Przekazywanie danych do Stanów Zjednoczonych

I. EU-US Data Privacy Framework

10 lipca 2023 roku KE wydała decyzję wykonawczą stwierdzającą odpowiedni stopień ochrony danych osobowych dla Stanów Zjednoczonych w ramach Ram Prawnych dla Ochrony Prywatności (ang: EU-US Data Privacy Framework, dalej DPF). Podmioty mające siedzibę na terenie EOG, chcące przekazywać dane osobowe do USA na mocy najnowszej decyzji KE, przed dokonaniem transferu powinny upewnić się, czy odbiorca posiada status certyfikowanego odbiorcy danych osobowych. Podkreślić należy, że decyzja KE nie dotyczy Stanów Zjednoczonych jako kraju, ale konkretnych organizacji publicznych i prywatnych mających siedzibę w USA, które przystąpiły do programu DPF. Program ten przewiduje również certyfikację amerykańskich podmiotów w oparciu o zobowiązanie się do przestrzegania zbioru zasad ochrony danych przygotowanych przez amerykański Departament Handlu (ang: U.S. Department of Commerce), wskazanych w załączniku nr 1 do decyzji KE. Amerykański Departament Handlu prowadzi publiczną listę amerykańskich podmiotów, które uznawane są za certyfikowane (link: https://www.dataprivacyframework.gov/s/participant-search). Wpisanie podmiotu na listę następuje na podstawie samocertyfikacji (ang: self-certification), a więc oficjalnego oświadczenia składanego przez podmiot wraz z zobowiązaniem do przestrzegania zasad wynikających z DPF.

W przypadku, gdy podmiot nie jest wpisany na powyżej wskazaną listę, decyzja o adekwatności nie może być podstawą do przekazania danych osobowych. W takim przypadku możliwe jest zastosowanie innych mechanizmów wynikających z rozdziału V rozporządzenia 2016/679, a w szczególności wiążących reguł korporacyjnych wskazanych art. 47 rozporządzenia 2016/679 oraz standardowych klauzul ochrony danych przyjętych przez KE zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 rozporządzenia 2016/679.

II. Wyrok Schrems II

Przyjęcie decyzji KE ws. DPF było poprzedzone wyrokiem TSUE w sprawie C-311/18 (Schrems II). To drugi wyrok po orzeczeniu z 6 października 2015 r. w sprawie C-362/14 (Schrems I), o czym mowa poniżej. Trybunał wypowiedział się na temat zakresu stosowania rozporządzenia 2016/679, zasad przekazywania danych do państw trzecich, kompetencji organów nadzorczych w tym kontekście, a także dopuszczalności przekazywania danych osobowych do Stanów Zjednoczonych. TSUE uznał poziom ochrony zapewnianej przez Tarczę Prywatności (patrz niżej) za nieadekwatny, wskutek czego została ona unieważniona. Według TSUE, prawo amerykańskie (m.in. sekcja 702 FISA i Rozporządzenie Wykonawcze 12333) nie zapewnia odpowiedniego stopnia ochrony, a Tarcza Prywatności nie zabezpiecza prawa do poszanowania życia prywatnego oraz prawa do ochrony danych osobowych zawartych w art. 7 i art. 8 Karty Praw Podstawowych UE. Konsekwencją wyroku TSUE jest nałożenie na administratorów przekazujących dane osobowe do państw trzecich obowiązku dokonania oceny, czy prawo w danym państwie nie ma negatywnego wpływu na zapewnienie odpowiedniego poziomu ochrony danych osobowy przy wykorzystaniu instrumentów prawnych, o których mowa w art. 46 rozporządzenia 2016/679 (np. standardowych klauzul ochrony danych czy wiążących reguł korporacyjnych). W razie stwierdzenia, że takie przepisy uniemożliwiają tych instrumentów, transfer danych jest możliwy tylko po zastosowania dodatkowych środków uzupełniających.

Po wyroku TSUE, EROD opublikowała Zalecenia 01/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych (link do wersji w j. angielskim: https://www.edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf). Jeśli administrator przekazujący dane osobowe do państw trzecich uzna, że poziom ochrony nie jest odpowiedni, może zastosować dodatkowe środki uzupełniające w celu zrekompensowania braku ochrony. Obejmują one środki techniczne (np. szyfrowanie danych), umowne (np. obowiązki przejrzystości) i organizacyjne (np. dokumentacja dostępu rządowego). Zastosowanie środków uzupełniających jest w stanie zapewnić legalność transferów na podstawie instrumentów prawnych wymienionych w art. 46 rozporządzenia 2016/679. Nie jest to rozwiązanie uniwersalne- środki uzupełniające użyte przez administratorów powinny być oceniane w każdym przypadku z osobna w celu upewnienia się, że zastosowany środek lub zestaw środków uzupełniających jest w stanie zagwarantować odpowiedni poziom ochrony. W przypadku prawa amerykańskiego EROD określiła, że gdy odbierający dane podlega obowiązkom określonym w Sekcji 702 FISA, podjęte środki techniczne muszą być takie, aby dostęp do danych był niemożliwy lub nieskuteczny. Jeżeli żaden z tych środków nie jest odpowiedni, organy ochrony danych mają za zadanie nadzorować, czy państwo trzecie zapewnia poziom ochrony zasadniczo odpowiadający stopniowi ochrony w UE. Jeżeli nie można osiągnąć tego poziomu, przekazywanie danych osobowych należy zawiesić.

III. Tarcza Prywatności i Bezpieczna Przystań

Orzeczeniem z 6 października 2015 r. w sprawie C-362/14 (Schrems I) Trybunał Sprawiedliwości UE (dalej: TSUE) unieważnił decyzję Komisji Europejskiej nr 2000/520/WE z 26 lipca 2000 r. w sprawie zapewniania przez podmioty z USA adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (notyfikowana jako dokument nr C(2000) 2441). Tym samym, transfery danych osobowych pomiędzy Europą, a USA stanęły pod znakiem zapytania, a administratorzy danych osobowych musieli szukać innych przesłanek legalizujących transfer, jednocześnie czekając na kolejne porozumienie w sprawie przekazywania danych osobowych. 12 lipca 2016 KE przyjęła decyzję wdrażającą umowę Tarczy Prywatności, stwierdzając tym samym, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych Europejczyków.

Tarcza Prywatności została unieważniona przez TSUE wyrokiem z 16 lipca 2020 r. w sprawie Schrems II (C-311/18).