Nowe zasady przekazywania danych osobowych do Stanów Zjednoczonych

Data 20 sierpnia 2023, 12:28

Autor:
Barbara Sośnicka
Kontakt@kancelariasosnicka.pl

Privacy Shield nieważna

Nie wiem, czy pamiętasz, ale w lipcu 2020 r. (tak, czas szybko leci) TSUE (Trybunał Sprawiedliwości UE) uznał, że Privacy Shield jest nieważna.

Privacy Shield stanowiła podstawę przekazywania danych osobowych z UE do USA bez stresu, że naruszymy RODO.

16 lipca 2020 r. TSUE unieważnił decyzję wykonawczą Komisji Europejskiej 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnionej przez Tarczę Prywatności UE-USA (Privacy Shield). Tego dnia w miarę swobodny przepływ danych osobowych pomiędzy UE a USA został zakończony.

Z uwagi na to, że korzystaliśmy, i nadal korzystamy, z usług gigantów i nie-gigantów z USA, taki stan rzeczy musiał zostać uregulowany. Długo się zeszło, ale jest!

Przekazywanie danych osobowych do USA po nowemu

10 lipca 2023 r. Komisja Europejska przyjęła decyzję o adekwatności poziomu ochrony danych osobowych w Stanach Zjednoczonych. Tym razem nie zadbano o chwytliwą nazwę, jest to po prostu "decyzja o adekwatności". In english: "EU-US Data Privacy Framework".

Decyzja ta pozwala na swobodny przepływ danych do USA w przypadku transferów realizowanych na jej podstawie. Wprowadza jednak nowe obowiązkowe zabezpieczenia, które muszą być stosowane w związku z przekazywaniem danych osobowych do USA.

Zmiany wprowadzone w prawie przez USA zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z terytorium Europejskiego Obszaru Gospodarczego do podmiotów z USA. Stwierdzenie odpowiedniego stopnia ochrony nie dotyczy jednak USA jako państwa. Dotyczy jedynie podmiotów, które przeszły samocertyfikację i zostały wpisane na listę Departamentu Handlu USA. Trochę idziemy tropem Privacy Shield, bo wcześniej to też mniej więcej tak wyglądało.

Listę podmiotów można sprawdzać na bieżąco na stronie: https://www.dataprivacyframework.gov/s/participant-search.

Ocena ryzyka transferu

Nadal w przypadku transferu danych do kraju trzeciego należy dokonywać oceny ryzyka transferu, tzw. TIA, jednak w stosunku do podmiotów wpisanych na listę Departamentu Handlu USA będzie to prostsze.

Wystarczy określenie transferów danych do państw trzecich, a następnie w przypadku samocertyfikowanych podmiotów z USA musimy zweryfikować podstawę prawną transferu. Ppodstawą będzie tutaj właśnie decyzja Komisji Europejskiej, o której wspominam wyżej.

Firmy z USA nie wpisane na listę

W przypadku firm z USA, które nie zostały wpisane na listę Departamentu Handlu USA, aby dokonywać transferu danych w dalszym ciągu należy dokonać:

  • Oceny systemu prawnego danego państwa,
  • Określić i przyjąć dodatkowe środki techniczne,
  • Określić dodatkowe proceduralne środki zabezpieczające,
  • Monitorować zmiany w przepisach państw trzecich i ponownie ocenić przekazywane dane.

Obowiązywanie decyzji

Decyzja KE w sprawie EU – US Data Privacy Framework weszła w życie wraz z jej opublikowaniem tj. 10 lipca 2023 r. Decyzja jest wydana bezterminowo, jednak Komisja Europejska zobowiązała się do jej cyklicznego przeglądu.

W przypadku stwierdzenia negatywnych zmian mających wpływ na poziom ochrony danych w USA, Komisja Europejska może uchylić decyzję.

Privacy Shield została uchylona w konsekwencji działań pewnego austriackiego prawnika, Maxa Schremsa. Ciekawe jak tutaj Pan Schrems odniesie się do tematu. Może za jakiś czas ponownie namiesza w systemie.

Podsumowanie

Przyjęta decyzja znacząco ułatwia transfer danych z EOG do poszczególnych podmiotów w USA, w tym do: Google LLC, Meta Platforms Inc. czy Microsoft Corporation.

Oznacza to, że przekazywanie danych do USA poprzez korzystanie, np. z cookies, których administratorem jest Google LLC, kodów śledzenia Facebook’a, których administratorem jest Meta Platforms Inc. czy korzystanie z Outlook’a, którego administratorem jest Microsoft Corporation na mocy decyzji z 10 lipca 2023 roku zapewnia odpowiedni stopień ochrony danych osobowych.

Powołanie się na decyzję Komisji Europejskiej, bez konieczności wykonywania dalszych kroków TIA (oceny ryzyka, którą wskazałam wcześniej), wystarczy w przypadkach używania na stronie internetowej:

  1. Google Analitycs,
  2. Pixel Facebooka,
  3. wtyczki Googla (np. YouTube)
  4. wtyczki Meta (np. Facebooka, Instagrama),
  5. wtyczki Microsoft (np. LinkedIn)

Brawo dla USA i UE ;)

Jeśli chcesz być na bieżąco z przepisami, potrzebujesz pomocy prawnej, indywidualnej konsultacji - napisz do mnie na adres: kontakt@kancelariasosnicka.pl lub zadzwoń: 504 333 785.

Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!

Barbara Sośnicka

radca prawny, inspektor ochrony danych

Do napisania :)

Zdjęcie pochodzi oczywiście z: https://kaboompics.com/

Czytaj także