Komisja Europejska i amerykański rząd przyjęły nowe zasady transferów danych osobowych pomiędzy Europą a Stanami Zjednoczonymi. Decyzja w tym zakresie została przyjęta przez Komisję 10 lipca 2023 r. Zmniejszyło to, przynajmniej na razie, liczbę problemów i dodatkowych wymogów, które łączyły się z transferami danych do USA. Piszę na razie, bo nie wiadomo jak długo nowa decyzja rzeczywiście przetrwa.

Zasady te są opisane w tzw. EU-US Data Privacy Framework - to specjalny program, do którego mogą przystępować amerykańskie podmioty gospodarcze. Jeśli to zrobią, zobowiązują się do przestrzegania dodatkowych wymogów, które są podobne do tych wynikających z RODO. Innymi słowy, amerykańskie firmy mogą zobowiązać się do dobrowolnego podwyższenia standardów ochrony danych, tak aby zbliżyć się do europejskich standardów w zakresie ochrony danych.

Poprzedniczki Data Privacy Framework, czyli decyzje dotyczące programów "Safe Harbour" i "Privacy Shield" zostały uznane za nieważne przez Trybunał Sprawiedliwości Unii Europejskiej. Nie spowodowało to naturalnie, że transfer danych do USA został zakończony.

W tej sytuacji poszukiwano alternatywnych rozwiązań i w praktyce decydowano się korzystać z tzw. Standardowych Klauzul Umownych. Dyplomatycznie rzecz ujmując, ich wykorzystanie w tym celu też jest bardzo wątpliwe, więc bezpiecznej podstawy przekazywania danych do kontrahentów zza oceanu nie ma.

Skąd się wziął Data Privacy Framework?

Komunikat Komisji Europejskiej dot. Data Privacy Framework nie wziął się znikąd. Odwołuje się on bowiem do porozumienia (Trans – Atlantic Data Privacy Framework) z marca 2022 r., zawartego pomiędzy UE a USA. Na jego podstawie USA zobowiązały się do wzmocnienia ochrony prywatności w odniesieniu do działań amerykańskich służb wywiadowczych. W praktyce – działalność służb miała być bardziej adekwatna i proporcjonalna. Mechanizmy odwoławcze miały być jeszcze silniejsze, a nadzór jeszcze dokładniejszy.

W związku z tym prezydent Biden wydał w październiku 2022 r. Executive Order 14086, w ramach którego ustalenia zawarte w porozumieniu pomiędzy EU a USA zostały implementowane do systemu prawnego USA. To zaś otworzyło Komisji Europejskiej drogę do przyjęcia oficjalnego projektu decyzji o adekwatności.

Czym jest decyzja o adekwatności?

Decyzja o adekwatności polega na tym, że Komisja Europejska „uznaje” dane państwo spoza EOG za spełniające należyte standardy dotyczące ochrony danych. Te standardy nie muszą być dokładnie takie same jak w RODO, ale powinny prezentować „podobny poziom”. A w przypadku unijnego rozumienia ochrony danych osobowych "podobny" generalnie oznacza wysoki.

Jak się pewnie domyślacie, decyzja o adekwatności dotycząca USA jest bardzo pożądana. USA to bowiem lider jeśli chodzi o dostawy usług IT, które wymagają transferów danych. Dodatkowo, wymiana handlowa pomiędzy UE a USA jest ogromna – a to też wymaga przekazywania danych osobowych.

I zasady te mają zagwarantować, że dana firma spełni wymogi dotyczące ochrony danych osobowych, w sposób analogiczny jak ten, który wynika z RODO.

Komisja Europejska uznaje, że jeśli firma z USA do tego programu przystąpiła, to jest objęta tzw. decyzją o adekwatności - czyli standard prezentowany przez tę firmę jest "adekwatny" do tego co wymaga się w odniesieniu do ochrony danych osobowych na terenie UE. Plusem bycia "adekwatnym" jest to, że transfer danych z Europy do takiego podmiotu objętego decyzją o adekwatności nie wymaga spełniania żadnych dodatkowych wymogów.

Co to w praktyce oznacza?

Klienci takiej firmy mogą przesłać do niej dane bez żadnego dodatkowego badania czy dany kraj spełnia jakieś standardy albo nie – skoro KE uznała, że jest OK, to klient już nie musi tego badać. Nie jest konieczne też zawieranie dodatkowych umów (nie mówię tu o kwestii umów powierzenia przetwarzania), np. opartych o standardowe klauzule umowne. Innymi słowy, taka decyzja umożliwia sprawne i obciążone niewielkimi wymogami formalnymi transfery danych.

Co zakłada sama decyzja ws. Data Privacy Framework?

Najważniejsze założenia Data Privacy Framework są następujące:

• podmioty z USA, które chcą dołączyć do programu DPF i być objęte decyzją o adekwatności muszą przejść przez proces certyfikacji w Departamencie Handlu USA,

• podmioty certyfikowane przez Departament Handlu muszą przestrzegać analogicznych zasad przetwarzania danych jak te opisane w RODO (np. zgodności z prawem, minimalizacji, ograniczenia celu, integralności i poufności itp.),

• Data Privacy Framework odnosi się zarówno do działalności administratorów jak i podmiotów przetwarzających z USA,

• podmioty certyfikowane muszą informować osoby o przetwarzaniu ich danych i umożliwiać realizację praw osób na zasadach analogicznych jak te, które wynikają z RODO,

• certyfikacja udzielana jest na rok – po upływie tego czasu podmiot musi się „recertyfikować”,

• Departament Handlu może sprawdzać czy podmiot certyfikowany spełnia warunki wynikające z Data Privacy Framework,

• fałszywe powoływanie się na certyfikację wynikającą z DPF jest wyraźnie zabronione,

• podmioty danych powinny mieć prawo do złożenia darmowej skargi na nieprzestrzeganie ich praw dot. ochrony danych, zarówno bezpośrednio do podmiotu certyfikowanego jak i do niezależnego podmiotu zajmującego się rozpoznawaniem takich skarg,

• skargi można składać także do krajowych organów nadzorczych z UE – podmiot certyfikowany powinien współpracować z takim organem nadzorczym,

• skargi można składać też bezpośrednio do Departamentu Handlu USA, FTC (Federal Trade Commission – amerykańskiej agencji zajmującej się ochroną konsumentów), a w ostateczności do specjalnego organu arbitrażowego przy Departamentu Handlu – gdyby wszystkie inne środki zawiodły).

Bardzo podobne uregulowania były już w Privacy Shield. Wprawdzie wymogi ochrony danych są opisane bardziej szczegółowo, mamy też więcej organizacji, do których możemy się odwołać, ale to raczej ewolucja niż rewolucja.

Co z przetwarzaniem danych przez służby wywiadowcze?

Decyzja bardzo szczegółowo opisuje to w jakich przypadkach amerykańskie służby mogą mieć dostęp do danych przetwarzanych przez organizacje z USA. Mamy więc opis procedur federalnych i stanowych, przepisy dot. dostępu do danych telekomunikacyjnych i inne szczegóły dot. tego jak i kiedy organy ścigania mogą uzyskać dostęp do informacji dotyczących konkretnych osób fizycznych.

Siłą rzeczy, w decyzji Komisji Eiropejskiej mamy też dość rozległy opis programów szpiegowskich, prowadzonych przez amerykańskie służby na podstawie przepisów FISA 702 i Executive Order 12333. Wygląda na to więc, że Komisja Europejska wzięła sobie do serca sugestię TSUE, że ta kwestia nie była dostatecznie mocno zbadana w przypadku poprzednich decyzji o adekwatności. Dodatkowo, teraz oceniono to wszystko przez pryzmat nowej decyzji prezydenta USA, czyli EO 14086, która ma zapewnić dodatkowe zabezpieczenia prywatności osób z UE.

Jakie to zabezpieczenia? Przede wszystkim nowe procedury i mechanizmy weryfikacyjne, mające zapobiegać śledzeniu osób, które nie są podejrzewane o żadne działania skutkujące zagrożeniem dla bezpieczeństwa USA. To nie wszystko, bo w USA wprowadzono nowe instytucje:

• Rzecznik Ochrony Wolności Obywatelskich – to osoba odpowiedzialna za zapewnienie przestrzegania przez agencje wywiadowcze USA prywatności i praw podstawowych. Ludzie z UE mogą do niego złożyć skargę na nieprawidłowe przetwarzanie ich danych (jeśli się o tym dowiedzą),

• Sąd Rewizyjny ds. Ochrony Danych Osobowych – to sąd złożony ze specjalistów, którzy mają być niezależni od rządu USA. Osoby fizyczne z UE będą mogły odwołać się od decyzji Rzecznika Ochrony Wolności Obywatelskich właśnie do tego sądu. Sąd będzie mógł uzyskiwać odpowiednie informacje od agencji wywiadowczych, i będzie mógł podejmować wiążące decyzje naprawcze. Przykładowo, jeżeli uzna, że dane zostały zebrane z naruszeniem zabezpieczeń przewidzianych w prawie USA, będzie mógł nakazać usunięcie danych. Aby jeszcze bardziej usprawnić działania tego Sądu, w każdej sprawie wybierze on specjalnego przedstawiciela z odpowiednim doświadczeniem, który będzie wspierał sąd i zapewni reprezentację interesów skarżącego oraz rzetelne poinformowanie Trybunału o faktycznych i prawnych aspektach sprawy.

Jak sprawdzić czy firma z USA dołaczyła do Data Privacy Framework?

Lista amerykańskich firm, które dołączyły do Data Privacy Framework dostępna jest tutaj:

U góry znajduje się zakładka Data Privacy Framework list - po wejściu w nią zostajemy przekierowani do wyszukiwarki, gdzie możemy wyszukiwać podmioty, które dołączyły do programu.

Co jeśli podmiot nie jest na liście?

W takim przypadku oczywiście nie możemy powoływać się na to, że transfer danych dokonywany jest w ramach programu Data Privacy Framework. Pozostaje nam więc oparcie się na innej podstawie - np. problematycznych Standardowych Klauzulach Umownych.

Czy Data Privacy Framework przetrwa?

Trzeba sobie powiedzieć jasno, że kluczowy mechanizm, który został skrytykowany wcześniej prze Trybunał Sprawiedliwości Unii Europejskiej w wyroku dotyczącym poprzedniego programu, tj. Privacy Shield, nadal istnieje. Służby USA mogą mieć dostęp do danych transferowanych do USA. I ten dostęp może zakładać przeszukiwanie całych zbiorów danych, niekoniecznie należących tylko do jednej osoby.

Innymi słowy, śledzenie obywateli UE może następować bez uprzedniej kontroli sądowej. Prawo USA przewiduje bowiem, że sąd (tzw. FISC) jedynie weryfikuje jakie grupy będą podlegały monitorowaniu przez służby (np. potencjalni terroryści), nie konkretni obywatele.

Max Schrems już wyraził pogląd, że ta decyzja o adekwatności nie jest wystarczająca i nie spełnia wymogów wynikających z wyroku ws. Schrems II. Od razu skierował też skargę do Trybunału Sprawiedliwości Unii Europejskiej. Co ważne, Trybunał nie uznał, że sprawa wymaga pilnego zawieszenia transferów na czas postępowania - a to oznacza, że zyskaliśmy trochę czasu. Zanim TSUE rozpozna sprawę, miną miesiące, a być może nawet lata.

Jeśli masz jakieś dodatkowe pytania dotyczące transferów danych do USA, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.