Alert prawny: Transfery danych do USA ułatwione na mocy decyzji komisji europejskiej

W końcu jest! Ale czy zostanie na długo?

Po blisko trzech latach od wyroku TSUE Schrems II¹, unieważniającego decyzję Komisji Europejskiej - Tarcza Prywatności (z ang. “Privacy Shield”) Komisja opublikowała trzecią decyzję w ramach EU-US Data Privacy Framework, na mocy której, z dniem 10 lipca 2023 r. dochodzi do ułatwienia (pod pewnymi warunkami zasygnalizowany poniżej) transferu danych do podmiotów publicznych i prywatnych mających siedzibę w USA. 

Po wielu miesiącach negocjacji politycznych pomiędzy USA a UE, Komisja Europejska uznała, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych (zbliżony do poziomu ochrony zapewniony w Unii Europejskiej), które będą przekazywane w ramach realizacji EU-US Data Privacy Framework przez administratora lub podmiot przetwarzający mających siedzibę w Unii Europejskiej, do certyfikowanych organizacji w Stanach Zjednoczonych. 

Podmioty mające siedzibę w Unii Europejskiej chcące dokonywać transferu danych do USA na mocy najnowszej decyzji Komisji Europejskiej w pierwszym kroku powinni upewnić się czy ich amerykański kontrahent posiada status certyfikowanego odbiorcy danych osobowych². Podkreślenia wymaga, że decyzja Komisji Europejskiej nie dotyczy Stanów Zjednoczonych jako kraju, ale konkretnych organizacji publicznych i prywatnych mających siedzibę w USA, które przystąpiły do programu EU-US Data Privacy Framework. Program ten przewiduje certyfikację amerykańskich podmiotów w oparciu o zobowiązanie się do przestrzegania zbioru zasad ochrony danych przygotowanych przez amerykański Departament Handlu (U.S. Department of Commerce), wskazanych w załączniku nr 1 do decyzji. Będzie to wymagało w szczególności publicznego zadeklarowania przestrzegania zasad ochrony danych osobowych wskazanych w decyzji o adekwatności, udostępnienia oraz właściwego wdrożenia polityk ochrony danych osobowych, a także przekazania do amerykańskiego departamentu handlu informacji w zakresie m.in. celów, dla których organizacja przetwarza dane osobowe. Proces certyfikacji należy następnie poddawać corocznej weryfikacji.

Czy czeka nas powtórka ze Schrems I oraz Schrems II?

Ze stanowiskiem Komisji wskazującym, że poziom ochrony danych osobowych w USA jest zbliżony do tego w Unii Europejskiej stanowczo nie zgadzają się organizacje pozarządowe słynące z ochrony prywatności Europejczyków. 

Głos w sprawie niemalże natychmiast zabrała organizacja NOYB (akronim “None of Your Business”) nazywając nową decyzję “kopią Tarczy Prywatności” i wskazując, że “skarga do TSUE jest gotowa do złożenia”³. NOYB sugeruje nawet, że decyzja może całkowicie upaść - zdaniem jej przedstawicieli nastąpi to w ciągu najbliższych dwóch lat⁴.

Czy będzie tak jak prognozuje NOYB? Choć zweryfikuje to czas, warto przypomnieć, że jest to już trzecia decyzja Komisji Europejskiej ułatwiająca transfer danych osobowych do USA, wydana po “Bezpiecznej Przystani” (z ang. “Safe Harbor”) z 2000 r. oraz “Tarczy Prywatności” (z ang. “Privacy Shield”) z 2016 r. W efekcie skarg Maxa Schremsa (obecnie honorowego prezesa NOYB⁵) obie ze wskazanych wyżej decyzji zostały unieważnione przez Trybunał Sprawiedliwości Unii Europejskiej w 2015 r. oraz w 2020 r. 

A co z resztą świata i zawartymi Standardowymi Klauzulami Umownymi (SCC) oraz Wiążącymi Regułami Korporacyjnymi (BCR)? 

Decyzja o adekwatności dotyczy jedynie transferów danych do certyfikowanych w jej ramach organizacji publicznych i prywatnych mających siedzibę w USA. Oznacza to, że pozostałe kraje nie wchodzące w skład Europejskiego Obszaru Gospodarczego, a także nie będące beneficjentami innej decyzji Komisji Europejskiej o adekwatności, i które są odbiorcami danych przekazywanych przez organizacje w Unii Europejskiej, dalej będą musiały korzystać z pozostałych mechanizmów zapewniających legalność takich transferów. Najczęściej będą to Standardowe Klauzule Umowne czy Wiążące Reguły Korporacyjne. W mocy pozostają również inne prawnie wiążące podstawy transferów danych do USA, w tym w szczególności SCC czy BCR. 

Podsumowując, inne mechanizmy umożliwiające transfery danych osobowych takie jak SCC czy BCR są nadal ważne i wiążące, w związku z czym analiza Transfer Impact Assessment (TIA) również powinna być przeprowadzona dla każdego transferu danych, także w przypadku transferów danych do USA. Co więcej, powyższe rozwiązania prawne pozostają wciąż podstawowymi mechanizmami przekazywania danych do krajów takich jak np. Chiny, Australia, Brazylia czy Ukraina.

Biorąc pod uwagę losy dwóch poprzednich decyzji dotyczących transferów danych z UE do USA, pewność prawną co do możliwości przesyłania danych uzyskamy dopiero po wyroku TSUE w tym zakresie. Na ten moment w przypadku zaawansowanego wdrożenia innych mechanizmów transferowych nie warto jest więc z nich całkowicie rezygnować.

^{1. Wyrok Trybunału Sprawiedliwości Unii Europejskiej (wielka izba) z dnia 16 lipca 2020 r.  w sprawie C‑311/18; Skarga wniesiona przez osobę fizyczną, której dane zostały przekazane z Unii Europejskiej do Stanów Zjednoczonych.}

^{2. Informacje o organizacjach posiadających certyfikację będą publicznie dostępne pod  wskazaną stroną internetową: https://www.privacyshield.gov/welcome.}

^{3. Komunikat prasowy NOYB z dnia 10 lipca 2023 r. dostępny pod adresem: https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu.}

^{4. Tamże}

^{5. https://noyb.eu/en/our-team-members-and-partners.}