W dniu 25 marca 2022 r. nastąpiła publikacja nowej umowy o ochronie danych osobowych między UE a USA. Jest to już trzecie porozumienie dotyczące transatlantyckich transferów danych. Dowiedz się tutaj, co dokładnie zostało uzgodnione i jak to obecnie wpływa na praktykę.
Dlaczego nowa umowa o ochronie danych osobowych?
Na stronie Przetwarzanie danych w państwach trzecich to znany problem z zakresu prawa ochrony danych osobowych.
Co do zasady, wymaga to zagwarantowania w państwie trzecim (kraju spoza UE, tj. spoza zakresu GDPR) istnienia poziomu ochrony danych osobowych porównywalnego z GDPR. W tym celu Komisja UE wydaje tzw. decyzje o adekwatności. Ostatnio jako taka decyzja adekwatności istniało do lipca 2020 r. porozumienie "Privacy Shield". Po stwierdzeniu przez ETS, że porozumienie to nie zapewnia poziomu ochrony równoważnego z prawem UE (GDPR) (orzeczenie Schrems II), porozumienie to zostało unieważnione. Powodem tego były w szczególności daleko idące możliwości dostępu służb specjalnych do danych w USA oraz brak możliwości egzekwowania praw osób, których dane dotyczą, wobec władz amerykańskich. Powstała zatem duża niepewność co do przekazywania danych do USA.
Treść nowej umowy o ochronie danych
Nowe porozumienie o ochronie danych pod nazwą "Trans-Atlantic Data Privacy Framework" ma być następcą "Privacy Shield". Ma ona umożliwić swobodną i bezpieczną wymianę danych między UE a USA (lub uczestniczącymi w niej firmami). Ma zawierać nowy zestaw reguł z wiążącymi środkami ochronnymi. Powinno to ograniczyć również dostęp amerykańskich służb specjalnych. Byłoby to wówczas możliwe tylko wtedy, gdyby było to konieczne i proporcjonalne do ochrony bezpieczeństwa narodowego.
Ponadto ma zostać wprowadzony dwustopniowy system odwoławczy, aby obywatele UE mogli składać skuteczne skargi.
Firmy amerykańskie, które chcą przetwarzać dane z UE, mają też podlegać bardziej rygorystycznym obowiązkom. Zgodność z nimi ma być potwierdzana poprzez autocertyfikację.
Nowa umowa o ochronie danych osobowych w praktyce
Biały Dom mówi o "bezprecedensowych zobowiązaniach" w zakresie ochrony danych, ale nie oznacza to, że od teraz wszystkie transfery danych do USA będą bezproblemowe. Nowe porozumienie o ochronie danych "Trans-Atlantic Data Privacy Framework" jest na razie tylko zapowiedzią rządu USA i Komisji UE. Zanim nabierze ona pełnej mocy prawnej, konieczne są pewne kroki pośrednie. Na razie zatem transfer danych do USA musi być nadal badany indywidualnie. Nie wiadomo jeszcze, czy i kiedy nowa umowa o ochronie danych wejdzie w życie. Jednak rozwój sytuacji, który doprowadził do tego ogłoszenia, można uznać za pozytywny. I zgodnie z mottem "wszystko dobre, co się zdarza, to się zdarza", ta trzecia próba umowy o ochronie danych może być umową, która ułatwi praktykę, pomimo obecnej krytyki, że nie uwzględnia wszystkich punktów krytycznych Schrems II.
Potrzebujesz porady i pomocy w zakresie procesów zgodnych z ochroną danych osobowych w Twojej firmie? Nasz zespół ekspertów z przyjemnością udzieli Ci pomocy!