Dnia 10 lipca 2023 r. Komisja Europejska wydała długo wyczekiwaną decyzję o adekwatności poziomu ochrony danych osobowych zapewnianego przez USA w ramach Ram Prawnych dla Ochrony Prywatności. Decyzja Komisji zaakceptowała wprowadzony przez USA nowy pakiet aktów prawnych. Uznała go za mechanizm zapewniający odpowiednią ochronę danych osobowych na poziomie nie gorszym niż ustawodawstwo unijne.
Dla kogo niniejsza decyzja ma istotne znaczenie? Przede wszystkim dla przedsiębiorców udostępniających dane osobowe podmiotom mającym siedzibę, pracowników lub infrastrukturę służącą do przechowywania danych na terenie Stanów Zjednoczonych. Od momentu jej wydania, podmioty te nie muszą zawierać z jednostkami organizacyjnymi przetwarzającymi dane osobowe w USA umów opartych o standardowe klauzule umowne zaakceptowane przez Unię Europejską, ani stosować innych mechanizmów mających zapewnić bezpieczeństwo danych osobowych określonych w RODO. Należy jednak pamiętać, że decyzja nie dotyczy wszystkich. Jest jeden, ale bardzo istotny, warunek podmiot amerykański musi posiadać certyfikatu zapewniający zgodność z Ramami Prawnymi dla Ochrony Prywatności. Certyfikaty będą wydawane przez Federalną Komisję ds. Handlu?
Czym jest decyzja o adekwatności?
Zgodnie z artykułem 44 RODO, przekazanie danych osobowych do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) jest możliwe jedynie, gdy zostaną spełnione określone warunki mające zapewnić odpowiedni poziom ochrony tych danych oraz będzie funkcjonowało zapewnienie przestrzegania praw osób, których one dotyczą. Co do zasady, przekazywanie danych osobowych do państwa trzeciego jest możliwe, gdy Komisja Europejska wyda decyzję stwierdzającą, że określony kraj zapewnia ochronę danych na poziomie nie gorszym niż ten ustanowiony przez ustawodawstwo unijne.
W przypadku braku takiej decyzji, aby zapewnić legalność transferu danych poza EOG, konieczne jest zastosowanie dodatkowych mechanizmów prawnych. Najpopularniejszym środkiem wskazanym w RODO jako podstawa transferu danych osobowych są standardowe klauzule umowne przyjęte na mocy decyzji Komisji Europejskiej. Jest to rodzaj szablonowej umowy ustalającej zasady przekazania danych osobowych przez eksportera (podmiot unijny wysyłający dane poza EOG) do importera (podmiot przetwarzający dane w państwie poza EOG). Jakie jest uzasadnienie ich wprowadzenia? Skoro odbiorca danych nie jest zobowiązany do stosowania RODO, a jego obowiązuje w jego państwie ustawodawstwo nie zapewnia właściwej ochrony danych osobowych, należy zobowiązać go umownie do stosowania pewnych zasad. Standardowe klauzule umowne zobowiązują więc importera do wdrożenia dodatkowych zabezpieczeń zapewniających ochronę danych oraz zobowiązują go do przestrzegania szeregu zasad zapewniających respektowanie praw osób, których dane dotyczą, niezależnie od tego, gdzie będą one przetwarzane. W ten sposób prawa osób, których dane dotyczą, są zapewnienie również wówczas, gdy ich dane są przestrzegane poza terytorium EOG.
W tym miejscu należy wskazać, że RODO bardzo szeroko definiuje pojęcie transferu. Transferem danych poza Europejski Obszar Gospodarczy będzie nie tylko przekazywanie i przechowywanie danych osobowych poza EOG, ale także każdy, nawet zdalny dostęp do danych osobowych przez podmioty przebywające w państwie trzecim. Biorąc pod uwagę, że większość informatycznych gigantów, takich jak Google, Meta czy Microsoft posiada główną siedzibę właśnie w USA, praktyczne znaczenie transferu danych do Stanów Zjednoczonych jest bardzo duże.
Skąd potrzeba wydania decyzji?
Wyrokiem z dnia 16 lipca 2020 r. (sprawa C-311/18, Schrems II), Trybunał Sprawiedliwości Unii Europejskiej uznał, że obowiązujący w USA system ochrony danych osobowych, popularnie zwany Tarczą Prywatności (Privacy Shield), nie zapewnia odpowiedniego poziomu ochrony danych osobowych podmiotom przebywającym na terytorium Unii Europejskiej, których dane są przetwarzane w USA. Jedną z przyczyn takiej decyzji był między innymi obowiązek przekazywania przez amerykańskich przedsiębiorców danych osobowych tamtejszym organom państwowym i brak skutecznych regulacji ograniczających ten wymóg. Skutkiem wyroku było uchylenie poprzedniej decyzji Komisji Europejskiej stwierdzającej, że Tarcza Prywatności zapewnia odpowiedni poziom ochrony danych osobowych transferowanych z Unii Europejskiej.
Opisywany wyrok był już drugą sprawą zainicjowaną przez Maximiliana Schremsa, która zakończyła się uchyleniem decyzji stwierdzającej adekwatność poziomu ochrony danych osobowych stosowanej przez Stany Zjednoczone. Niewykluczone, że nie ostatnią.
Jakie zmiany wprowadzają amerykańskie Ramy Prawne dla Ochrony Prywatności?
W przeciwieństwie do Tarczy Prywatności, nowe Ramy Prawne dla Ochrony Prywatności zapewniają znacznie dalej idące środki ochrony praw i wolności osób, których dotyczą dane. Nowe ustawodawstwo gwarantuje nadzór nad przetwarzaniem danych osobowych przekazanych z EOG i ich wykorzystywaniem przez amerykańskie służby wywiadowcze. Ponadto, ustanowiony został mechanizm egzekwowania roszczeń odszkodowawczych przez osoby, których dotyczą dane w przypadku, gdyby ich dane zostały wykorzystane niezgodnie z nowymi ramami prawnymi.
USA powołało Urzędnika do Spraw Ochrony Swobód Obywatelskich, który powinien zapewnić zgodność korzystania z danych osobowych przez amerykańskie służby z zasadami określonymi w nowym ustawodawstwie. Ma on również współpracować z unijnymi organami ochrony danych osobowych (głównie Europejską Radą ds. Ochrony Danych). Dodatkowo, utworzony został Sąd Kontroli Ochrony Danych Osobowych, który ma rozpatrywać środki zaskarżenia pochodzące od osób, których dotyczą dane osobowe przekazane z EOG do USA, w tym skargi na bezprawne korzystanie z danych osobowych przez amerykańskie służby wywiadowcze.
Podsumowanie
Decyzja Komisji Europejskiej niewątpliwie ułatwi prowadzenie działalności gospodarczej podmiotom, które w ramach swojej aktywności rynkowej zajmują się przetwarzaniem danych osobowych i współpracują z amerykańskimi przedsiębiorcami. Obowiązujące od niedawna regulacje znacznie zmniejszą liczbę formalności wymaganych w procesie kontraktowania z podmiotami, które uzyskały certyfikat zgodności z nowym ustawodawstwem. Trzeba jednak pamiętać o konieczności zweryfikowania, czy dany podmiot posiada stosowny certyfikat. Jeżeli go nie uzyskał, należy skorzystać z dostępnych na gruncie RODO mechanizmów transferu, w szczególności standardowych klauzul umownych.