Nowe realia w zakresie transferu danych osobowych do Stanów Zjednoczonych

W dniu 10 lipca 2023 roku Komisja Europejska na podstawie art. 45 rozporządzenia RODO przyjęła decyzję wykonawczą stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA. Ta decyzja ma spore znaczenie dla transferu danych między Unią Europejską a Stanami Zjednoczonymi i stanowi wypełnienie luki jaka powstała po unieważnieniu wcześniejszych mechanizmów ochrony.

Co do zasady lipcowa decyzja Komisji Europejskiej powinna ułatwić dokonywanie transferu danych, jednakże zaznaczyć należy, że przyjęcie decyzji nie oznacza dowolności i pełnej swobody. Podmioty z UE będą mogły dokonywać transferu danych osobowych do podmiotów z USA, ale tylko takich, które posiadają status certyfikowanego odbiorcy. Tym samym decyzja Komisji Europejskiej nie dotyczy USA jako kraju, a ogranicza się ona do określonych podmiotów, przedsiębiorstw, organizacji które przystąpią do programu EU-US Data Privacy Framework i uzyskają odpowiedni certyfikat.

Co ważne certyfikaty wydawane będą tylko na rok, a więc każdy podmiot z USA, który będzie zainteresowany przetwarzaniem danych osobowych przekazywanych z terenu UE będzie zmuszony uczestniczyć w corocznej weryfikacji aby utrzymać posiadany certyfikat. Jest to dość rygorystyczne ograniczenie, które w praktyce może sprowadzać się do tego, że certyfikaty uzyskiwać i utrzymywać będą wyłącznie duże firmy i organizacje, zaś podmioty o mniejszym zasięgu nie będą zainteresowane corocznym odświeżaniem certyfikatu. Przypuszczać należy, że ze względu stosunkowo krótki okres ważności certyfikatu spora część transferów danych osobowych do USA nadal realizowana będzie w oparciu o mechanizmy takie jak standardowe klauzule umowne lub wiążące reguły korporacyjne.

Dopiero praktyka w kolejnych miesiącach i latach przyniesie odpowiedź na to czy wprowadzone rozwiązania są rozwiązaniami skutecznymi i trwałymi. Bez wątpienia przyjęcie komentowanej decyzji stanowi krok naprzód w zakresie rozwoju regulacji prawnych związanych z ochroną danych osobowych, należy jednak spodziewać się, że w najbliższym czasie decyzja zostanie zaskarżona do TSUE przez organizację NOYB, lub osoby z nią powiązane np. Maxa Schremsa, którego skargi doprowadziły do unieważnienia dwóch poprzednich regulacji dotyczących transferu danych na linii UE – USA, tj. „Bezpiecznej Przystani” (Safe Harbor) oraz „Tarczy Prywatności” (Privacy Shield).

W związku z zapowiedzią złożenia skargi najprawdopodobniej o utrzymaniu decyzji w obrocie zdecyduje orzeczenie TSUE.