Urząd Ochrony Danych Osobowych opublikował notę informacyjną Europejskiej Rady Ochrony Danych (EROD) dotyczącą transferów do Stanów Zjednoczonych, w związku z przyjęciem przez Komisję Europejską decyzji wykonawczej stwierdzającej odpowiedni poziom ochrony.
Transfer na podstawie Data Privacy Framework
Zgodnie z tą decyzją transfer danych osobowych do USA będzie mógł się odbywać na podstawie Transatlantyckich Ram Ochrony Danych (Data Privacy Framework). Od 10 lipca 2023 roku, przekazywanie danych z UE do organizacji w USA, które są wymienione w „Wykazie ram ochrony danych”, opiera się na decyzji stwierdzającej odpowiedni stopień ochrony. To oznacza, że nie ma konieczności korzystania z innych narzędzi przekazywania danych określonych w art. 46 RODO.
Link do Wykazu:
https://www.dataprivacyframework.gov/s/participant-search
Co w przypadku, jeśli dana organizacja z USA nie znajduję się w Wykazie? Wtedy przekazywanie będzie wymagało zastosowania odpowiednich zabezpieczeń ochrony danych, takich jak standardowe klauzule ochrony danych (SCC) lub wiążące reguły korporacyjne. Te środki będą musiały spełniać wymagania, zgodnie z art. 46 RODO. W przypadku tych podmiotów nie będzie można opierać się jedynie na decyzji stwierdzającej odpowiedni stopień ochrony.
Skargi na podstawie Data Privacy Framework
Osoby fizyczne, których dane są przekazywane do USA na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, mają możliwość skorzystania z kilku mechanizmów, aby dochodzić roszczeń, jeśli uważają, że dana amerykańska organizacja nie przestrzega Data Privacy Framework. EROD zachęca te osoby fizyczne do zgłaszania wszelkich skarg do odpowiedniej organizacji w USA. W razie potrzeby, organizacje z UE mogą również zasięgnąć porady swoich organów ochrony danych, które są odpowiednie do nadzorowania powiązanych działań przetwarzania.
Istnieje również inny rodzaj skargi dostępny na podstawie Data Privacy Framework. Bez względu na sposób przekazywania danych osobowych do USA, osoby w UE, których dane dotyczą, mają prawo złożyć skargę do swojego krajowego organu ochrony danych, aby skorzystać z nowego mechanizmu dochodzenia roszczeń. Krajowy organ ochrony danych przekaże tę skargę do EROD który następnie przekaże ją do rozpatrzenia właściwym organom w USA. Organ ochrony danych zapewni również, że osoba, której dane dotyczą, będzie otrzymywała informacje na temat postępowania w sprawie skargi, w tym wyniku jej rozpatrzenia. Aby skarga była dopuszczalna, osoby fizyczne nie muszą wykazywać, że ich dane zostały faktycznie zebrane przez amerykańskie agencje wywiadowcze.
Transfer danych do krajów trzecich – czyli dokąd i jak to zrobić?
Co dalej z transferami danych do USA?
Wydaje się na chwilę obecną, że obawy związane z niedawną decyzją w sprawie Meta były przesadzone. Od 10 lipca, jeśli organizacja z USA, do której transferujemy dane, znajduje się w Wykazie, nie musimy martwić się zapewnieniem odpowiedniej ochrony dla praw i wolności osób, których dane dotyczą. Sytuacja nie powinna się zmienić w najbliższym czasie, do momentu materializacji efektów spodziewanej skargi Maxa Schremsa na ten mechanizm. Jednakże, zanim TSUE zdąży rozstrzygnąć tę skargę możemy w pełni cieszyć się dobrodziejstwami Data Privacy Framework.
Link do noty:
https://uodo.gov.pl/pl/138/2780