10 lipca Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. EU-US Data Privacy Framework (zgodnie z art. 45 Ogólnego Rozporządzenia o Ochronie Danych). Decyzja dotyczy transferów danych z EOG do jakiegokolwiek prywatnego bądź publicznego podmiotu znajdującego się w USA. Warunkiem jest jego uczestnictwo w programie EU-US Privacy Framework. Nie mówimy zatem o adekwatności każdego transferu – warunkiem jest uczestnictwo w programie. Decyzja weszła w życie 10 lipca, bez vacatio legis.

Decyzja jest konsekwencją wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems, znanego jako "Schrems II". Wyrok ten obalił poprzedni mechanizm transferu danych do USA - Privacy Shield i doprowadził do długich negocjacji w celu ustalenia nowych ram dla takiego transferu.

Czytaj w LEX: Kolasiński Marek, Nieważność tarczy prywatności a ewolucja prawa antymonopolowego i regulacji sektorowej rynków cyfrowych - glosa do wyroku Trybunału Sprawiedliwości z 16.07.2020 r., C-311/18, Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schremsowi >

Czytaj też: Rekordowa kara dla Facebooka za przekazanie danych do USA >>

Na co zgodziło się USA? 

Aktualny mechanizm opiera się na wcześniejszych porozumieniach między UE a USA oraz na wdrożeniu przez administrację Joe Bidena Executive Order 14086. W związku z tymi wymogami, administracja Joe Bidena zgodziła się na:

  1. wprowadzenie szeregu wymogów dla działań służb USA związanych z dostępem do danych, co ma działać w sposób podobny do wymogu proporcjonalności,
  2. stworzenie nowych organów do analizy skarg obywateli UE, składających się z dwóch elementów - urzędu Civil Liberties Protection Officer (CLPO) oraz "Data Protection Review Court". Warto zaznaczyć, że nowy mechanizm nie wymaga wykazania legitymacji czynnej przez obywateli UE, co stanowi znaczącą zmianę w porównaniu do poprzedniego mechanizmu, który praktycznie nie działał poprawnie,
  3. utworzenie systemu monitorowania zgodności postępowania podmiotów prywatnych z wymogami programu Data Privacy Network przez Departament Handlu USA,
  4. wprowadzenie mechanizmu przeglądu polityk i zasad funkcjonowania służb wywiadowczych.

 

W związku z decyzją o transferze danych do USA, konieczne jest sprawdzenie, czy podmiot znajduje się na liście Data Privacy Framework, dostępnej na stronie Departamentu Handlu USA. Lista ta wskazuje również zakres danych, dla których transfer jest dozwolony, ale nie obejmuje całego zakresu danych przetwarzanych przez dany podmiot. Jeśli podmiot znajduje się na liście, transfer danych jest dozwolony tylko w zakresie wskazanym na niej.

Sprawdź w LEX: Czy w związku z decyzją Komisji Europejskiej z 10.07.2023 r. stwierdzającą odpowiedni stopień ochrony na przekazywanie danych do USA oraz pojawieniem się w wykazie ram ochrony danych firmy META Platforms Inc, mogę założyć, jako ADO, że przekazywanie danych do USA na chwile obecną jest zgodne z prawem? > 

Pytanie o trwałość mechanizmu nadal otwarte 

W przypadku gdy podmiot nie znajduje się na liście Data Privacy Framework, transfer do niego jest dopuszczalny na tych samych zasadach, co wcześniej. Certyfikat DPF jest ważny przez 12 miesięcy, po czym podmiot musi go ponownie uzyskać. Departament Handlu USA może także przeprowadzać badania zgodności i wykreślać podmioty z listy Data Privacy Framework. Dlatego przy wysyłaniu danych do USA ważne jest regularne sprawdzanie, czy kontrahent nadal znajduje się na liście certyfikowanych podmiotów.

Wpisanie podmiotu na listę Data Privacy Framework nie jest stałe i wymaga regularnych weryfikacji. Jeśli podmiot nie spełnia wymogów, może zostać usunięty po badaniu przez Departament Handlu USA. Jednakże pytanie o trwałość nowego mechanizmu transferu danych pozostaje otwarte, zwłaszcza że Komisja już dwukrotnie wydawała decyzje o jego adekwatności, a TSUE dwukrotnie je uchylał. Maximilian Schrems i organizacja NYOB, autorzy poprzednich skarg do TSUE, uważają, że nowy mechanizm także nie zapewnia odpowiednich gwarancji i w dużej mierze przypomina wcześniejszy Privacy Shield.

Czytaj w LEX: Jak prawidłowo stosować standardowe klauzule umowne (SCC) w przypadku transferu do państw trzecich? Krok po kroku >

Jednym z kwestionowanych aspektów jest brak zgody co do znaczenia pojęcia "proporcjonalność", mimo że wprowadzono szereg wymogów dotyczących tego zagadnienia. Skuteczność mechanizmu kontroli "sądowej" jest również podważana, zwłaszcza z punktu widzenia niezależności, ponieważ Data Protection Review Court zostanie powołany przez Prokuratora Generalnego, będącego członkiem rządu USA.

Dodatkowym problemem jest brak przejrzystości decyzji, zwłaszcza w odniesieniu do służb wywiadowczych. Kwestionowana jest również sekcja 702 Foreign Intelligence Surveillance Act (FISA), która nie zapewnia gwarancji konstytucyjnych dla danych osób, które nie są obywatelami USA i przebywają poza jego terytorium.

Zobacz procedurę w LEX: Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych >

 

Nowość
Nowość
Ochrona danych osobowych. Poradnik praktyczny

Dominik Lubasz, Adam Szkurłat

Sprawdź  

Praktyczny wpływ na biznes - ogromny 

Maksymilian Schrems przewiduje, że sprawa może trafić do Trybunału Sprawiedliwości UE na początku przyszłego roku, co może prowadzić do decyzji w sprawie "Schrems III" w 2024 lub 2025 roku. Wiele zależy od faktycznego wypełnienia przez USA swoich zobowiązań wynikających z nowego mechanizmu. Niejasne jest również, czy i w jaki sposób sekcja 702 FISA zostanie przedłużona po wygaśnięciu pod koniec bieżącego roku.

Czytaj w LEX: Jakubik Mateusz, Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich (SCC) >

Praktyczne znaczenie tej decyzji dla biznesu może być ogromne. W przypadku transferu danych na podstawie decyzji o adekwatności nie jest konieczna ocena ryzyka, praktyk organów w zakresie dostępu do danych i ryzyka danych. Taki transfer dokonany przez przedsiębiorstwo nie może być zakwestionowany przez organ nadzorczy. Decyzja o adekwatności może także legalizować korzystanie z narzędzi takich jak Google Analytics w zakresie transferu danych. Kwestionowanie działania tego narzędzia było związane z transferem danych do USA, ale dzięki decyzji o adekwatności podmioty takie jak Google znajdują się na liście certyfikowanych podmiotów w ramach Data Privacy Framework (ze względu na wcześniejszą certyfikację w ramach Privacy Shield, który wcześniej działał w USA).

Krzysztof Kaźmierczak, Data Protection Specialist RK RODO.

Czytaj w LEX: Wyderka Krzysztof, Podejście oparte na ryzyku a transfery danych osobowych do państw trzecich w świetle orzecznictwa Trybunału Sprawiedliwości oraz praktyki organów nadzorczych >

 

Chcesz zapisać ten artykuł i wrócić do niego w przyszłości? Skorzystaj z nowych możliwości na Moje Prawo.pl

Załóż bezpłatne konto na Moje Prawo.pl >>

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.