Wzmocniona Ochrona Danych Osobowych w Transatlantyckim Transferze UE-USA
W dzisiejszym dynamicznym światowym krajobrazie cyfrowym, ochrona danych osobowych stała się nieodzownym elementem. Transfer danych osobowych przez amerykańskie portale społecznościowe czy używanie przez europejskich przedsiębiorców amerykańskich chmur jest częstym zjawiskiem w prowadzonym biznesie. Wiąże się z tym transfer danych osobowych do państwa trzeciego. Pojęcie „państwa trzeciego” określa państwa nienależące do Europejskiego Obszaru Gospodarczego, czyli m.in. USA.
W przypadku państw trzecich przekazanie danych osobowych, może nastąpić na przykład na podstawie decyzji stwierdzającej odpowiedni stopień ochrony w państwie docelowym.
Do tej pory transfer danych osobowych do USA wiązał się z pewnym ryzkiem. Przekonała się o tym amerykańska spółka Meta (właściciel Facebooka), na którą za transfer niezgodny z unijnymi przepisami została w tym roku nałożona kara w wysokości 1,2 mld euro.
Poprzednie zasady regulujące tą materię to tak zwana „Tarcza Prywatności” („Privacy Shield”), tj. decyzja wykonawcza Komisji (UE) z dnia 12 lipca 2016 nr 2016/1250, uznająca, że przepisy obowiązujące w Stanach Zjednoczonych zapewniają odpowiedni stopień ochrony danych osobowych. „Tarcza Prywatności” stanowiła główną podstawę prawną umożliwiającą legalne przekazywanie danych osobowych do USA, spełniającą wymogi RODO. Jednakże, ustalenie podstawy prawnej transferu danych osobowych do USA skomplikował wyrok Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) z dnia 16 lipca 2020 (sygn. sprawy C-311/18) Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems tzw. Schrems II („Wyrok”). Wyrok unieważnił „Tarczę Prywatności”. Orzeczenie TSUE uzasadniono sytuacją prawną oraz praktykami stosowanymi w USA w zakresie przekazywania danych organom ścigania oraz władzom publicznym, w szczególności rygorystyczne przepisy inwigilacyjne.
Wyrok Schrems II zmienił zasady gry. Legalnym sposobem na transfer danych osobowych z UE do USA było zastosowanie tzw. Standardowych klauzul umownych („SCC”) co wymagało przeprowadzenia m.in. oceny ryzyka transferu danych osobowych. Taki stan prawny stanowił nie lada utrudnienie w prowadzeniu biznesu szczególnie dla mniejszych przedsiębiorców. Również dla dużych przedsiębiorstw nic co nie wynika wprost z przepisów nie ułatwia prowadzenia działalności i jest dodatkowym kosztem, a nawet może stanowić dodatkowe ryzko.
W wyniku długotrwałych prac nad tworzeniem nowych zasad regulujących przekazywanie danych osobowych pomiędzy Unią Europejską, a Stanami Zjednoczonymi w dniu 10 lipca 2023 roku Komisja Europejska podjęła decyzję, na podstawie artykułu 45 RODO, dotyczącą ustanowienia odpowiedniego poziomu ochrony danych osobowych poprzez mechanizm znany jako „Ramy ochrony danych UE-USA” („Data Privacy Framework”, „DPF”). DPF stanowi krok milowy w kierunku umocnienia ochrony danych osobowych w transatlantyckim transferze.
Rama ochrony danych UE-USA: Kluczowe Punkty Decyzji
Od dnia 10 lipca 2023 roku podstawę transferu danych osobowych do USA mogą stanowić SCC albo na podstawie art. 45 RODO decyzja o adekwatności tj. omawiana DPF.
Ta przełomowa decyzja Komisji Europejskiej ma na celu zapewnienie odpowiedniego poziomu ochrony danych osobowych w ramach transferu między Unią Europejską a Stanami Zjednoczonymi. Data Privacy Framework (DPF) – Ramy ochrony danych UE-USA – zostały przyjęte, aby wprowadzić skuteczne mechanizmy, które gwarantują, że dane osobowe przesyłane za ocean są równie dobrze chronione, jak w ramach RODO w UE. Warto jednak zauważyć, że DPF jest inna od decyzji tego typu wydanych w zakresie przesyłania danych osobowych poza UE np. transferowanych do Wielkiej Brytanii. Co do zasady decyzje wydane na podstawie art. 45 RODO stanowią podstawę prawną każdego transferu danych osobowych do danego państwa trzeciego. Natomiast DPF legalizuje transfer danych wyłącznie do przedsiębiorstw, które dobrowolnie przeszły proces certyfikacji i potwierdziły zgodność z warunkami zawartymi w DPF. Innymi słowy, firmy te zadeklarowały, że przestrzegają przepisy RODO. Jeżeli chcesz sprawdzić czy Twój kontrahent z USA przeszedł pozytywnie proces certyfikacji i przesłanie danych osobowych do tego przedsiębiorcy może odbyć się na podstawie DPF, możesz zapoznać się z oficjalną listą tych przedsiębiorstw wydaną przez Departament Handlu tutaj.
Mechanizmy Ochrony Danych w Data Privacy Framework (DPF)
Decyzja Komisji Europejskiej wprowadza zaawansowane mechanizmy ochrony danych w ramach DPF. W skład tych narzędzi wchodzą m.in. rygorystyczne zobowiązania, ścisły nadzór nad przestrzeganiem przepisów, skuteczne środki ochrony danych oraz mechanizmy egzekwowania i wnoszenia skarg na niezgodne z prawem wykorzystanie danych osobowych. Wszystko to ma na celu stworzenie bezpiecznego środowiska dla przesyłania danych osobowych między kontynentami.
Przed wydaniem Decyzji DPF, prezydent Stanów Zjednoczonych podpisał Rozporządzenie wykonawcze z 7 października 2022 r. („Rozporządzenie”), które wprowadza zasady prowadzenia działań wywiadu elektromagnetycznego w Stanach Zjednoczonych, aby były prowadzone:
- jedynie do realizacji celów bezpieczeństwa narodowego określonych w Rozporządzeniu,
- wyłącznie w sytuacji, gdy jest to niezbędne do realizacji uzasadnionego celu wywiadowczego,
- wyłącznie w stopniu i w sposób, aby były one proporcjonalne do realizacji celu wywiadowczego,
- tak, aby działania wywiadu nie ingerowały w sposób nieproporcjonalny w prywatność i swobody obywatelskie jakichkolwiek osób, niezależnie od narodowości lub kraju zamieszkania tych osób,
- zgodnie z zasadą minimalizacji danych.
Rozporządzenie wprowadza dwupoziomowy mechanizm wnoszenia skarg na niezgodne z prawem wykorzystanie danych osobowych przez służby wywiadowcze. Osoba składająca skargę ma możliwość zwrócenia się do Urzędnika ds. Ochrony Wolności Obywatelskich (CLPO), którego decyzje są wiążące dla podmiotu należącego do Wspólnoty Wywiadowczej. Strona niezadowolona z decyzji CLPO może odwołać się do sądu ds. kontroli ochrony danych osobowych (Data Protection Review Court, DPRC).
Ponadto DPF reguluje, kwestie składania skarg przez podmiot danych. Podmiot danych może w swoim kraju złożyć skargę do organu nadzorczego. Organ ten, za pośrednictwem Europejskiej Rady Ochrony Danych Osobowych będzie mógł w ich imieniu złożyć skargę do:
- Rzecznika Ochrony Wolności Obywatelskich („Civil Liberties Protection Officer”),
- Złożyć odwołanie od decyzji ROWO do tzw. Sądu Rewizyjnego ds. Ochrony Danych („Data Protection Review Court”) – niezależnego od władz amerykańskich organu, mającego uprawnienie do uzyskania informacji od amerykańskich agencji wywiadowczych i nakazywania im usuwania danych osobowych.
Porównanie z RODO: Bezpieczeństwo na Poziomie Międzynarodowym
O ile RODO odgrywa kluczową rolę w ochronie danych osobowych w Unii Europejskiej, nowa Rama ochrony danych UE-USA rozszerza tę ochronę na poziom międzynarodowy. DPF został stworzony w taki sposób, aby zapewnić porównywalny poziom ochrony, eliminując luki w transatlantyckim przekazywaniu informacji osobistych. DPF na przedsiębiorców, którzy dokonują certyfikacji nakłada obowiązki określone w RODO jak np. przestrzeganie zasady minimalizacji danych osobowych, zasady rozliczalności, prawa dostępu do danych osobowych.
Wpływ na Firmy i Osoby Prowadzące Działalność Transgraniczną
Decyzja Komisji Europejskiej oznacza ważne zmiany dla firm i podmiotów prowadzących działalność transgraniczną między UE, a USA. DPF tworzy pewność prawna i skuteczne zabezpieczenia dla tych, którzy przesyłają dane osobowe poza granice Unii Europejskiej, a może to mieć miejsce prowadząc np. kampanie marketingowe poprzez portale społecznościowe albo korzystając z chmury amerykańskich serwisów.
Podsumowanie
Nowa decyzja Komisji Europejskiej w sprawie „Ramy ochrony danych UE-USA” stanowi kamień milowy w dziedzinie ochrony danych osobowych. DPF wprowadza zaawansowane mechanizmy, które zapewniają, że dane osobowe są równie dobrze chronione za oceanem, jak w UE zgodnie z RODO. To istotny krok w kierunku wzmocnienia ochrony danych osobowych i bezpieczeństwa w transatlantyckim transferze danych. Transfer danych osobowych do USA w oparciu o DPF jest niewątpliwie prostszy niż stosowanie Standardowych klauzul umownych.
W ocenie DPF należy mieć na uwadze wciąż obowiązującą zasadę wyrażoną w ustawie FISA (Foreign Intelligence Surveillance Act), według której agencje wywiadowcze USA mają nieograniczone prawo do inwigilowania komunikacji obywateli krajów innych niż USA. Czy czeka nas kolejna skarga do TSUE na miarę Schrems II? Czas pokaże.
W zakładce Usługi – RODO znajdziesz więcej informacji na temat zakresu usług Kancelarii w ramach ochrony danych osobowych.
Foto: Karolina Grabowska, Pexels.com