Można czy nie można transferować do USA?

0
537

10 lipca br. Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez Stany Zjednoczone. Od teraz przekazywanie danych między UE a USA będzie znacznie łatwiejsze.

Ułatwienie z pewnością ucieszy strony zaangażowane w proces przekazywania danych po obu stronach Atlantyku. Analogiczna decyzja podjęta została 17 lipca br. również przez Wielką Brytanię i Szwajcarię.

Co to dokładnie oznacza dla przedsiębiorców?

Przedsiębiorcy mają nową podstawę prawną do przesyłania danych między UE i USA – Data Privacy Framework (DPF) – Ramy Ochrony Prywatności, co oznacza, że nie będzie konieczności stosowania dodatkowych środków bezpieczeństwa przy przesyłaniu danych osobowych za ocean. Jest to ważna informacja dla firm korzystających z amerykańskich narzędzi do przetwarzania danych (np. aplikacje, serwery, analityka stron www) lub posiadających tam klientów.

Decyzja w sprawie DPF nie obejmuje USA jako państwa, odnosi skutek tylko wobec podmiotów, które przeszły samocertyfikację i zostały wpisane na listę Departamentu Handlu USA. Na stronie dataprivacyframework.gov jest aktualny wykaz takich firm.

Uwaga: W przypadku podmiotów nie znajdujących się na ww. liście obowiązuje przeprowadzenie regularnej TIA ze wszystkimi sześcioma krokami (EROD 01/2020).

DPF to trzecia decyzja o adekwatności – w miejsce poprzednio uchylonych:

  1. Safe Harbor – uchwalona w 2000 r., unieważniona w 2015 r. przez Trybunał Sprawiedliwości UE (Schrems I),
  2. Privacy Shield (Tarcza Prywatności) – uchwalona w 2016 r., unieważniona w 2020 r. przez Trybunał Sprawiedliwości UE (Schrems II).

Konsekwencja i determinacja Maxa Schremsa, aktywisty z Austrii, doprowadziła dwukrotnie do zmiany zawartych porozumień pomiędzy UE a USA w sprawie zasad przekazywania danych osobowych. Główny zarzut polegał na braku wystarczającej ochrony i kontroli nad dostępem do danych osobowych obywateli EOG przechowywanych na terenie USA oraz pełny, nieograniczony dostęp do nich amerykańskich agencji wywiadowczych.

Organizacja NOYB (none of your business) kierowana przez Maxa Schremsa już zapowiedziała trzecie starcie przed TSUE.

Jak będzie w przypadku DPF? Zobaczymy.

Co wprowadzają Ramy Ochrony Prywatności UE-USA?

Mechanizm DPF wprowadza wiele nowych wiążących zabezpieczeń, takich jak:

  • ograniczenie dostępu amerykańskich służb wywiadowczych do danych osobowych Europejczyków tylko do tego, co jest niezbędne i proporcjonalne do ochrony bezpieczeństwa narodowego USA;
  • powołanie dwuinstancyjnego mechanizmu odwoławczego zwanego sądem (Data Protection Review Court), z którego mogą skorzystać osoby fizyczne z EOG w celu uzyskania zadośćuczynienia za naruszenie ich praw;
  • wprowadzenie okresowych przeglądów funkcjonowania Ram Ochrony Prywatności pomiędzy UE i USA prowadzonych przez KE, europejskie organy nadzorcze oraz właściwe organy USA. Pierwszy przegląd odbędzie się po roku od wejścia w życie DPF. 

Z perspektywy europejskiej organizacji eksportującej dane osobowe do USA kluczowe będzie zatem uzyskanie od kontrahentów zza oceanu informacji, czy podlegają nowemu mechanizmowi, oraz uwzględnienie odpowiednich gwarancji w umowach.

W przypadku transferów, w stosunku do których nie będzie możliwe poleganie na decyzji o adekwatności, europejskie podmioty wysyłające dane osobowe do USA będą musiały w dalszym ciągu stosować Standardowe Klauzule Umowne lub Wiążące Reguły Korporacyjne, a także – w zależności od poziomu ryzyka danego transferu – dodatkowe zabezpieczenia techniczne oraz organizacyjne.

Teresa Grabowska
TG-Doradztwo i Zarządzanie