KE, dane osobowe, RODO, Crowe

Decyzja KE w sprawie ochrony danych osobowych przekazywanych z UE do USA

Violetta Matusiak, Inspektor Ochrony Danych, Security Consulting
03.08.2023
KE, dane osobowe, RODO, Crowe
10 lipca 2023 r. Komisja Europejska przyjęła nową decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA”. Oznacza to ułatwienia dla podmiotów przekazujących dane między UE a USA.

Czym są „Ramy ochrony danych UE-USA”

Ramy ochrony danych UE-USA (EU-US Data Privacy Framework) określają zasady bezpiecznego i zaufanego przepływu danych osobowych z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych Ameryki. Mają one na celu zapewnienie porównywalnego do europejskiego poziomu ochrony przekazywanych danych.

W aktualnym kształcie umożliwiają one wymianę danych osobowych zgodną zarówno z amerykańskimi regulacjami dotyczącymi prywatności, takimi jak akt o ochronie prywatności (Privacy Act) oraz Ustawa o redukcji wywiadu w zakresie spraw zagranicznych (FISA), jak i unijnymi wymogami, zwłaszcza RODO (Rozporządzenie Ogólne o Ochronie Danych).  

Jakie są okoliczności powstania Ram ochrony danych UE-USA?

Ramy ochrony danych UE-USA to odpowiedź na orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawach Schrems I i II oraz brak adekwatności ochrony danych zapewnianej przez tzw. Tarczę Prywatności UE-USA. Unijne organy uznały, że poprzednie odpowiedniki Ram nie zapewniały wystarczającego poziomu ochrony prywatności danych osobowych przekazywanych z UE do USA. Ramy w aktualnym kształcie uwzględniają niemal wszystkie sugestie TSUE, przede wszystkim te dotyczące:

  • ograniczenia dostępu do danych amerykańskim służbom bezpieczeństwa i organom publicznym,
  • zapewnienia ciągłości ochrony danych udostępnianych dalszym podmiotom
  • umożliwienia osobom, których dane dotyczą, dochodzenia roszczeń w przypadku niewłaściwego przetwarzania.

Jakie są założenia Ram ochrony danych UE-USA?

Główne założenia działania ram ochrony danych UE-USA obejmują:

  1. Zobowiązanie stron: organizacje działające w USA chcące otrzymywać i przetwarzać dane osobowe z UE, muszą zaakceptować i przestrzegać zobowiązań zawartych w Ramach
  2. Monitoring i egzekwowanie: Ramy zapewniają mechanizmy monitorowania i egzekwowania przestrzegania zasad ochrony danych przez odpowiednie organy regulacyjne
  3. Prawa jednostki: Ramy zapewniają jednostkom (osobom fizycznym), których dane są przetwarzane, pewne prawa związane z dostępem do danych, ich zmianą ich lub usunięciem, a także możliwość składania skarg w przypadku naruszenia tych praw

Ochrona przed dostępem amerykańskich służb bezpieczeństwa i organów władzy publicznej do danych osobowych przekazywanych z UE

Ramy ochrony danych UE-USA ograniczają również dostęp do danych osobowych przekazywanych z UE amerykańskim służbom bezpieczeństwa i organom władzy publicznej. Taki dostęp ogranicza się wyłącznie do sytuacji, w których jest on niezbędny oraz proporcjonalny do ochrony bezpieczeństwa narodowego. Każdorazowy wgląd amerykańskich służb i organów publicznych do danych osobowych z UE musi być uzasadniony i zgodny z prawem.

Jednym z kluczowych elementów ochrony przed udostępnianiem danych służbom bezpieczeństwa i organom władzy publicznej jest także zwiększenie przejrzystości informowania jednostek o takich żądaniach. Amerykańskie organizacje uczestniczące w Ramach są zobowiązane do powiadomienia swoich klientów lub użytkowników w przypadku, gdy otrzymają żądanie od służb bezpieczeństwa lub organów władzy publicznej dotyczące przekazania danych. W ten sposób jednostki mają możliwość obrony swoich praw i podjęcia odpowiednich działań w celu ochrony swojej prywatności.

Uczestnictwo w Ramach ochrony danych UE-USA

Poprzez uczestnictwo w Ramach ochrony danych UE-USA amerykańskie podmioty zobowiązują się do przestrzegania obowiązków w zakresie ochrony danych osobowych transferowanych z UE. Członkowie Ram zobowiązani są również do stosowania zabezpieczeń mających na celu ograniczenie dostępu amerykańskim służbom bezpieczeństwa oraz organom publicznym do danych przekazywanych z UE. Dzięki uczestnictwie w Ramach amerykańskie podmioty mogą legalnie otrzymywać dane osobowe od przedsiębiorstw z Unii Europejskiej oraz przetwarzać je zgodnie z unijnymi standardami ochrony prywatności. Pozwala im to również uniknąć ryzyka sankcji i ograniczenia w przepływie danych, jakie mogłyby wynikać z braku uznania odpowiedniego poziomu ochrony prywatności przez Komisję Europejską.

Przystąpienie do Ram nie jest jednak tylko formalnością. Amerykańskie firmy muszą przestrzegać surowych zasad i wymogów regulacyjnych dotyczących ochrony danych osobowych, które zostały ustalone przez Komisję Europejską. Poprzez uczestnictwo w Ramach podmioty te zobowiązują się do przestrzegania europejskich standardów oraz poddawania się regularnym przeglądom i audytom, aby potwierdzić zgodność z wymogami ochrony prywatności.

Uczestnictwo amerykańskich firm w Ramach stanowi również wyraz ich zobowiązania do ochrony prywatności danych osobowych swoich klientów i kontrahentów. Daje to również potwierdzenie, że podmioty te respektują europejskie standardy i przepisy związane z prywatnością danych, co jest kluczowym elementem budowania zaufania i zachowania pozytywnych relacji biznesowych z europejskimi partnerami.

Co oznacza decyzja Komisji Europejskiej z dnia 10 lipca 2023 r. w sprawie Ram ochrony danych UE-USA?

Decyzja Komisji Europejskiej z 10 lipca 2023 r. potwierdziła, że Ramy ochrony danych UE-USA zapewniają odpowiedni poziom ochrony danych osobowych transferowanych z EOG do USA. W opinii KE poziom ten jest porównywalny do europejskich standardów. Przekazywanie danych do amerykańskich organizacji, które przystąpiły do Ram może więc odbywać się bez żadnych dodatkowych obostrzeń. Nie muszą więc one uzyskiwać specjalnych zezwoleń czy wykorzystywać wiążących reguł korporacyjnych lub standardowych klauzul umownych w celu przetwarzania danych osobowych z UE, co znacznie usprawni transatlantycki transfer tych danych. Zgodnie z zapowiedzią, lista tych amerykańskich podmiotów uczestniczących w Ramach ma zostać wkrótce opublikowana przez Departament Handlu USA.

Ważne: w przypadku przedsiębiorstw amerykańskich, które nie spełniają wymogów przewidzianych w Ramach ochrony danych UE-USA, nadal istnieje konieczność spełnienia jednego z warunków określonych w art. 46-49 RODO.

Skontaktuj się z nami

Violetta Matusiak
Violetta Matusiak
Inspektor Ochrony Danych

Ochrona Danych Osobowych