10 lipca 2023 roku została wydana decyzja Komisji Europejskiej dotycząca transferów danych z Europejskiego Obszaru Gospodarczego do USA, tzw. EU-U.S. Data Privacy Framework (dalej: „DPF”). Warto przypomnieć, że wyrokiem w sprawie C-311/18 Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Schrems II), Trybunał Sprawiedliwości UE (dalej: „TSUE”) unieważnił poprzedni mechanizm przepływu danych. Podmioty gospodarcze z USA, które przystępują do DPF, deklarują, że gwarantują adekwatny, w porównaniu do unijnego, poziom ochrony danych osobowych. W praktyce powyższe oznacza możliwość przekazywania do USA danych osobowych bez konieczności spełnienia dodatkowych wymogów. DPF ma zapewnić, że dane osobowe są przetwarzane w USA zgodnie z przepisami unijnymi. Decyzja stanowi efekt współpracy i uzgodnień pomiędzy Komisją i rządem Stanów Zjednoczonych.
1. Zastosowanie przepisów w odniesieniu do przedsiębiorców w USA
Decyzja dotyczy transferów zarówno w sektorze publicznym, jak i prywatnym, w których podmiot amerykański może występować jako administrator lub podmiot przetwarzający. W praktyce DPF będzie odnosił się chociażby do transferów wynikających z korzystania z popularnych narzędzi i rozwiązań IT oferowanych przez Google (np. Google Analytics, Google Cloud), Amazon czy Microsoft, których serwery zlokalizowane są w USA. Poprzez Data Privacy Framework Program przedsiębiorstwa amerykańskie mogą ubiegać się o certyfikację, która potwierdzi, że przystąpiły do DPF. „Auto-certyfikacja” odbywa się za pośrednictwem dedykowanej strony internetowej prowadzonej przez Departament Handlu USA (U.S. Department of Commerce), gdzie znajduje się lista podmiotów, które zobowiązały się do przestrzegania wymogów DPF. W rejestrze dostępne są także informacje o celu, w jakim przetwarzane są dane. Zobowiązanie do przestrzegania postanowień DPF obowiązuje przez cały okres przetwarzania danych – na ich bezpieczeństwo nie będzie miał zatem wpływu fakt usunięcia podmiotu z rejestru. Certyfikacja nie jest trwała, dlatego przedsiębiorstwa zobowiązane są do corocznego odnawiania wpisu. Ponadto wypełnianie obowiązków przez firmy będzie regularnie monitorowane i egzekwowane przez Departament Handlu, który może wykreślić przedsiębiorstwo z rejestru. W przypadku usunięcia z rejestru, podmiot nie będzie uprawniony do otrzymywania danych osobowych z EOG.
Powyższe oznacza, że nie wszystkie transatlantyckie transfery danych zostaną automatycznie uznane za bezpieczne – za takie uchodzić będą jedynie transfery skierowane do firm, które przystąpiły do DPF. W przypadku przedsiębiorców niepodlegających DPF należy powołać się na inną przesłankę legalizującą transfer danych, np. standardowe klauzule umowne. Status interesującego nas podmiotu powinien być zatem regularnie weryfikowany przy pomocy rejestru, ponieważ może okazać się, że na przestrzeni czasu uległ on zmianie.
2. Korzyści dla obywateli UE
Wprowadzenie EU-U.S. Data Privacy Framework ma znaczenie praktyczne w szczególności dla podmiotów, których dane są przetwarzane. Stany Zjednoczone zobowiązane są utworzenia odrębnego mechanizmu dochodzenia roszczeń wraz z niezależnym organem (o którym poniżej). Mechanizm ma zapewnić obsługę skarg osób, których dane przetwarzane są przez służby USA. W myśl zasady „One-Stop-Shop” osoby fizyczne mogą zgłaszać skargi do krajowych organów ochrony danych osobowych, które przekażą je do właściwego organu w USA (tzw. Civil Liberties Protection Officer) oraz dostarczą decyzję zwrotną. Należy przy tym zaznaczyć, że skarżący nie ma obowiązku wykazania, że jego dane są przetwarzane przez służby amerykańskie lub że odbywa się to z naruszeniem prawa. W ramach procedury odwoławczej skarżący może w terminie 60 dni od otrzymania decyzji zwrócić się do nowo powołanego Data Protection Review Court (dalej: „DPRC”). Struktura sądu oraz sposób powoływania sędziów ma zagwarantować jego niezależność od rządu USA. W przypadku stwierdzenia naruszenia DPRC może wydawać wiążące i ostateczne decyzje wobec organów przetwarzających dane osobowe w sposób bezprawny, w tym nakazać usunięcie tych danych.
3. Przyszłość decyzji
Decyzja obowiązuje bezterminowo, a Komisja będzie regularnie monitorować jej wykonywanie oraz skuteczność w praktyce. Jednak już na tym etapie efektywność DPF negatywnie ocenił Maximillian Schrems wraz z organizacją NOYB, która zapowiada zaskarżenie DPF do TSUE na koniec 2023 roku.
Jak możemy pomóc w omawianym obszarze?
Kancelaria KPMG Law oferuje:
- sporządzanie opinii i analiz dotyczących transferów danych do państw spoza EOG (w tym do USA), oraz zastosowania Data Privacy Framework, dostosowanych do potrzeb konkretnych Klientów;
- sporządzanie Transfer Impact Assessment (TIA), dotyczących oceny ryzyka wynikającego z transferu danych do państw spoza EOG;
- wsparcie w zakresie przygotowania porozumień o transferze danych, w tym do państw spoza EOG;
- szkolenia dla Klientów dotyczące transferów danych.