Przekazywanie danych osobowych do USA – nowe zasady i wyzwania
UE-USA Data Privacy Framework wprowadza nowe ramy prawne, które umożliwią bezpieczne przekazywanie danych osobowych do USA. Tymczasem Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych. Nowe zasady opierają się jednak na systemie certyfikacji, który pozwala firmom w USA odbierać dane z Unii Europejskiej bez konieczności stosowania dodatkowych zabezpieczeń.
Na czym polega system certyfikacji?
Przystępując do UE-USA Data Privacy Framework, amerykańskie firmy zobowiązują się do przestrzegania zasad ochrony danych zgodnych ze standardami europejskimi. Departament Handlu USA prowadzi publiczny rejestr podmiotów certyfikowanych i aktualizuje listę organizacji, które mogą legalnie przetwarzać dane z UE. Lista jest dostępna online: data privacy framework list.
Czy przekazywanie danych osobowych do USA jest rzeczywiście bezpieczne?
Nowe przepisy odpowiadają na zastrzeżenia Trybunału Sprawiedliwości UE z wyroku Schrems II (C-311/18). Ograniczają dostęp amerykańskich służb do danych pozyskanych z UE wyłącznie do sytuacji niezbędnych i proporcjonalnych. Dodatkowo powołany zostanie niezależny sąd ds. ochrony danych osobowych w USA. Będzie on rozstrzygał skargi obywateli i nakładał środki naprawcze – w tym usuwanie danych zebranych z naruszeniem przepisów.
Administratorzy nadal mogą korzystać z dotychczasowych rozwiązań, takich jak standardowe klauzule umowne (SCC) i wiążące reguły korporacyjne (BCR). Zobowiązani są jednak do każdorazowej oceny ryzyka związanego z przetwarzaniem danych osobowych w kraju trzecim. UE-USA Data Privacy Framework stanowi dodatkowe narzędzie, które ułatwi legalne i bezpieczne transfery danych.
Czy decyzja Komisji Europejskiej przetrwa próbę czasu?
Organizacja NOYB założona przez Maxa Schremsa już zapowiedziała zaskarżenie decyzji do TSUE. Jej zdaniem, nowe zasady nie wprowadzają realnych zmian i przypominają wcześniejsze, unieważnione mechanizmy: Privacy Shield oraz Safe Harbour. Organizacja zarzuca Komisji niewystarczającą troskę o prywatność obywateli UE.
Autor: r. pr. Anna Zabielska, Kancelaria Prawna Chałas i Wspólnicy