Po wielu miesiącach negocjacji z rządem Stanów Zjednoczonych Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych w odniesieniu do transferów danych z Unii Europejskiej do określonych podmiotów w USA, tzw. EU-US Data Privacy Framework (Ramy Ochrony Danych). Decyzja weszła w życie w dniu 10 lipca 2023 r. Podmioty przekazujące dane osobowe pomiędzy Unią Europejską a Stanami Zjednoczonymi mogą już zatem dokonywać transferów w oparciu o ten dokument bez konieczności uzyskiwania jakiegokolwiek dodatkowego zezwolenia, stosowania standardowych klauzul umownych czy przeprowadzania oceny adekwatności porządku prawnego państwa docelowego w zakresie poziomu ochrony danych osobowych.
Decyzja Komisji Europejskiej nie ma jednak charakteru generalnego i dotyczy wyłącznie tych podmiotów amerykańskich, które posiadają status certyfikowanego odbiorcy danych osobowych w ramach programu EU-US Data Privacy Framework. Co istotne, proces certyfikacji będzie podlegał corocznej weryfikacji, a podmioty, które nie spełnią określonych wymogów i nie będą przestrzegały uzgodnionych zasad mogą zostać wykluczone z Programu. Zanim europejski administrator zdecyduje się przekazać przetwarzane dane osobowe do USA, np. swojemu kontrahentowi, zobowiązany jest zatem zweryfikować jego status na liście certyfikowanych odbiorców, a także potwierdzić zakres danych, dla których transfer jest dozwolony (https://www.dataprivacyframework.gov/s/participant-search).
W sytuacji kiedy odbiorcy danych osobowych nie ma na liście certyfikowanych odbiorców lub zakres danych, które mogą być mu przekazane jest ograniczony (np. dotyczy wyłącznie danych pracowniczych zebranych w celach związanych z zatrudnieniem), transfer danych będzie wymagał zastosowania innych mechanizmów zapewniających skuteczne środki ochrony prawnej, np. wiążących reguł korporacyjnych (Binding Corporate Rules, BCR) czy standardowych klauzul ochrony danych przyjętych przez Komisję Europejską (Standard Contractual Clauses, SCC). Zgodnie ze stanowiskiem Trybunału Sprawiedliwości UE wyrażonym w wyroku Schrems II (sprawa C-311/18) w takiej sytuacji jednak konieczne jest przeprowadzenie uprzedniej oceny, czy importer danych będzie w stanie spełnić określone warunki ochrony, a w szczególności czy nie uniemożliwia mu tego wewnętrzne prawo obowiązujące w danym państwie docelowym.
Wydanie przez Komisję Europejską decyzji o adekwatności może jednak istotnie ułatwić tę ocenę. Jak podkreśla Europejska Rada Ochrony Danych w swojej nocie informacyjnej, wszystkie zabezpieczenia wprowadzone przez rząd USA w obszarze bezpieczeństwa narodowego (w tym mechanizm dochodzenia roszczeń) mają zastosowanie do wszystkich danych przekazywanych do USA, niezależnie od zastosowanego narzędzia przekazywania danych. W konsekwencji, oceniając skuteczność wybranego mechanizmu (np. SCC), podmioty przekazujące dane mogą wziąć pod uwagę ocenę już przeprowadzoną przez Komisję Europejską na potrzeby w decyzji o adekwatności.
Długo wyczekiwana decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych w ramach EU-US Data Privacy Framework z pewnością będzie miała istotny praktyczny wpływ na transfery danych do Stanów Zjednoczonych. Trudno jednak ocenić, czy ureguluje ona te kwestie w sposób stały.
Funkcjonowanie EU-U.S. Data Privacy Framework będzie podlegało okresowym przeglądom przeprowadzanym przez Komisję Europejską wraz z przedstawicielami europejskich organów ochrony danych i właściwych organów USA. Pierwszy taki przegląd odbędzie się już po roku od wejścia w życie decyzji, w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone i skutecznie funkcjonują w praktyce. Niezależnie, nie można wykluczyć, że EU-U.S. Data Privacy Framework podzieli los poprzednich decyzji dotyczących transferów danych z Unii Europejskiej do USA: Safe Harbour (Bezpieczna Przystań) i Privacy Shield (Tarcza Prywatności). NOYB, organizacja związana z austriackim aktywistą Maximilianem Schremsem, podnosi, że nowy mechanizm niewiele różni się od poprzednich i już zapowiada kolejne skargi do TSUE. Podmioty przekazujące dane osobowe do USA będą musiały więc nadal śledzić orzecznictwo Trybunału i odpowiednio reagować w przypadku uchylenia podstawy ich transferów danych.
