Komisja Europejska przyjęła 10 lipca 2023 roku decyzję o adekwatnym stopniu ochrony danych w relacji UE-USA, zapewnianej przez Transatlantyckie Ramy Ochrony Danych (Data Privacy Framework – DPF) – następcy Privacy Shield. Stanowi ważny krok dla biznesu. Oznacza bowiem, że zarówno podmioty europejskie (w ramach Europejskiego Obszaru Gospodarczego) jak i amerykańskie, mają znacząco uproszczoną procedurę transferu danych. Decyzja potwierdza, że podmioty certyfikowane w ramach DPF zapewniają odpowiedni poziom ochrony danych, porównywalny z tym stosowanym w krajach UE.
Decyzja ta jest następstwem wprowadzenia przez Stany Zjednoczone dekretu wykonawczego w sprawie zwiększenia zabezpieczeń dla działań agencji wywiadowczych. Dekret ten uwzględniał kwestie poruszone przez Trybunał Sprawiedliwości Unii Europejskiej w decyzji Schrems II z lipca 2020 r. unieważniającej Privacy Shield. Zapewnia on, iż amerykańskie agencje wywiadowcze mają dostęp do danych tylko w niezbędnym i proporcjonalnym zakresie. Dodatkowo, ustanowiono niezależny mechanizm dochodzenia roszczeń w celu rozpatrywania skarg Europejczyków dotyczących gromadzenia ich danych w celach bezpieczeństwa narodowego.
Decyzja o adekwatności jest jednym z narzędzi przewidzianych w RODO i umożliwia swobodny przepływ danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) do państw trzecich, takich jak Stany Zjednoczone. Oznacza to, że przekazywanie danych do USA może odbywać się w podobny sposób, jak wewnątrz UE.
Do dnia 10 lipca 2023 r. środkiem legalizującym transfer danych do USA najczęściej były klauzule SCC (standard contractual clauses). Jest to rodzaj umowy pomiędzy odbiorcą a podmiotem przekazującym dane osobowe, w której odbiorca danych zobowiązuje się do stosowania określonych zasad przetwarzania danych osobowych. Był to jednak dość niepraktyczny środek, gdyż wiązał się on z koniecznością wypełnienia wielu obowiązków przez podmioty, m.in. przeprowadzenie przez podmiot przekazujący dane oceny skutków transferu dla ochrony danych. Same umowy odznaczały się przy tym wysokim stopniem skomplikowania i długości. Co więcej, każdy podmiot transferujący dane musiał mieć podpisaną taką klauzulę SCC z odbiorcą danych z USA.
Transfer do podmiotów z USA odbywać się będzie w oparciu o art. 45 RODO, gdy podmiot ten dokonał samocertyfikacji (dostosował się do Zasad DPF i Załączników do Zasad, złożył oświadczenie o ich stosowaniu i zobowiązał się do ich przestrzegania), a następnie został wpisany na listę podmiotów certyfikowanych. Warto na marginesie dodać, iż podmioty wpisane do tej pory na listę Privacy Shield nie są wpisane domyślnie na listę DPF.
Podmioty certyfikowane zobowiązują się dopełniać zasad prywatności, takie jak ograniczenie celu, minimalizacja danych, bezpieczeństwo danych i udostępnianie danych stronom trzecim. Ponadto zapewniają osobom z UE, których dane są transferowane, szereg praw, takich jak dostęp do danych, ich poprawianie, usunięcie lub zgłaszanie skarg. Istnieją również różne możliwości dochodzenia roszczeń w przypadku niewłaściwego postępowania z danymi.
Warto odnotować, że adekwatność nie wymaga, aby system ochrony danych w państwie trzecim był identyczny z systemem UE. Opiera się ona bowiem na zasadniczej równoważności (essentially equivalent).
Na uwzględnienie zasługuje również, iż pomimo wprowadzeniu w życie omawianej decyzji dla transferów danych do USA nadal trzeba będzie przeprowadzać Transfer Impact Assessment (TIA). Jednakże jeśli odbiorca danych jest wpisany na listę DPF, TIA wyłącznie uproszczona. Jeśli podmiot nie jest wpisany na listę DPF, należy przeprowadzić wszystkie 6 kroków TIA, obejmujące analizę prawodawstwa obcego. Do tej pory ten element był najtrudniejszy i budził najwięcej kontrowersji. Oprócz wyroku TSUE brak było normatywnych podstaw takiego obowiązku.
Departament Handlu Stanów Zjednoczonych będzie administrował ramami, przetwarzając wnioski o certyfikację i monitorując, czy uczestniczące podmioty spełniają wymagania. Przestrzeganie zobowiązań wynikających z umowy będzie egzekwowane przez Federalną Komisję Handlu Stanów Zjednoczonych.
Rząd Stanów Zjednoczonych ustanowił także nowy dwupoziomowy mechanizm w celu rozpatrywania i rozstrzygania skarg osób fizycznych. Osoby fizyczne mogą złożyć skargę do swojego krajowego organu ochrony danych, który zapewni, że skarga zostanie prawidłowo przekazana oraz że na bieżąco informowana o stanie sprawy.
Komisja będzie stale monitorować zmiany w Stanach Zjednoczonych i przeprowadzać regularne przeglądy decyzji o adekwatności. Pierwszy przegląd odbędzie się w ciągu roku od wejścia w życie decyzji, aby zweryfikować skuteczność amerykańskich ram prawnych, a następnie co najmniej raz na cztery lata.
Wiktor Klimczewski
Prawnik | NK Legal Partners
