Ramy ochrony danych UE-USA
Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez Ramy ochrony danych UE-USA - możliwość składania skarg.
W dniu 10 lipca 2023 r. Komisja Europejska przyjęła decyzję wykonawczą stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA [Ramy ochrony danych UE-USA” (DPF)]. Przekazywanie danych osobowych z EOG do organizacji, które przystąpiły do programu „Ram ochrony danych UE – USA” i znajdują się na tej liście, jest możliwe bez konieczności uzyskiwania dodatkowych zezwoleń, czy zastosowania takich instrumentów prawnych jak standardowe klauzule umowne bądź wiążące reguły korporacyjne.
DPF umożliwia przekazywanie danych do organizacji ujętych w "wykazie ram ochrony danych osobowych", bez konieczności zapewnienia odpowiednich zabezpieczeń, o których mowa w art. 46 RODO. Jeżeli importer danych w USA nie przystąpił do programu „Ram ochrony danych UE-USA”, przekazywanie do niego danych osobowych jest możliwe po spełnieniu warunków określonych w art. 46 lub 49 RODO. Na przykład za pomocą standardowych klauzul umownych lub wiążących reguł korporacyjnych, uwzględniając przy tym wymogi wynikające z wyroku Trybunału Sprawiedliwości UE (TSUE) w sprawie C-311/18 (Schrems II) oraz z Zaleceń EROD 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych) (zob. zalecenia EROD 01/2020). Lista podmiotów objętych DPF dostępna jest na stronie Data Privacy Framework.
Jednym z kluczowych elementów decyzji stwierdzającej odpowiedni stopień ochrony jest zapewnienie osobom, których dane dotyczą, środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez podmioty prowadzące działania zarówno na rynku unijnym, jak i amerykańskim, a także uzyskanie rozstrzygnięcia takich skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej.
Osoby fizyczne, których dane są przekazywane do USA na podstawie decyzji w sprawie odpowiedniego stopnia ochrony, mają do dyspozycji kilka mechanizmów dochodzenia roszczeń, jeśli uznają, że dana organizacja amerykańska nie przestrzega DPF, w tym m.in. mogą one wnieść skargę do krajowych organów ochrony danych. Zachęca się osoby fizyczne, aby w pierwszej kolejności zgłaszały wszelkie skargi do odpowiedniej organizacji amerykańskiej.
W celu usprawnienia komunikacji i ułatwienia procesu zgłaszania naruszenia praw osoby, której dane dotyczą, Europejska Rada Ochrony Danych utworzyła formularz skarg na podmioty z sektora biznesu, kierowany do organów ochrony danych UE, który ma ułatwić zawiadomienie organu ochrony danych o potencjalnym naruszeniu danych osobowych albo praw osoby, której dane dotyczą, przez podmiot amerykański ujęty w wykazie podmiotów objętych DPF.
Aby ułatwić rozpatrywanie skargi, należy dostarczyć krajowemu organowi ochrony danych informacje zawarte w formularzu takie jak m.in. nazwę lub identyfikator używany przez amerykańską firmę, preferowany kontakt oraz imię i nazwisko do celów kontaktowych. Należy również w miarę możliwości podać nazwę firmy przesyłającej dane do USA oraz nazwy amerykańskich firm zaangażowanych w przetwarzanie danych osobowych, opis powodów, na podstawie których osoba składająca skargę uważa, że jej dane osobowe zostały przekazane z UE do amerykańskiego podmiotu uczestniczącego w DPF oraz wyjaśnić domniemane naruszenie przez podmiot z USA Ram Ochrony Danych DPF. Korzystanie z tego formularza jest opcjonalne. Możliwe jest skontaktowanie się z organami ochrony danych w drodze innych środków komunikacji.
Europejska Rada Ochrony Danych przyjęła również regulamin wewnętrzny nieformalnej grupy zrzeszającej organy ochrony danych („Panelu”) ustanowionej na poziomie UE.
Panel jest właściwy wyłącznie dla organizacji, które zobowiązały się do współpracy z organami ochrony danych lub dla organizacji, które przetwarzają dane o zasobach ludzkich gromadzone w kontekście stosunku pracy. Jak wskazuje się we wskazanym wyżej regulaminie wewnętrznym, Panel jest właściwy do udzielania wiążących porad organizacjom amerykańskim w następstwie nierozstrzygniętych skarg DPF od osób fizycznych dotyczących postępowania z danymi osobowymi, które zostały przekazane z Unii Europejskiej (dalej: UE) zgodnie z Ramami Ochrony Danych DPF.
Ponadto, niezależnie od narzędzia transferu wykorzystanego do przekazania ich danych osobowych do USA, osoby, których dane dotyczą z UE/EOG, mogą złożyć skargę do krajowego organu ochrony danych, aby skorzystać z mechanizmu dochodzenia roszczeń przez osoby fizyczne z UE/EOG w związku z domniemanymi naruszeniami prawa USA w odniesieniu do ich danych gromadzonych przez organy USA właściwe do spraw bezpieczeństwa narodowego.
Aby skorzystać z możliwości złożenia skargi, należy wypełnić udostępniony w tym celu formularz skargowy, który znajduje się poniżej.
Tego typu skargi należy przesyłać do krajowego organu ochrony danych w UE/EOG właściwego dla danej osoby fizycznej. Wykaz organów ochrony danych w państwach członkowskich UE/EOG można znaleźć pod adresem: https://www.edpb.europa.eu/about-edpb/about-edpb/members_pl .
Więcej informacji na temat tego mechanizmu dochodzenia roszczeń, jak również współpracy organów nadzorczych ds. ochrony danych oraz Sekretariatu Europejskiej Rady Ochrony Danych można znaleźć w poniższych dokumentach:
- Nota informacyjna w sprawie mechanizmu dochodzenia roszczeń przez osoby fizyczne z UE/EOG w związku z domniemanymi naruszeniami prawa USA w odniesieniu do ich danych gromadzonych przez organy USA właściwe do spraw bezpieczeństwa narodowego,
- Regulamin wewnętrzny dotyczący współpracy i odpowiednich ról krajowych organów nadzorczych oraz Sekretariatu EROD w odniesieniu do składania skargi w ramach mechanizmu dochodzenia roszczeń dostępnego dla osób fizycznych z UE w związku z domniemanymi naruszeniami prawa Stanów Zjednoczonych w odniesieniu do ich danych gromadzonych przez władze Stanów Zjednoczonych właściwe w sprawach bezpieczeństwa narodowego
Więcej informacji na temat EU-US DPF można znaleźć również klikając w poniższe linki:
- Decyzja stwierdzająca odpowiedni stopień ochrony
- Ramy ochrony danych UE-USA. Często zadawane pytania (FAQ) dla Europejskiego Biznesu
- Ramy ochrony danych UE-USA. Często zadawane pytania (FAQ) dla Europejskich Osób Fizycznych
- Zakładka Q&A na stronie internetowej Komisji Europejskiej
- Nota informacyjna dotycząca przekazywania danych do Stanów Zjednoczonych na mocy RODO po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony w dniu 10 lipca 2023 r.