Transfer danych do USA po nowemu - pytania i odpowiedzi

13 grudnia br. Komisja Europejska zainicjowała proces uznania USA za państwo trzecie gwarantujące odpowiedni (adekwatny) stopień ochrony danych osobowych. Oznacza to, że saga związana z niemożnością „zalegalizowania” wykorzystania m.in. pakietu M365 czy Google Analytics powoli (lecz zapewne jedynie na jakiś czas) dobiega końca.

Co to jest decyzja o adekwatności?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Decyzja o adekwatności jest jednym z narzędzi przewidzianych w RODO dla celów rzekazywania danych osobowych z UE do państw trzecich, które w ocenie Komisji Europejskiej zapewniają porównywalny poziom ochrony danych osobowych z poziomem ochrony danych w UE.

W wyniku decyzji o adekwatności dane osobowe mogą swobodnie i bezpiecznie przepływać z Europy Obszaru Gospodarczego (EOG) do państwa trzeciego, bez spełnienia jakichkolwiek dodatkowych warunków lub zezwolenia. Innymi słowy, transfery danych do kraju trzeciego mogą być obsługiwane w taki sam sposób jak wewnątrzunijne przekazywanie danych.

Po wydaniu decyzji o adekwatności podmioty europejskie będą mogły przekazywać dane osobowe partnerskim firmom w Stanach Zjednoczonych bez konieczności wprowadzania dodatkowych zabezpieczeń w zakresie ochrony danych.

Amerykańskie firmy będą mogły poświadczyć swój udział w Ramach Ochrony Danych Osobowych UE-USA, zobowiązując się do przestrzegania szczegółowego zestawu obowiązków w zakresie prywatności (takich jak ograniczenie celu i retencja danych, a także szczególne obowiązki dotyczące bezpieczeństwa danych i udostępniania danych osobom trzecim).

Jakie są kryteria oceny adekwatności?

Adekwatność nie wymaga, aby system ochrony danych w państwie trzecim był identyczny
z systemem w UE, ale aby opierał się na standardzie „zasadniczej równoważności”. Adekwatność polega na kompleksowej ocenie krajowych ram ochrony danych, w tym zastosowanych mechanizmów nadzoru i dochodzenia roszczeń przez osoby, których dane dotyczą.

Europejskie organy ochrony danych opracowały listę kryteriów, które należy wziąć pod uwagę podczas takiej oceny. Są to np.: podstawowe zasady ochrony danych, prawa jednostki, niezależny nadzór i skuteczne środki odwoławcze. M.in. w oparciu o przywołane kryteria przygotowaliśmy praktyczne narzędzie pozwalające ocenić ryzyka związane z transferem danych do państw trzecich (tzw. transfer impact assessment).

Jakie są ograniczenia i zabezpieczenia dotyczące dostępu do danych osobowych ze strony agencji wywiadowczych USA?

Głównym elementem amerykańskich ram prawnych, na którym opiera się projekt decyzji o adekwatności, jest rozporządzenie wykonawcze, podpisane przez prezydenta Bidena 7 października br. To rozporządzenie, wraz z towarzyszącymi mu szczegółowymi regulacjami, umożliwiło wdrożenie zobowiązań podjętych przez USA w porozumieniu ogłoszonym w marcu przez przewodniczącą Komisji Europejskiej Ursulę von der Leyen i prezydenta Bidena.

Dla Europejczyków, których dane osobowe są przekazywane do USA, rozporządzenie wykonawcze przewiduje:

  • wiążące zabezpieczenia, które ograniczają dostęp do danych dla instytucji wywiadowczych USA w zakresie, który jest niezbędny i proporcjonalny do celów ochrony bezpieczeństwa narodowego;
  • wzmocniony nadzór nad działaniami amerykańskich służb, aby zapewnić przestrzeganie ograniczeń w działalności wywiadowczej; oraz
  • ustanowienie niezależnego i bezstronnego mechanizmu dochodzenia roszczeń, w tym nowego Sądu Rewizyjnego ds. Ochrony Danych w celu badania i rozstrzygania skarg dotyczących udostępniania danych organom bezpieczeństwa USA.

Rozporządzenie wykonawcze nakazuje agencjom wywiadowczym USA dokonanie przeglądu swoich zasad i procedur oraz wdrożenie nowych zabezpieczeń.

Funkcja IOD - to się dobrze przekazuje

Czym różni się nowy mechanizm dochodzenia roszczeń w obszarze bezpieczeństwa narodowego od wcześniej funkcjonującego Rzecznika ds. Tarczy Prywatności?

Rozporządzenie wykonawcze wraz z towarzyszącymi mu regulacjami ustanawia nową,  dwuetapową strukturę mechanizmu odwoławczego, z niezależnym i wiążącym organem.

W pierwszym etapie osoby z UE będą mogły złożyć skargę do Rzecznika Ochrony Wolności Obywatelskich (Civil Liberties Protection Officer), funkcjonującego w strukturach wywiadu. Ta osoba jest odpowiedzialna za zapewnienie przestrzegania prywatności i praw podstawowych przez agencje wywiadowcze USA.

W drugim etapie osoby fizyczne będą miały możliwość odwołania się od decyzji Rzecznika do nowo utworzonego Sądu Rewizyjnego ds. Ochrony Danych Osobowych. Sąd będzie składał się z osób spoza rządu USA, którzy nie będą mogli także otrzymywać od niego instrukcji, powoływanych na podstawie konkretnych kwalifikacji i zwalnianych tylko z ważnej przyczyny (takiej jak wyrok skazujący lub uznanie za osobę psychicznie lub fizycznie niezdolną do wykonywania swoich zadań). Sąd Rewizyjny ds. Ochrony Danych będzie miał uprawnienia do rozpatrywania skarg osób fizycznych z UE, w tym do uzyskiwania odpowiednich informacji od agencji wywiadowczych oraz władzę podejmowania wiążących decyzji naprawczych. Na przykład, jeśli powyższy sąd stwierdzi, że dane zostały zebrane z naruszeniem przepisów przewidzianych w rozporządzeniu wykonawczym, będzie mógł nakazać usunięcie tych danych.

Aby wzmocnić i wesprzeć działania nadzorcze, przy każdej sprawie sąd wybierze adwokata mającego odpowiednie doświadczenie, który zapewni ochronę interesów skarżącego oraz zagwarantuje, że sąd będzie dobrze poinformowany o faktycznych i prawnych aspektach sprawy. To zapewni odpowiednią reprezentację obu stron oraz gwarancje sprawiedliwego i należytego procesu. Będą to znaczące ulepszenia w porównaniu z mechanizmem, który istniał w ramach Tarczy Prywatności.

Jakie są kolejne etapy procesu decyzyjnego?

Projekt decyzji o adekwatności został przekazany do zaopiniowania Europejskiej Radzie  Ochrony Danych (EROD).

Następnie Komisja Europejska będzie musiała uzyskać zielone światło od komitetu, w skład którego wchodzą przedstawiciele państw członkowskich UE. Ponadto, Parlament Europejski ma prawo do kontroli decyzji o adekwatności.

Dopiero potem Komisja Europejska będzie mogła podjąć ostateczną decyzję o adekwatności, która umożliwi swobodny i bezpieczny przepływ danych pomiędzy firmami z UE i USA, certyfikowanymi przez amerykański Departament Handlu na podstawie wprowadzonych Ram Ochrony Prywatności Danych.

Jakie są inne opcje dostępne dla firm?

Należy pamiętać, że decyzja o adekwatności nie jest jedynym narzędziem w przypadku  międzynarodowych transferów danych.

Najczęściej stosowane są wzorcowe klauzule, które firmy mogą wprowadzać do swoich umów handlowych w ramach transferu danych z UE. W ubiegłym roku KE przyjęła znowelizowane Standardowe Klauzule Umowne, aby ułatwić ich stosowanie, w tym – w świetle wyroku TSUE w sprawie Schrems II.

Zabezpieczenia wprowadzone przez rząd USA w obszarze bezpieczeństwa narodowego (w tym mechanizm odwoławczy) będą miały zastosowanie dla wszystkich transferów danych do firm w USA na podstawie RODO, niezależnie od zastosowanych mechanizmów.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Które z poniższych kryteriów nie służy ocenie adekwatności systemu ochrony danych osobowych w danym państwie trzecim?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT