03.08.2023

TRANSFER DANYCH OSOBOWYCH DO USA BEZ STOSOWANIA DODATKOWYCH MECHANIZMÓW JUŻ MOŻLIWY – DECYZJA KE

Magdalena Wielgosz

Dnia 10 lipca 2023 r. Komisja Europejska wydała długo wyczekiwaną decyzję o adekwatności poziomu ochrony danych osobowych zapewnianego przez USA w ramach Ram Prawnych dla Ochrony Prywatności. Decyzja Komisji zaakceptowała wprowadzony przez USA nowy pakiet aktów prawnych. Uznała go za mechanizm zapewniający odpowiednią ochronę danych osobowych na poziomie nie gorszym niż ustawodawstwo unijne.  

 

Dla kogo niniejsza decyzja ma istotne znaczenie? Przede wszystkim dla przedsiębiorców udostępniających dane osobowe podmiotom mającym siedzibę, pracowników lub infrastrukturę służącą do przechowywania danych na terenie Stanów Zjednoczonych. Od momentu jej wydania, podmioty te nie muszą zawierać z jednostkami organizacyjnymi przetwarzającymi dane osobowe w USA umów opartych o standardowe klauzule umowne zaakceptowane przez Unię Europejską, ani stosować innych mechanizmów mających zapewnić bezpieczeństwo danych osobowych określonych w RODO. Należy jednak pamiętać, że decyzja nie dotyczy wszystkich. Jest jeden, ale bardzo istotny, warunek podmiot amerykański musi posiadać certyfikatu zapewniający zgodność z Ramami Prawnymi dla Ochrony Prywatności. Certyfikaty będą wydawane przez Federalną Komisję ds. Handlu? 

 

Czym jest decyzja o adekwatności? 

Zgodnie z artykułem 44 RODO, przekazanie danych osobowych do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) jest możliwe jedynie, gdy zostaną spełnione określone warunki mające zapewnić odpowiedni poziom ochrony tych danych oraz będzie funkcjonowało zapewnienie przestrzegania praw osób, których one dotyczą. Co do zasady, przekazywanie danych osobowych do państwa trzeciego jest możliwe, gdy Komisja Europejska wyda decyzję stwierdzającą, że określony kraj zapewnia ochronę danych na poziomie nie gorszym niż ten ustanowiony przez ustawodawstwo unijne. 

W przypadku braku takiej decyzji, aby zapewnić legalność transferu danych poza EOG, konieczne jest zastosowanie dodatkowych mechanizmów prawnych. Najpopularniejszym środkiem wskazanym w RODO jako podstawa transferu danych osobowych są standardowe klauzule umowne przyjęte na mocy decyzji Komisji Europejskiej. Jest to rodzaj szablonowej umowy ustalającej zasady przekazania danych osobowych przez eksportera (podmiot unijny wysyłający dane poza EOG) do importera (podmiot przetwarzający dane w państwie poza EOG). Jakie jest uzasadnienie ich wprowadzenia? Skoro odbiorca danych nie jest zobowiązany do stosowania RODO, a jego obowiązuje w jego państwie ustawodawstwo nie zapewnia właściwej ochrony danych osobowych, należy zobowiązać go umownie do stosowania pewnych zasad. Standardowe klauzule umowne zobowiązują więc importera do wdrożenia dodatkowych zabezpieczeń zapewniających ochronę danych oraz zobowiązują go do przestrzegania szeregu zasad zapewniających respektowanie praw osób, których dane dotyczą, niezależnie od tego, gdzie będą one przetwarzane. W ten sposób prawa osób, których dane dotyczą, są zapewnienie również wówczas, gdy ich dane są przestrzegane poza terytorium EOG. 

W tym miejscu należy wskazać, że RODO bardzo szeroko definiuje pojęcie transferu. Transferem danych poza Europejski Obszar Gospodarczy będzie nie tylko przekazywanie i przechowywanie danych osobowych poza EOG, ale także każdy, nawet zdalny dostęp do danych osobowych przez podmioty przebywające w państwie trzecim. Biorąc pod uwagę, że większość informatycznych gigantów, takich jak Google, Meta czy Microsoft posiada główną siedzibę właśnie w USA, praktyczne znaczenie transferu danych do Stanów Zjednoczonych jest bardzo duże. 

Skąd potrzeba wydania decyzji?  

Wyrokiem z dnia 16 lipca 2020 r. (sprawa C-311/18, Schrems II), Trybunał Sprawiedliwości Unii Europejskiej uznał, że obowiązujący w USA system ochrony danych osobowych, popularnie zwany Tarczą Prywatności (Privacy Shield), nie zapewnia odpowiedniego poziomu ochrony danych osobowych podmiotom przebywającym na terytorium Unii Europejskiej, których dane są przetwarzane w USA. Jedną z przyczyn takiej decyzji był między innymi obowiązek przekazywania przez amerykańskich przedsiębiorców danych osobowych tamtejszym organom państwowym i brak skutecznych regulacji ograniczających ten wymóg. Skutkiem wyroku było uchylenie poprzedniej decyzji Komisji Europejskiej stwierdzającej, że Tarcza Prywatności zapewnia odpowiedni poziom ochrony danych osobowych transferowanych z Unii Europejskiej. 

Opisywany wyrok był już drugą sprawą zainicjowaną przez Maximiliana Schremsa, która zakończyła się uchyleniem decyzji stwierdzającej adekwatność poziomu ochrony danych osobowych stosowanej przez Stany Zjednoczone. Niewykluczone, że nie ostatnią.  

Jakie zmiany wprowadzają amerykańskie Ramy Prawne dla Ochrony Prywatności? 

W przeciwieństwie do Tarczy Prywatności, nowe Ramy Prawne dla Ochrony Prywatności zapewniają znacznie dalej idące środki ochrony praw i wolności osób, których dotyczą dane. Nowe ustawodawstwo gwarantuje nadzór nad przetwarzaniem danych osobowych przekazanych z EOG i ich wykorzystywaniem przez amerykańskie służby wywiadowcze. Ponadto, ustanowiony został mechanizm egzekwowania roszczeń odszkodowawczych przez osoby, których dotyczą dane w przypadku, gdyby ich dane zostały wykorzystane niezgodnie z nowymi ramami prawnymi.  

USA powołało Urzędnika do Spraw Ochrony Swobód Obywatelskich, który powinien zapewnić zgodność korzystania z danych osobowych przez amerykańskie służby z zasadami określonymi w nowym ustawodawstwie. Ma on również współpracować z unijnymi organami ochrony danych osobowych (głównie Europejską Radą ds. Ochrony Danych). Dodatkowo, utworzony został Sąd Kontroli Ochrony Danych Osobowych, który ma rozpatrywać środki zaskarżenia pochodzące od osób, których dotyczą dane osobowe przekazane z EOG do USA, w tym skargi na bezprawne korzystanie z danych osobowych przez amerykańskie służby wywiadowcze.  

Podsumowanie 

Decyzja Komisji Europejskiej niewątpliwie ułatwi prowadzenie działalności gospodarczej podmiotom, które w ramach swojej aktywności rynkowej zajmują się przetwarzaniem danych osobowych i współpracują z   amerykańskimi przedsiębiorcami Obowiązujące od niedawna regulacje znacznie zmniejszą liczbę formalności wymaganych w procesie kontraktowania z podmiotami, które uzyskały certyfikat zgodności z nowym ustawodawstwem. Trzeba jednak pamiętać o konieczności zweryfikowania, czy dany podmiot posiada stosowny certyfikat. Jeżeli go nie uzyskał, należy skorzystać z dostępnych na gruncie RODO mechanizmów transferu, w szczególności standardowych klauzul umownych. 

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.