Decyzja Komisji Europejskiej w sprawie przekazywania danych osobowych z Unii Europejskiej do Stanów Zjednoczonych

Komisja Europejska w dniu 10 lipca 2023 r. przyjęła decyzję wykonawczą stwierdzającą odpowiedni poziom ochrony w odniesieniu do Ram Prywatności Danych UE – USA. W decyzji Komisja stwierdziła, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony – porównywalny z poziomem Unii Europejskiej – w odniesieniu do danych osobowych przekazywanych z UE do amerykańskich przedsiębiorstw w ramach nowych ram. W konsekwencji wydanej decyzji, dane osobowe mogą bezpiecznie przepływać z UE do amerykańskich firm uczestniczących w Ramach Prywatności, bez konieczności wprowadzania dodatkowych zabezpieczeń ochrony danych.

Decyzja Komisji Europejskiej została wydana na podstawie art. 45 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), który przyznaje Komisji prawo do podjęcia decyzji, w drodze aktu wykonawczego, że państwo trzecie zapewnia “odpowiedni stopień ochrony” – tj. poziom ochrony danych osobowych, praktycznie równoważny poziomowi ochrony w UE. Skutkiem decyzji stwierdzających odpowiedni poziom ochrony jest to, że dane osobowe mogą swobodnie przepływać z UE (oraz Norwegii, Liechtensteinu i Islandii) do państwa trzeciego bez dalszych przeszkód.

Komisja Europejska wydała decyzję, która zdecydowanie ułatwi transfer danych z Unii Europejskiej do Stanów Zjednoczonych. Przyjęcie decyzji należy ocenić pozytywnie, ponieważ do tej pory transfer danych poza UE był utrudniony z powodu braku unijnej regulacji. Nowa decyzja jest także dużym krokiem naprzód w zakresie ochrony danych osobowych. Pomoże ułatwić transgraniczny przepływ danych i zapewnić, że dane osób, których dane dotyczą, są odpowiednio chronione.

Przypominamy, że przed wydaniem omawianej decyzji, Trybunał Sprawiedliwości Unii Europejskiej unieważnił dwie poprzednie decyzje stwierdzające odpowiedni stopień ochrony danych oraz ułatwiające transfer danych osobowych do USA: (i) decyzję z 2000 r. wydaną po „Bezpiecznej Przystani” oraz (ii) decyzję z 2016 r. wydaną w ramach „Tarczy Prywatności UE–USA”. Poniżej po krótce opisujemy, co tym razem w kwestii przepływu danych osobowych do Stanów Zjednoczonych proponuje Komisja Europejska.

Przyjęte rozwiązania

Na podstawie wydanej decyzji amerykańskie firmy będą mogły dołączyć do Ram Prywatności Danych UE – USA poprzez zobowiązanie się do przestrzegania szczegółowego zestawu obowiązków w zakresie prywatności, jak na przykład wymogu usuwania danych osobowych, gdy nie są one już potrzebne do celów, dla których zostały zebrane oraz zapewnienia ciągłości ochrony, gdy dane osobowe są udostępniane stronom trzecim.

Żeby certyfikować się zgodnie z DPF UE-USA („Data Privacy Framework ” – Ramy Prywatności Danych UE-USA) (lub ponownie certyfikować się co roku), organizacje są zobowiązane do publicznego zadeklarowania swojego zobowiązania do przestrzegania zasad, udostępnienia swoich polityk prywatności i pełnego ich wdrożenia. W ich ramach organizacje muszą przedłożyć Departamentowi Handlu USA informacje dotyczące m.in.: nazwy odpowiedniej organizacji, opisu celów, dla których organizacja będzie przetwarzać dane osobowe, danych osobowych, które będą objęte certyfikacją, a także wybranej metody weryfikacji, odpowiedniego niezależnego mechanizmu odwoławczego i organu ustawowego, który jest właściwy do egzekwowania zgodności z zasadami.

Funkcjonowanie Ram Prywatności Danych UE-USA będzie podlegać okresowym przeglądom, które będą przeprowadzane przez Komisję Europejską wraz z przedstawicielami europejskich organów ochrony danych i właściwych organów USA. Pierwszy przegląd ma obyć się w ciągu roku od wejścia w życie decyzji, w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone do ram prawnych USA i czy skutecznie funkcjonują w praktyce.

Dopiero czas pokaże, czy nowowydana decyzja Komisji Europejskiej w przedmiocie transferu danych osobowych z UE do USE będzie miała powszechne zastosowanie, czy też podobnie jak w stosunku do dwóch poprzednich Trybunał Sprawiedliwości UE stwierdzi jej nieważność.