Mimo prób podważenia decyzji Komisji Europejskiej transfer danych do Stanów Zjednoczonych jest dzisiaj w pełni legalny.
W lipcu 2023 r. został otwarty nowy rozdział transatlantyckiej wymiany danych osobowych. Ma to związek z przyjęciem przez Komisję Europejską (KE) decyzji wykonawczej z 10 lipca 2023 r., stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. Ramy ochrony danych UE–USA (EU-US Data Privacy Framework; dalej: DPF). Przez poprzednie lata, a konkretnie od lipca 2020 r., ta wymiana wiązała się z dużą niepewnością na skutek unieważnienia przez Trybunał Sprawiedliwości UE wcześniejszej decyzji KE dotyczącej innego amerykańskiego programu zapewniającego bezpieczeństwo danych – Tarczy Prywatności (Privacy Shield).
Filar publiczny
Przyjęcie przez KE decyzji poprzedziło podpisanie na początku października 2022 r. przez prezydenta Bidena rozporządzenia wykonawczego w sprawie zwiększenia gwarancji dla działań wywiadowczych USA. Ma to związek z rozstrzygnięciem TSUE z lipca 2020 r. w głośnej sprawie określanej mianem Schrems II, które zawiera krytykę działań podejmowanych przez amerykańskie służby specjalne, w tym tych dotyczących danych pochodzących z Europy. Rozporządzenie prezydenta USA wraz z licznymi innymi regulacjami obowiązującymi po drugiej stronie Atlantyku stanowi niejako pierwszy z filarów, na których są oparte nowe transatlantyckie Ramy ochrony danych.
Rozporządzenie to wprowadza mechanizm umożliwiający osobom fizycznym, w tym obywatelom Unii, dochodzenie praw w związku z gromadzeniem i wykorzystaniem ich danych przez służby amerykańskie. Ten tzw. Signals Intelligence Redress Mechanism przewiduje funkcjonowanie dwóch nowo powołanych organów: urzędnika ds. ochrony wolności obywatelskich (Civil Liberties Protection Officer) oraz sądu ds. przeglądu ochrony danych (Data Protection Review Court). Skargi Europejczyków mają być przekazywane temu urzędnikowi, jednak nie bezpośrednio, lecz za pośrednictwem europejskich organów nadzorczych ds. ochrony danych; w Polsce będzie to prezes UODO.
Filar komercyjny
Drugi filar nowych ram prawnych stanowią komercyjne zasady samego programu opracowane przez Departament Handlu USA (EU-U.S. Data Privacy Framework Principles). Ich treść dołączono jako załącznik I do decyzji KE. Zresztą sama decyzja KE – nie licząc rozbudowanej preambuły – zawiera jedynie cztery artykuły, z których kluczowy jest art. 1. Zgodnie z nim dla celów art. 45 RODO Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z Unii tym organizacjom (odbiorcom) amerykańskim, które znajdują się na liście „Data Privacy Framework List”, prowadzonej przez Departament Handlu USA. Co przy tym istotne, prowadzony jest również jawny rejestr tych organizacji, które zostały usunięte z listy lub które podjęły samodzielną decyzję o rezygnacji z członkostwa w programie. Usunięcie z wykazu podmiotów uczestniczących w programie ma następować m.in. w sytuacji, gdy organizacja amerykańska uporczywie narusza przyjęte zasady. W takiej sytuacji organizacja ma obowiązek usunięcia wszelkich oświadczeń oraz informacji (np. ze strony internetowej organizacji czy z polityki prywatności), które wskazywałyby na dalszą jej przynależność do DPF. Dodatkowo taka organizacja ma obowiązek usunięcia lub zwrócenia wszelkich danych, które otrzymała wcześniej od partnerów europejskich w ramach programu.
Decyzja o wpisaniu się na listę DPF, a tym samym o dokonaniu tzw. samo certyfikacji, należy wyłącznie do zainteresowanej organizacji amerykańskiej. Podobnie zresztą wyglądało to w poprzednich amerykańskich programach. Również poszczególne zasady nowych Ram ochrony danych UE–USA stanowią kontynuację analogicznych zasad tworzących Tarczę Prywatności i wcześniejszej Bezpiecznej Przystani. Na liście tych wymogów odnajdujemy m.in. zasadę powiadomienia, zasadę wyboru czy zasady integralności danych i ograniczenia celu przetwarzania przypominające te dobrze znane z RODO. Co również istotne, poprzedni amerykański program – Tarcza Prywatności – funkcjonował po stronie USA nieprzerwanie, również po lipcu 2020 r. Dlatego nowe ramy stanowią ich kontynuację również w wymiarze czysto praktycznym. To sprawiło, że organizacje, które należały do Tarczy Prywatności, zostały niejako automatycznie przeniesione na listę nowych ram i można je odnaleźć w wyszukiwarce internetowej na stronie poświęconej programowi.
Bez dodatkowych analiz
Dla praktyki istotne jest również to, że zgodnie z decyzją wykonawczą KE transfer danych osobowych do organizacji amerykańskiej należącej do nowego programu jest realizowany na podstawie art. 45 RODO. Oznacza to, że taka operacja nie wymaga zawarcia umowy lub zastosowania innego mechanizmu transferowego wynikającego z RODO, w szczególności z art. 46. Ponadto nie jest w takiej sytuacji konieczne stosowanie dodatkowych zabezpieczeń, wymaganych przez unijnych regulatorów (np. dodatkowych postanowień umownych chroniących dane).
Przekazywanie danych do organizacji amerykańskich, które nie przystąpiły do DPF, jest oczywiście również dopuszczalne, wymaga jednak skorzystania z innego instrumentu transferowego, np. standardowych klauzul umownych. Co przy tym ważne, decyzja KE z lipca 2023 r. oraz przeprowadzona przez KE ocena prawa amerykańskiego oddziałują również na tego rodzaju operacje transferowe. Zgodnie z wyjaśnieniami Europejskiej Rady Ochrony Danych eksporter danych oceniający skuteczność zastosowanego instrumentu transferowego (w szczególności standardowych klauzul umownych) powinien uwzględnić w ramach prowadzonej analizy (tzw. Transfer Impact Assessment) ocenę stanu prawnego obowiązującego w USA dokonaną przez KE i zawartą w decyzji. Oznacza to, że w praktyce tego rodzaju analiza będzie o wiele łatwiejsza. Nie będzie w szczególności wymagane analizowanie całego otoczenia prawnego, w którym amerykański odbiorca danych funkcjonuje.
Pierwsze próby podważania
Czas pokaże, na ile stabilny będzie nowy amerykański program i czy nie podzieli on losów poprzedników. Swej krytycznej oceny nie ukrywa bowiem Max Schrems, który przyczynił się do unieważnienia obu wcześniejszych amerykańskich programów. Co jednak ciekawe, ubiegł go już P. Philippe Latombe, francuski parlamentarzysta, który już kilka tygodni po przyjęciu przez KE decyzji zaskarżył ją do unijnego sądu. W połowie października br. jego wniosek o zawieszenie wykonywania decyzji KE został jednak oddalony. Nie przesądza to jednak końcowego rozstrzygnięcia w sprawie, jako że opisywane orzeczenie odnosi się jedynie do tzw. środków tymczasowych. O ile sąd nie zgodził się z Latombe, aby funkcjonowanie decyzji KE wyrządzało mu poważną szkodę, to wydaje się jednak, że ryzyko związane z zakwestionowaniem i tej decyzji zostanie z nami na stałe.
Jednak do czasu ostatecznego rozstrzygnięcia sprawy przez TSUE – nawet jeśli założyć unieważnienie decyzji KE z lipca 2023 r. – korzystanie z DPF jest w pełni dopuszczalne, prawnie bezpieczne, a co więcej i co dla praktyki nie bez znaczenia – wyjątkowo atrakcyjne. ©℗