Nowe zasady transferu danych osobowych do USA na razie bezpieczne

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG), to temat rodzący wiele wątpliwości i praktycznych problemów podmiotom, które mają obowiązek stosować przepisy Ogólnego Rozporządzenia o Ochronie Danych (RODO). Kwestia ta od lat wiązała się z licznymi problemami, zwłaszcza jeśli chodzi o relacje z USA – ze względu na kwestionowanie przez unijne organy i Trybunał Sprawiedliwości Unii Europejskiej (TSUE) zapewniania przez przepisy Stanów Zjednoczonych odpowiedniego poziomu bezpieczeństwa danych osobowych obywateli UE.

TSUE : Od lipca 2023 r. transfer do USA jest bezpieczny

Po kilku latach negatywnej oceny adekwatności amerykańskiego poziomu zabezpieczeń danych osobowych w stosunku do europejskich standardów (zainicjowanej skargami w tzw. sprawach „Schrems I” i „Schrems II”), w lipcu 2023 r. doszło do zawarcia pomiędzy USA i UE porozumienia Data Privacy Framework (DPF), określającego zasady bezpiecznego transferu danych osobowych do Stanów Zjednoczonych. W związku z nim, 12 lipca 2023 r. Komisja Europejska wydała decyzję stwierdzającą, że Data Privacy Framework zapewnia mechanizmy, które gwarantują, że dane osobowe obywateli UE chronione są w Stanach Zjednoczonych na podobnym poziomie, jaki przewidują przepisy RODO.

Na skutek zakwestionowania decyzji KE przez deputowanego francuskiego Zgromadzenia Narodowego do TSUE, Trybunał – postanowieniem z 12 października 2023 r. (sygn.: T-553/23) uznał, że obowiązujące od lipca tego roku zasady transferu, są zgodne ze standardami narzuconymi przez RODO, a tym samym nie uwzględnił wniosku o zawieszenie stosowania DPF do czasu ostatecznego rozpoznania skargi.

Certyfikacja odbiorcy warunkiem legalności

Data Privacy Framework wprowadził instytucję certyfikacji zgodności z jego standardami. Oznacza to, że tylko podmioty, które dobrowolnie zgodzą się na wdrożenie odpowiednich procedur, mogą uzyskać certyfikat potwierdzający ich zgodność z poziomem zabezpieczeń wymaganym przez RODO. Certyfikaty takie wydaje Departament Handlu USA. Co istotne – są one ważne tylko przez rok, a po jego upływie możliwe jest ich odnowienie.

Co to oznacza dla administratorów danych w Polsce?

Decyzja KE z lipca 2023 r., potwierdzona postanowieniem TSUE, w istotny sposób ułatwia transfer do USA danych osobowych przez podmioty działające na terenie Unii Europejskiej – w tym również polskich przedsiębiorców. Do tej pory przekazywanie danych osobowych (np. w ramach współpracy z przedsiębiorcami na terenie USA, w związku z delegowaniem tam pracowników, a nawet gromadzeniem danych elektronicznych na serwerach zlokalizowanych w Stanach Zjednoczonych) wiązało się z szeregiem wątpliwości prawnych i dodatkowych działań w celu weryfikacji rzetelności zagranicznego podmiotu, a także koniecznością uzyskania specjalnego zezwolenia.

Nie zapominajmy o ostrożności

Aktualnie bezpieczny i zgodny z przepisami RODO transfer danych osobowych z Polski do USA wymaga weryfikacji, czy mamy do czynienia z podmiotem legitymującym się aktualnym certyfikatem zgodności z Data Privacy Framework, który jednocześnie publicznie zobowiązuje się do przestrzegania zasad wynikających z RODO (lista takich podmiotów dostępna tutaj).

Sam fakt certyfikacji nie zwalnia oczywiście europejskiego podmiotu z takich obowiązków, jak zamieszczenie w umowie z amerykańskim partnerem odpowiednich klauzul umownych, oświadczeń o uczestnictwie w DPF, zobowiązania do zapewnienia odpowiedniego zabezpieczenia procesów przetwarzania, a także określających zakres i cel transferu danych osobowych do USA.

Jak bezpiecznie przekazywać dane poza EOG?

Musimy pamiętać, że standardy dotyczące ochrony danych osobowych wynikające z RODO, co do zasady dotyczą tylko sytuacji, w których przetwarzanie to odbywa się na terenie EOG.  Przekazanie ich poza ten obszar, bez konieczności dodatkowego zezwolenia, może nastąpić co do zasady tylko do państwa, co do którego KE wydała decyzję w sprawie adekwatności. Do tego grona w lipcu 2023 r. dołączyło właśnie USA. Katalog państw, których poziom bezpieczeństwa został zatwierdzony przez KE znaleźć tutaj.

Natomiast w sytuacji, w której zamierzamy przekazać dane do państwa trzeciego spoza tego katalogu, konieczne jest, by jego przepisy zapewniały egzekwowalne prawa podmiotów danych i skuteczne środki ochrony prawnej. Ponadto, konieczne jest również spełnienie innych warunków bezpieczeństwa. Są nimi w szczególności:

• wiążące reguły korporacyjne
• standardowe klauzule umowne przyjęte lub zatwierdzone przez KE
• zatwierdzone kodeksy postępowania lub
• zatwierdzone mechanizmy certyfikacji.

Wyjątkowo – jeśli również ww. środki bezpieczeństwa nie znajdą zastosowania – transfer danych poza EOG może nastąpić wyłącznie za wyraźną zgodą osoby, której dane mają zostać przekazane, lub gdy jest to niezbędne w szczególności dla takich celów, jak: zawarcie lub wykonanie umowy z taką osobą, ważne względy interesu publicznego, dochodzenie lub ochrona przed roszczeniami, czy też ochrona żywotnych interesów samego zainteresowanego lub innej osoby.

Musimy pamiętać, że formalne uznanie USA jako państwa spełniającego unijne standardy ochrony nie niweluje kontrowersji jakie wiążą się z oceną tamtejszych przepisów – w szczególności dotyczących daleko idącego dostępu służb do danych osobowych. Nie jest więc przesądzone, że w przyszłości TSUE nie zmieni oceny amerykańskich regulacji i po raz kolejny nie uzna ich za nieodpowiadających standardom RODO.

W sprawach związanych z zapewnieniem bezpiecznego transferu danych do USA – zapraszamy do kontaktu z Kancelarią.