Szansa na bezpieczny transfer danych osobowych do USA (?)

Biały Dom w oświadczeniu prasowym z 7 października 2022 roku wskazał, że: „Transatlantycki przepływ danych jest kluczowy dla prawidłowego funkcjonowania relacji ekonomicznych pomiędzy UE a USA, których wartość opiewa na 7,1 bln dolarów”.  Problem jednak w tym, że w związku z praktycznie nieograniczonym dostępem do danych osobowych przez amerykańskie służby i brakiem wystarczających gwarancji chroniących prywatność Europejczyków, legalność transferu danych osobowych za ocean jest kwestionowana.

To m.in. dlatego, że Trybunał Sprawiedliwości Unii Europejskiej wyrokiem z dnia 16 lipca 2020 roku (sprawa C-311/18) unieważnił dotychczasową decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, a w konsekwencji zakwestionował możliwość przekazywania danych osobowych z UE do USA na podstawie programu Tarcza Prywatności. Wcześniej, w 2015 r. TSUE w wyroku C-362/14 zakwestionował z kolei przepisy tzw. Safe Harbour, czyli wcześniejszą podstawę dla przekazywania danych osobowych do USA.

W efekcie wyroku TSUE z lipca 2020 roku, transfer danych osobowych do USA został znacznie utrudniony. Dane osobowe mogą być przekazywane obecnie w ramach standardowych klauzul umownych, na podstawie decyzji wykonawczej Komisji (UE) 2010/87 w sprawie standardowych klauzul umownych (SCC), na dziś zastąpioną przez decyzję wykonawczą Komisji (UE) 2021/914. Na administratorów danych przerzucona została jednak konieczność oceny co do stopnia ochrony danych istniejącego w państwie trzecim, w tym uprawnień organów władzy publicznej tego państwa odnośnie dostępu do transferowanych danych. Przy podejmowaniu tych decyzji, administratorzy mogą korzystać z ocen bezpieczeństwa transferów dokonywanych przez organy nadzoru, w tym zwłaszcza z przyjętych 10 listopada 2020 r. rekomendacji EROD dotyczących przekazywania danych osobowych poza obszar Unii Europejskiej.

Problem zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych transferowanych do USA, a tym samym legalności takiego transferu danych ma rozwiązać podpisany przez Prezydenta Joe Bidena w dniu 7 października 2022 roku dekret – Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, który ma na celu wdrożenie do systemu prawnego USA postanowień zawartego w marcu tego roku porozumienia Trans-Atlantic Data Privacy Framework.

Dekret zobowiązuje właściwe organy państwowe do implementacji odpowiednich wytycznych w celu zagwarantowania efektywnej ochrony danych osobowych, ograniczając przy tym możliwości przetwarzania danych osobowych przez agencje wywiadowcze, które będą musiały badać proporcjonalność, właściwość i niezbędność zamierzonych działań, a także dokonywać ich w ściśle określonych celach, związanych z ochroną bezpieczeństwa narodowego. Wykorzystywanie danych osobowych przez amerykańskie agencje wywiadowcze będzie podlegać wielopoziomowej kontroli: przez organ nadzorczy, a także przez specjalny sąd Data Protection Review Court. Sąd ten będzie rozpatrywał skargi obywateli UE, w kwestii nieprawidłowego przetwarzania ich danych osobowych.

Porozumienie Trans-Atlantic Data Privacy Framework oraz Dekret podpisany przez Joe Bidena nie wprowadzają jeszcze mechanizmu bezpiecznego transferu danych do USA. Dopiero odpowiednia decyzja wykonawcza Komisji Europejskiej, w której na podstawie art. 45 RODO Komisja potwierdzi odpowiedni stopień ochrony danych osobowych przez USA, da podstawę do bezpiecznego transferu danych osobowych z UE do USA.

Wprowadzenie zasady „niezbędności” i „proporcjonalności”, jak również specjalnego sądu ma sprawić odpowiedni poziom ochrony danych osobowych i organicznie dostępu do danych Europejczyków przez amerykańskie służby. Według jednych jest to przełom w kwestii ochrony danych osobowych Europejczyków w USA, a według drugich nie ma jednak powodów do euforii. Wskazane zasady nie będą rozumiane podobnie jak w Europie na gruncie rozporządzenia RODO, a specjalny sąd będzie jedynie organem władzy wykonawczej. Czas pokaże, czy kolejna decyzja Komisji Europejskiej nie zostanie zaskarżona przed TSUE, tak jak dwie poprzednie.