20 sierpnia 2023, 12:28
Nie wiem, czy pamiętasz, ale w lipcu 2020 r. (tak, czas szybko leci) TSUE (Trybunał Sprawiedliwości UE) uznał, że Privacy Shield jest nieważna.
Privacy Shield stanowiła podstawę przekazywania danych osobowych z UE do USA bez stresu, że naruszymy RODO.
16 lipca 2020 r. TSUE unieważnił decyzję wykonawczą Komisji Europejskiej 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnionej przez Tarczę Prywatności UE-USA (Privacy Shield). Tego dnia w miarę swobodny przepływ danych osobowych pomiędzy UE a USA został zakończony.
Z uwagi na to, że korzystaliśmy, i nadal korzystamy, z usług gigantów i nie-gigantów z USA, taki stan rzeczy musiał zostać uregulowany. Długo się zeszło, ale jest!
10 lipca 2023 r. Komisja Europejska przyjęła decyzję o adekwatności poziomu ochrony danych osobowych w Stanach Zjednoczonych. Tym razem nie zadbano o chwytliwą nazwę, jest to po prostu "decyzja o adekwatności". In english: "EU-US Data Privacy Framework".
Decyzja ta pozwala na swobodny przepływ danych do USA w przypadku transferów realizowanych na jej podstawie. Wprowadza jednak nowe obowiązkowe zabezpieczenia, które muszą być stosowane w związku z przekazywaniem danych osobowych do USA.
Zmiany wprowadzone w prawie przez USA zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z terytorium Europejskiego Obszaru Gospodarczego do podmiotów z USA. Stwierdzenie odpowiedniego stopnia ochrony nie dotyczy jednak USA jako państwa. Dotyczy jedynie podmiotów, które przeszły samocertyfikację i zostały wpisane na listę Departamentu Handlu USA. Trochę idziemy tropem Privacy Shield, bo wcześniej to też mniej więcej tak wyglądało.
Listę podmiotów można sprawdzać na bieżąco na stronie: https://www.dataprivacyframework.gov/s/participant-search.
Nadal w przypadku transferu danych do kraju trzeciego należy dokonywać oceny ryzyka transferu, tzw. TIA, jednak w stosunku do podmiotów wpisanych na listę Departamentu Handlu USA będzie to prostsze.
Wystarczy określenie transferów danych do państw trzecich, a następnie w przypadku samocertyfikowanych podmiotów z USA musimy zweryfikować podstawę prawną transferu. Ppodstawą będzie tutaj właśnie decyzja Komisji Europejskiej, o której wspominam wyżej.
W przypadku firm z USA, które nie zostały wpisane na listę Departamentu Handlu USA, aby dokonywać transferu danych w dalszym ciągu należy dokonać:
Decyzja KE w sprawie EU – US Data Privacy Framework weszła w życie wraz z jej opublikowaniem tj. 10 lipca 2023 r. Decyzja jest wydana bezterminowo, jednak Komisja Europejska zobowiązała się do jej cyklicznego przeglądu.
W przypadku stwierdzenia negatywnych zmian mających wpływ na poziom ochrony danych w USA, Komisja Europejska może uchylić decyzję.
Privacy Shield została uchylona w konsekwencji działań pewnego austriackiego prawnika, Maxa Schremsa. Ciekawe jak tutaj Pan Schrems odniesie się do tematu. Może za jakiś czas ponownie namiesza w systemie.
Przyjęta decyzja znacząco ułatwia transfer danych z EOG do poszczególnych podmiotów w USA, w tym do: Google LLC, Meta Platforms Inc. czy Microsoft Corporation.
Oznacza to, że przekazywanie danych do USA poprzez korzystanie, np. z cookies, których administratorem jest Google LLC, kodów śledzenia Facebook’a, których administratorem jest Meta Platforms Inc. czy korzystanie z Outlook’a, którego administratorem jest Microsoft Corporation na mocy decyzji z 10 lipca 2023 roku zapewnia odpowiedni stopień ochrony danych osobowych.
Powołanie się na decyzję Komisji Europejskiej, bez konieczności wykonywania dalszych kroków TIA (oceny ryzyka, którą wskazałam wcześniej), wystarczy w przypadkach używania na stronie internetowej:
Brawo dla USA i UE ;)
Jeśli chcesz być na bieżąco z przepisami, potrzebujesz pomocy prawnej, indywidualnej konsultacji - napisz do mnie na adres: kontakt@kancelariasosnicka.pl lub zadzwoń: 504 333 785.
Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!
radca prawny, inspektor ochrony danych
Do napisania :)
Zdjęcie pochodzi oczywiście z: https://kaboompics.com/