Komisja Europejska przyjęła decyzję o ramach i środkach prawnych, które zapewnią bezpieczeństwo dla przesyłania danych osobowych do podmiotów prywatnych oraz publicznych w USA.
Decyzja stwierdzająca odpowiedni stopień ochrony danych została podjęta w ramach UE-USA Data Privacy Framework i opiera się na systemie certyfikacji. Dla przekazywania danych osobowych z UE do takich certyfikowanych przedsiębiorstw nie będzie istniał wymóg wprowadzania dodatkowych zabezpieczeń.
Przystąpienie podmiotów amerykańskich do ramach UE-USA Data Privacy Framework wiązać się będzie ze zobowiązaniem do przestrzegania opracowanego zbioru zasad dotyczących prywatności – porównywalnych do tych gwarantowanych w UE.
Należy jednak pamiętać, że system certyfikacji oznacza możliwość przekazywania danych wyłącznie do podmiotów, które zadeklarowały swoje zobowiązanie do przestrzegania zasad ochrony danych osobowych i widnieją na liście prowadzonej przez amerykański Departament Handlu. Departament będzie również aktualizował dane o certyfikowanych podmiotach i zapewniał ostrzeżenie, że dane organizacje na liście już nie figurują.
Aktualna lista podmiotów jest dostępna pod adresem https://www.dataprivacyframework.gov/s/participant-search
Czy dane osobowe naprawdę będą zabezpieczone przez niewłaściwym wykorzystaniem?
UE-USA Data Privacy Framework wychodzi naprzeciw wszelkim wątpliwościom podnoszonym przez Trybunał Sprawiedliwości UE w wydanym w 2020 r. wyroku w sprawie C-311/18, powszechnie znanym jako Schrems II. W szczególności UE-USA Data Privacy Framework wprowadza ograniczenie dostępu amerykańskich służb wywiadowczych do danych osobowych pozyskanych z UE wyłącznie w zakresie niezbędnym i proporcjonalnym. Ustanowiony zostanie również właściwy sąd ds. ochrony danych osobowych, który będzie niezależnie badał i rozstrzygał skargi, w tym poprzez przyjęcie wiążących środków naprawczych. Przykładowo, w przypadku gdy taki sąd stwierdzi, że dane zostały zebrane z naruszeniem nowych zabezpieczeń, będzie mógł nakazać ich usunięcie.
Jak bezpiecznie można będzie przekazywać dane?
Wprowadzone przez Stany Zjednoczone zabezpieczenia ułatwią transatlantyckie przepływy danych. Nie oznacza to jednak, że takie środki jak standardowe klauzule umowne (SCC), czy wiążące reguły korporacyjne (BCR) powinny zostać w ogóle wyeliminowane z obrotu. Nadal administrator danych zobligowany będzie do oceny, czy w związku z przetwarzaniem danych osobowych w organizacji wiąże się ryzyko lub wysokie ryzyko naruszenia praw osób, których dotyczą.
Czy decyzja Komisji Europejskiej upadnie?
Założenia UE-USA Data Privacy Framework niemal natychmiast po ich wydaniu skrytykowała organizacja założona przez Maksymiliana Schremsa ‘None of Your Business’ (NOYB), zarzucając Komisji niewielką troskę o praworządność i prywatność obywateli. NOYB wskazuje, że wydana decyzja jest powieleniem zakwestionowanych przez TSUE rozwiązań zawartych w Privacy Shield oraz Safe Harbour i już ma gotową kolejną skargę do TSUE.
Autor: r. pr. Anna Zabielska, Kancelaria Prawna Chałas i Wspólnicy