Już dwukrotnie Trybunał Sprawiedliwości Unii Europejskiej stwierdzał nieważność decyzji, które pozwalały na transfer danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Taka sytuacja miała miejsce w przypadku Safe Harbour oraz Privacy Shield. Powodem było to, że Stany Zjednoczone nie zapewniały odpowiedniej ochrony danym obywateli UE przed dostępem służb amerykańskich. Od niedawna obowiązuje nowa decyzja Komisji Europejskiej o adekwatności USA, która pozwala na przekazywanie danych osobowych w ramach programu Data Privacy Framework
Co różni Data Privacy Framework od poprzednich decyzji wydanych wobec USA?
W Data Privacy Framework rozwiązane są (mają być) wszelkie bolączki poruszone przez Trybunał Sprawiedliwości UE w odniesieniu do decyzji o adekwatności USA, co do których stwierdzono nieważność. W szczególności Data Privacy Framework ma zapewniać dostęp do danych obywateli UE wyłącznie w niezbędnym i proporcjonalnym zakresie. Ponadto, Stany Zjednoczone zobowiązały się do stworzenia sądu, który pozwoli obywatelom UE na uzyskanie ochrony przed naruszeniami danych osobowych (Data Protection Review Court). Projektowany sąd powinien m.in. mieć kompetencję nakazania usunięcia danych osobowych.
Kiedy korzystanie z Data Privacy Framework zapewnia zgodność z RODO?
W praktyce nowa decyzja Komisji Europejskiej powinna działać w następujący sposób: jeżeli amerykańska firma chce przetwarzać dane osobowe z Unii Europejskiej, musi spełniać wymogi wynikające z decyzji Komisji Europejskiej. Wśród nich należy wymienić zobowiązanie się do usunięcia danych osobowych, kiedy przestają być niezbędne. Ponadto, amerykańska firma powinna spełnić dodatkowe wymogi bezpieczeństwa w przypadku przekazywania danych osobowych do podmiotów trzecich; osoby z Unii Europejskiej powinny otrzymać również wsparcie w przypadku naruszeń ich danych osobowych. Ostatecznie firma amerykańska powinna dokonać samocertyfikacji i zgłosić wniosek o wpis do Data Privacy Framework list, która jest dostępna publicznie (https://www.dataprivacyframework.gov/s/participant-search) .
Data Privacy Framework pozwala zatem na przekazywanie danych z UE do organizacji w USA, które są wymienione w „Wykazie ram ochrony danych”. W takim przypadku transfer danych osobowych do USA opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w rozumieniu RODO. To oznacza, że nie ma konieczności korzystania z innych narzędzi przekazywania danych określonych w art. 46 albo art. 49 RODO.
Przyszłość w ciemnych barwach
Wielu przewiduje jednak, że również nowa decyzja Komisji Europejskiej wkrótce będzie przedmiotem (negatywnej) weryfikacji przez Trybunał Sprawiedliwości UE. Wskazuje na to m.in. Max Schrems, którego skargi doprowadziły do stwierdzenia nieważności poprzednich decyzji Komisji Europejskiej. Zdaniem M. Schremsa, również Data Privacy Framework zostanie uznana za nieważną – ma to wynikać z faktu, iż regulacje amerykańskie dotyczące dostępu do danych przez służby amerykańskie wciąż nie uległy zmianie.
Podsumowanie
Aktualnie Data Privacy Framework daje większą pewność w obrocie w zakresie przekazywania danych osobowych do USA. W aktualnym stanie prawnym, transfery danych osobowych do USA są legalne, jeżeli amerykański podmiot przystąpił do Data Privacy Framework i znajduje się w odpowiednim rejestrze. Warto także mieć na uwadze, że nawet jeżeli jednak amerykański podmiot danych w USA nie przystąpił do programu Data Privacy Framework przekazywanie do niego danych osobowych jest możliwe po spełnieniu warunków określonych w art. 46 lub 49 RODO (w tym przy zastosowaniu w odpowiedni sposób standardowych klauzul umownych)
Wiele jednak wskazuje, że przekazywanie danych osobowych do USA na podstawie Data Privacy Framework jest stanem tymczasowym – do chwili stwierdzenia nieważności nowych regulacji przez Trybunał Sprawiedliwości Unii Europejskiej.
W przypadku pytań lub wątpliwości – piotr.mijal@prawo-it.pl
