na pisemny wniosek ujawnić akta innej agencji lub jednostce stanowej lub lokalnym władzom do celów egzekwowania prawa cywilnego i karnego. 13 Podpunkt (J) (2) zawiera minimalny wymóg mówiący, że system akt jest przechowywany przez agencję lub jej dział wykonujący jako podstawowe zadanie wszelką działalność związaną z egzekwowaniem prawa karnego. n (6); s. 123 i dalej - dodatkowe informacje w sprawie tego odstępstwa. 14 Zob. ustawa o prywatności z roku 1974: Wdrażanie odstępstw; Department of Homeland Security/U.S. Customs and Border Protection 006 Automated Targeting System of Records http://www.gpo.gov/fdsys/pkg/fr-2010-02-03/pdf/2010-2201.pdf 15 EPIC The Privacy Act of 1974 at http://epic.org/privacy/1974act/. 16 (n6) s. 68 i dalej. PE448.805v01-00 4/6 DT\830120.doc
Nadzór Stany Zjednoczone powołały do życia różne struktury i mechanizmy mające na celu sprawowanie nadzoru, lecz nie utworzyły organu nadzoru nad ochroną danych. Wśród tych struktur znajduje się urząd ds. administracji i budżetu (Office of Management and Budżet) (OMB) 17, instytucja kontrolna Kongresu Stanów Zjednoczonych (Government Accountability Office) (GAO), każdy urząd federalny inspektora generalnego, główni urzędnicy ds. prywatności w agencjach federalnych, urzędnik ds. ochrony swobód obywatelskich w urzędzie dyrektora narodowego wywiadu, licząca pięciu członków rada ds. nadzoru przestrzegania swobód obywatelskich (Privacy and Civil Liberties Oversight Bard) (działalność zawieszona od 2008 r. 18 ), i komisje Kongresu. Przykładowo inspektorzy generalni na poziome gabinetu (np. DHS, Departament Sprawiedliwości, Departament Skarbu i Obrony) mogą na mocy prawa prowadzić niezależne dochodzenia, audyty, kontrole i specjalne przeglądy poszczególnej działalności i programów, aby wykryć marnotrawstwo, oszustwa, nadużycia i wykroczenia. GAO prowadzi dochodzenia w sprawie audytu i dokonuje oceny agencji wykonawczych oraz programów i wydatków rządu federalnego a jego statut pozwala na prowadzenie przeglądów i dochodzeń oraz wydawanie opinii prawnych 19. Niektórzy analitycy uważają, że ograny ochrony danych UE są strukturalnie bardziej niezależne od agencji ds. prywatności 20 w USA oraz że tym ostatnim ogólnie brakuje uprawnień do badania i sankcjonowania przypadków naruszenia prywatności. 21 Środki odwoławcze Zgodnie z ustawą o prywatności, aby wszcząć postępowanie cywilne przeciwko agencji, jej postępowanie musiało mieć negatywny wpływ na osobę fizyczną (g)(1)(d). Negatywny wpływ może być oczywiście trudny do udowodnienia i generalnie nie stanowi przeszkody dla gromadzenia danych i ujawniania na dużą skalę. Zasygnalizowano również, że sąd powinien stwierdzić, że agencja działała w sposób celowy lub samowolny (g)(4). Tak skomplikowane ramy, w szczególności przy braku niezależnej kontroli, wiążą się z ryzykiem ograniczenia ex ante korzystania z prawa do sądu. 22 Przeciwko osobie fizycznej zostaje odpowiednio wniesione oskarżenie na mocy postanowień ustawy o prywatności dotyczących sankcji karnych. FOIA umożliwia ograniczone prawo do sądu każdej osobie fizycznej szukającej o sobie informacji. Inne ustawy, takie jak ustawa o przestępstwach i nadużyciach komputerowych (Computer Fraud and Abuse Act), (przechwytywanie komunikacji przewodowej i elektronicznej oraz przechwytywanie komunikacji ustnej) Wire and Electronic Communications Interception and Interception of Oral Communications również umożliwiają poszkodowanym osobom fizycznym wniesienie o postępowanie cywilne w sądzie federalnym USA o odszkodowanie. Kwestią nierozwiązaną i związaną z zakresem (nie)stosowania ustawy o prywatności 17 Podpunkt (v) ustawy o prywatności przewiduje, że OMB ma za zadanie opracowywać oraz po ogłoszeniu i stworzeniu okazji do wyrażenia opinii publicznych zalecać wytyczne i regulacje do wykorzystania przez agencje przy stosowaniu ustawy; oraz stanowić stałe wsparcie i sprawować kontrolę nad stosowaniem ustawy przez agencje. 5 U.S. ust. 552a (v). Jednakże nie zajmuje się on osobami fizycznymi. C. 18 Najnowsze informacje znajdują się na stronie: http://www.washingtonpost.com/wp-dyn/content/article/2010/04/08/ar2010040805470.html. 19 J Korpf, Networked i Layered: Understanding the US Framework for Protecting Personally Identifiable Information, czerwiec 2007 World Data Protection Report, s..5-6. 20 F Bignami 'The US Privacy Act in Comparative Perspective' dostępne na stronie http://www.europarl.europa.eu/hearings/20070326/libe/bignami_en.pdf. 21.(n1) s..20. 22 (n1) s.18 DT\830120.doc 5/6 PE448.805v01-00
pozostaje fakt, że obywatele nieamerykańscy czy osoby posiadające prawo pobytu nie mają prawa do sądu, tzn. do oceny prawomocności przetwarzania ich danych osobowych przez niezależną władzę sądową. Natomiast zgodnie z prawem UE każda osoba fizyczna w UE ma prawo do zadośćuczynienia przed bezstronnym i niezależnym trybunałem, bez względu na jej narodowość czy miejsce zamieszkania (art. 47 Karty Praw Podstawowych). Kwestie do debaty W odniesieniu do dokumentów roboczych nr 1 i nr 2, na tym etapie procedury sprawozdawca pragnie zauważyć, że szczególną uwagę należy poświęcić następującym kwestiom: ogólnemu problemowi związanemu z mozaiką przepisów dotyczących ochrony danych po obu stronach Atlantyku, obecnemu przeglądowi ram UE dotyczących ochrony danych, łącznie z ujęciem przepisów dotyczących ochrony danych w kontekście sektora prywatnego i publicznego, różnemu podejściu do koncepcji niezależnej kontroli, zasadom proporcjonalności, ograniczeniu danych do minimum, minimalnemu okresowi przechowywania oraz celowości, łącznie z trwającą dyskusją na temat tworzenia profili i eksploracji danych, 23 zdefiniowaniu sfery bezpieczeństwa narodowego, stosowaniu przepisów dotyczących ochrony danych, w tym prawa do zadośćuczynienia prawnego, w odniesieniu do każdej osoby fizycznej, bez względu na jej narodowość czy miejsce zamieszkania. 23 http://www.coe.int/t/e/legal_affairs/legal_co-operation/steering_committees/cdcj/documents/2010/87th%20cdcj-bu%20meeting/t-pd- BUR_2009_02rev6_en_Fin%20_2_.pdf PE448.805v01-00 6/6 DT\830120.doc