Właśnie ruszył program ułatwiający transfer danych osobowych do USA więc jeżeli w pracy korzystasz z aplikacji od amerykańskich firm takich jak Google, Meta, Microsoft, Intercom, Asana, HubSpot czy Pipedrive to jest doskonała wiadomość dla Ciebie.
10 lipca br. Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez Stany Zjednoczone. Od teraz przekazywanie danych między UE a USA będzie znacznie łatwiejsze, co z pewnością ucieszy strony zaangażowane w ten proces po obu stronach Atlantyku. 17 lipca br. analogiczna decyzja podjęta została również przez Wielką Brytanię i Szwajcarię
Co to dokładnie oznacza dla przedsiębiorców?
Przedsiębiorcy mają nową podstawę prawną do przesyłania danych między UE i USA – Data Privacy Framework (DPF) – Ramy Ochrony Prywatności, co oznacza, że nie będzie konieczności stosowania dodatkowych środków bezpieczeństwa przy przesyłaniu danych osobowych za ocean. Jest to ważna informacja dla firm korzystających z amerykańskich narzędzi do przetwarzania danych (np. aplikacje, serwery, analityka stron www) lub posiadających tam klientów.
Decyzja w sprawie DPF nie obejmuje USA jako państwa, odnosi skutek tylko wobec podmiotów, które przeszły samocertyfikację i zostały wpisane na listę Departamentu Handlu USA. Na stronie dataprivacyframework.gov jest aktualny wykaz takich firm.
Organizacja amerykańska dostosowuje swoją działalność i procedury do Zasad Ram Ochrony Prywatności, oświadczając publicznie, że będzie ich przestrzegać. Po złożeniu wniosku do Departamentu Handlu USA jest wpisywana na listę DPF z której może być usunięta w przypadku naruszenia Zasad
Uwaga W przypadku podmiotów nie znajdujących się na ww. liście obowiązuje przeprowadzenie regularnej TIA ze wszystkimi sześcioma krokami (EROD 01/2020).
DPF to trzecia decyzja o adekwatności – w miejsce poprzednio uchylonych:
- Safe Harbor – uchwalona w 2000 r, unieważniona w 2015 r przez Trybunał Sprawiedliwości UE (Schrems I),
- Privacy Shield (Tarcza Prywatności) – uchwalona w 2016r, unieważniona w 2020 r przez Trybunał Sprawiedliwości UE (Schrems II).
Konsekwencja i determinacja Maxa Schremsa, aktywisty z Austrii doprowadziła dwukrotnie do zmiany zawartych porozumień pomiędzy UE a USA w sprawie zasad przekazywania danych osobowych. Główny zarzut polegał na braku wystarczającej ochrony i kontroli nad dostępem do danych osobowych obywateli EOG przechowywanych na terenie USA oraz pełny, nieograniczony dostęp do nich amerykańskich agencji wywiadowczych.
Jak będzie w przypadku DPF? Zobaczymy.
Biorąc jednak pod uwagę, że obecna umowa jest strukturalnie taka sama jak dwie poprzednie, jest bardzo prawdopodobne, że TSUE ponownie ją unieważni. Zwłaszcza, że organizację NOYB („none of your business”) kierowaną przez Maxa Schremsa, już zapowiedziała trzecie starcie przed TSUE.
Co wprowadzają Ramy Ochrony Prywatności UE-USA ?
Mechanizm DPF wprowadza szereg nowych wiążących zabezpieczeń takich jak:
- ograniczenie dostępu amerykańskich służb wywiadowczych do danych osobowych Europejczyków tylko do tego, co jest niezbędne i proporcjonalne do ochrony bezpieczeństwa narodowego USA,
- powołanie dwuinstancyjnego mechanizmu odwoławczego zwanego sądem (Data Protection Review Court), z którego mogą skorzystać osoby fizyczne z EOG w celu uzyskania zadośćuczynienia za naruszenie ich praw,
- wprowadzenie okresowych przeglądów funkcjonowanie Ram Ochrony Prywatności pomiędzy UE i USA prowadzonych przez KE, europejskie organy nadzorcze oraz właściwe organy USA. Pierwszy przegląd odbędzie się po roku od wejścia w życie DPF
- możliwość, dla podmiotów z EOG, że będą mogły polegać na tych zabezpieczeniach przy transatlantyckim przekazywaniu danych, również w przypadku stosowania innych mechanizmów przekazywania danych, takich jak standardowe klauzule umowne i wiążące reguły korporacyjne.
Z perspektywy europejskiej organizacji eksportującej dane osobowe do USA kluczowe będzie zatem uzyskanie od kontrahentów zza oceanu informacji o tym czy podlegają nowemu mechanizmowi oraz uwzględnienie odpowiednich gwarancji w umowach.
W przypadku transferów, w stosunku do których nie będzie możliwe poleganie na decyzji o adekwatności, europejskie podmioty wysyłające dane osobowe do USA będą musiały w dalszym ciągu stosować Standardowe Klauzule Umowne lub Wiążące Reguły Korporacyjne, a także – w zależności od poziomu ryzyka danego transferu – dodatkowe zabezpieczenia techniczne oraz organizacyjne.
Przyszłości transferów danych z UE do USA
Mamy w tej chwili pewne zamieszanie z uwagi na:
- karę nałożoną na META ( 12.05.2023r) – 1,2 mld €,
- kary nałożoną za Google Analytics (03.07.2023r) – 1 mln € i 26 tys.€,
- krytykę decyzji KE – jeszcze na etapie projektu – przez EROD i PE zwłaszcza w zakresie samocertyfikacji podmiotów,
Zanim sprawa ważności decyzji Komisji Europejskiej ponownie trafi pod ocenę Trybunału Sprawiedliwości Unii Europejskiej może minąć nawet 2-3 lata. W tym okresie mamy pełne prawo stosować decyzję DPF sprawdzając jednak na bieżąco czy dany podmiot znajduje się na liście Departamentu Handlu USA. W najbliższym czasie możemy w kwestii przepływu danych do USA spodziewać się nieco więcej spokoju niż w ostatnich miesiącach, jednak zdecydowanie nie jest to jeszcze koniec sporów.
Teresa Grabowska
TG-Doradztwo i Zarządzanie