14 lipca 2023 Szymon Sieniewicz Data Privacy

Transfery danych osobowych do USA – nowa decyzja Komisji Europejskiej

Transfery danych osobowych do Stanów Zjednoczonych od dawna budzą wiele emocji i wiążą się z licznymi wątpliwościami. 10 lipca 2023 r. Komisja Europejska przyjęła długo wyczekiwaną decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych w USA w ramach EU-U.S. Data Privacy Framework. Decyzja Komisji weszła w życie wraz z jej przyjęciem i stanowi odpowiedź na wydane przez prezydenta USA Joe Bidena w 2022 r. rozporządzenie wykonawcze (executive order), wdrażające zmiany w amerykańskim prawie wynikłe z zawartego porozumienia pomiędzy Unią Europejską i USA w sprawie Transatlantyckich Ram Ochrony Prywatności Danych (Trans-Atlantic Data Privacy Framework).

Decyzja w sprawie adekwatności

Decyzja w sprawie adekwatności jest wygodnym mechanizmem transferowym, na podstawie którego można przekazywać dane osobowe poza Europejski Obszar Gospodarczy. Komisja wskazała w najnowszej decyzji, że przeanalizowała prawo i praktykę Stanów Zjednoczonych, a następnie na tej podstawie ustaliła, że USA zapewnia ochronę danych osobowych na poziomie porównywalnym z Unią Europejską. Dotyczy to jednak tylko danych osobowych przekazywanych na podstawie EU-U.S. Data Privacy Framework. Jest to już trzecia decyzja dotycząca transferów danych do Stanów Zjednoczonych wydana w ostatnich latach. Wcześniejsze decyzje w tym zakresie, tj. Safe Harbour i Privacy Shield zostały unieważnione wyrokami wydanymi przez Trybunał Sprawiedliwości Unii Europejskiej, odpowiednio w sprawach Schrems I (C-362/14) i Schrems II (C-311/18).

Czy można zatem swobodnie transferować dane osobowe do USA?

Pomimo wszechobecnego entuzjazmu należy podkreślić, że przyjęcie decyzji przez Komisję nie oznacza, że od 10 lipca br. można swobodnie transferować dane osobowe do Stanów Zjednoczonych bez wdrażania odpowiednich zabezpieczeń, o których mowa w art. 46 ust. 2 RODO, takich jak standardowe klauzule umowne (SKU), jak również bez przeprowadzania transfer impact assessment (TIA). Decyzja wprowadza bowiem system certyfikacji, do którego mogą przystąpić podmioty amerykańskie. Muszą one zobowiązać się do przestrzegania zasad Data Privacy Framework, jak również zasad uzupełniających, a następnie złożyć oświadczenie o zobowiązaniu się do ich przestrzegania. W związku z tym w oparciu o nową decyzję i bez stosowania dodatkowych zabezpieczeń dane osobowe mogą być transferowane wyłącznie do certyfikowanych organizacji w USA, które uczestniczą w programie Data Privacy Framework.

Podmioty z Europejskiego Obszaru Gospodarczego (w tym polskie firmy) planujące transferować dane osobowe do USA powinny w pierwszej kolejności sprawdzić, czy amerykańska organizacja, do której ma nastąpić transfer, dołączyła do programu Data Privacy Framework. Lista takich podmiotów ma być prowadzona przez Departament Handlu Stanów Zjednoczonych. Z informacji zamieszczonych na stronie poświęconej Privacy Shield wynika, że nowa strona internetowa dla programu Data Privacy Framework zostanie uruchomiona 17 lipca 2023 r. W konsekwencji w przypadku zamiaru przekazywania danych osobowych do podmiotu w USA, który nie znajduje się na liście prowadzonej przez Departament Handlu USA, ewentualny transfer danych będzie odbywał się na dotychczasowych zasadach, a zatem konieczne będzie zastosowanie przez eksportera danych odpowiednich zabezpieczeń (zwykle będą to SKU i ewentualnie niezbędne środki uzupełniające) oraz przeprowadzenie TIA. 

Jaka jest przyszłość transferów danych do USA?

Z faktu przyjęcia kolejnej decyzji w sprawie adekwatności w stosunku do USA nie jest zadowolony Max Schrems, współzałożyciel oraz honorowy przewodniczący organizacji NOYB (none of your business). NYOB wskazuje, że nowy mechanizm transferowy za bardzo przypomina Privacy Shield. Organizacja zapowiedziała już złożenie skargi na decyzję Komisji do Trybunału Sprawiedliwości Unii Europejskiej. 

Rekomendacje

Zanim skargą NYOB zajmie się Trybunał Sprawiedliwości Unii Europejskiej i wyda w tej sprawie wyrok, może minąć wiele miesięcy, a nawet kilka lat. Do tego czasu będziemy mieć do czynienia z niepewnością co do nowego mechanizmu transferowego do USA.

Dlatego rekomendujemy:

1. zidentyfikowanie wszystkich transferów danych osobowych do USA;

2. sprawdzenie, czy organizacja z USA, do której transferujemy lub planujemy transferować dane osobowe, uczestniczy w programie EU-U.S. Data Privacy Framework:

  • w przypadku odpowiedzi negatywnej, należy stosować dodatkowe zabezpieczenia przewidziane w art. 46 ust. 2 RODO;
  • w przypadku odpowiedzi pozytywnej, warto rozważyć dalsze stosowanie standardowych klauzul umownych, aby uniknąć w przyszłości problemu w przypadku ewentualnego unieważnienia decyzji w sprawie EU-U.S. Data Privacy Framework;

3. dalsze przeprowadzanie TIA w zakresie transferów danych osobowych do USA (TIA może być odpowiednio krótsza w przypadku objęcia transferu decyzją w sprawie adekwatności).

W razie jakichkolwiek pytań lub wątpliwości, zapraszamy serdecznie do kontaktu z naszym zespołem TMT/IP.