W dniu 10 lipca 2023 r. Komisja Europejska opublikowała decyzję (tzw. EU-US Data Privacy Framework), która pod pewnymi warunkami (określonymi w tej decyzji) umożliwi transfer danych do podmiotów mających swoją siedzibę w USA. Wydanie tej decyzji jest konsekwencją unieważnienia Tarczy Prywatności, która do czasu wydania przez TSUE wyroku w sprawie Schrems II, stanowiła podstawę legalizującą transfer danych osobowych do USA. TSUE we wskazanym wyroku uznał, że prawo amerykańskie nie zapewnia odpowiedniego stopnia ochrony danych osobowych, a Tarcza Prywatności również nie zawiera dostatecznych gwarancji, które zabezpieczałyby prawo do ochrony danych osobowych jednostki.
Nowa decyzja Komisji Europejskiej nie stwierdza, że USA zapewnia odpowiedni stopień ochrony danych osobowych jako państwo. Dotyczy ona jedynie konkretnych organizacji mających siedzibę w USA, które spełnią przewidziane w niej wymogi.
Decyzja przewiduje mechanizm certyfikacji dla amerykańskich podmiotów, do których podmioty mające siedzibę na terytorium Europejskiego Obszaru Gospodarczego chciałyby transferować dane osobowe. Mechanizm ten opierał się będzie głównie na zobowiązaniu do przestrzegania reguł ochrony danych osobowych określonych w decyzji, w tym także w przygotowanym do niej załączniku przez Departament Handlu USA. Zasady te obejmują m.in. obowiązek usunięcia danych osobowych, kiedy te nie są już niezbędne w danym celu przetwarzania.
W ramach mechanizmu certyfikacji amerykańskie podmioty będą także zobowiązane m.in. do opublikowania, a także właściwego wdrożenia przyjętej w organizacji polityki prywatności, czy też przekazania właściwemu organowi informacji, w tym np. w zakresie celów, w jakich podmiot przetwarza dane osobowe.
Organizacje, które będą zapewniać zgodność przetwarzania danych osobowych z EU-US Data Privacy Framework zostaną wskazane na liście publikowanej przez Departament Handlu USA. Oznacza to, że transfer danych osobowych do podmiotów mających siedzibę w USA i wskazanych na tej liście nie będzie wymagał podjęcia żadnych innych działań, np. zawarcia standardowych klauzul umownych.
W przypadku organizacji, które nie spełnią wymogu certyfikacji oraz wpisu na listę prowadzoną przez Departament Handlu USA, nowa decyzja Komisji Europejskiej nie będzie stanowić instrumentu legalizującego transfer danych osobowych do tych podmiotów. W takim przypadku możliwe będzie skorzystanie z innych rozwiązań przewidzianych w RODO. Przekazanie danych osobowych do importera danych osobowych mającego siedzibę w USA będzie możliwe, np. na podstawie standardowych klauzul umownych.
Należy jednak pamiętać, że samo zawarcie standardowych klauzul umownych nie będzie wystarczające. Przed ich zawarciem należy zweryfikować czy państwo trzecie, tj. USA, zapewnia m.in. odpowiednie zabezpieczenia dla przekazywanych danych osobowych, czy też skuteczne środki ochrony prawnej, dla osób których dane dotyczą. Transfer danych osobowych na tej podstawie jest procesem o wiele bardziej skomplikowanym i wymagającym podjęcia szeregu czynności sprawdzających, w tym także analizy prawa amerykańskiego w zakresie ochrony danych osobowych.
Pełna treść decyzji Komisji Europejskiej dostępna jest pod adresem:
https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en.