10 lipca br. Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez Stany Zjednoczone. Co to dokładnie oznacza dla przedsiębiorców? Po wielomiesięcznych pracach Komisja Europejska przyjęła decyzję wykonawczą z 10 lipca 2023 r. wydaną na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA.
Czas negocjacji nowej decyzji o adekwatności był jednocześnie czasem niepewności prawnej dla podmiotów zaangażowanych w transfer danych osobowych pomiędzy UE a USA. Brak tej decyzji był bowiem jednoznaczny z koniecznością skorzystania z alternatywnych narzędzi przesyłania danych osobowych do państw trzecich. Od teraz przekazywanie danych między UE a USA będzie znacznie łatwiejsze, co z pewnością ucieszy strony zaangażowane w ten proces po obu stronach Atlantyku.
Poprzednie decyzje
Jest to już trzecia decyzja o adekwatności wydana dla Stanów Zjednoczonych. 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność decyzji KE 2016/1250 z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, która umożliwiała przekazywanie danych osobowych z Unii Europejskiej do USA. TSUE stwierdził, że przepisy określone w tej decyzji nie zapewniały adekwatnego poziomu ochrony danych osobowych z Unii Europejskiej. Było to już drugie unieważnienie decyzji o adekwatności dla USA, po Safe Harbour w 2015 roku.
Nowe rozwiązania
Obecnie obowiązująca decyzja o adekwatności przewiduje system certyfikacji, do którego mogą przystąpić organizacje amerykańskie, zobowiązując się tym samym do przestrzegania szeregu zasad dotyczących prywatności. Zasady te określają m.in. konieczność usunięcia danych, gdy nie są już potrzebne do celów ich przetwarzania, czy wymóg zapewnienia ochrony danych osobowych w przypadku ich dalszego przetwarzania przez podmioty trzecie. Wynegocjowana decyzja o adekwatności zapewnia podmiotom danych szereg środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez podmioty prowadzące działania zarówno na rynku unijnym, jak i amerykańskim, a także uzyskanie rozstrzygnięcia takich skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej.
Wprowadzono rozwiązania będące odpowiedzią na tezy TSUE takie jak szereg zabezpieczeń dotyczących dostępu do danych w celach ochrony bezpieczeństwa narodowego czy niezależnego i bezstronnego mechanizmu dochodzenia roszczeń w zakresie gromadzenia i wykorzystywania danych z UE przez amerykańskie agencje wywiadowcze. Zmiany w zakresie przetwarzania danych osobowych z Unii Europejskiej przez Stany Zjednoczone, wszechstronna analiza porządku prawnego tego państwa, ograniczenia oraz zabezpieczenia dostępu organów publicznych do danych osobowych oraz gwarancje zapewniające stopień ochrony „zasadniczo odpowiadający” stopniowi ochrony w UE doprowadziły do przyjęcia nowej decyzji o adekwatności.
Skutki decyzji
Przyjęcie decyzji o adekwatności dla USA pozwoli podmiotom zaangażowanym w przekazywanie danych osobowych pomiędzy Unią Europejską a tym państwem dokonywać transferów w oparciu o to narzędzie prawne. Możliwy będzie transfer danych do tego państwa bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia czy oceny adekwatności jego porządku prawnego w zakresie poziomu ochrony danych osobowych. Decyzja będzie poddawana okresowej ocenie w zakresie swojej aktualności. Pierwsza z nich zostanie dokonana już za rok.