W dniu 10 lipca 2023 r. Komisja Europejska (Komisja) przyjęła Decyzję Wykonawczą z dnia 10.7.2023 r. na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie odpowiedniego poziomu ochrony danych osobowych zgodnie z art. Ramy ochrony danych osobowych UE-USA („decyzja stwierdzająca odpowiedni stopień ochrony”), które zawierają w swoim załączniku ramy ochrony danych osobowych UE-USA (DPF).

Treść decyzji https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

Jak podaje w komunikacie prasowym Komisja Europejska:

„W decyzji stwierdza się, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony – porównywalny z poziomem ochrony w Unii Europejskiej – w odniesieniu do danych osobowych przekazywanych z UE do przedsiębiorstw amerykańskich zgodnie z nowymi ramami.

Na podstawie nowej decyzji stwierdzającej odpowiedni stopień ochrony dane osobowe mogą bezpiecznie przepływać z UE do amerykańskich przedsiębiorstw uczestniczących w ramach (lista przedsiębiorstw https://www.dataprivacyframework.gov/s/participant-search) bez konieczności wprowadzania dodatkowych zabezpieczeń w zakresie ochrony danych.

Unijne i amerykańskie ramy ochrony danych wprowadzają nowe wiążące zabezpieczenia w odpowiedzi na wszystkie obawy podniesione przez Europejski Trybunał Sprawiedliwości, w tym ograniczenie dostępu amerykańskich służb wywiadowczych do danych UE do tego, co jest konieczne i proporcjonalne, oraz ustanowienie sądu ds. kontroli ochrony danych (DPRC), do którego będą miały dostęp osoby fizyczne z UE.

Nowe ramy wprowadzają znaczące ulepszenia w porównaniu z mechanizmem istniejącym w ramach Tarczy Prywatności. Na przykład, jeśli DPRC stwierdzi, że dane zostały zebrane z naruszeniem nowych zabezpieczeń, będzie mógł nakazać usunięcie danych. Nowe zabezpieczenia w obszarze dostępu rządów do danych uzupełnią obowiązki, które będą musiały zobowiązać się do przestrzegania przez amerykańskie przedsiębiorstwa importujące dane z UE.

Przedsiębiorstwa amerykańskie będą mogły przystąpić do unijnych i amerykańskich ram ochrony danych, zobowiązując się do przestrzegania szczegółowego zestawu zobowiązań w zakresie prywatności, na przykład wymogu usuwania danych osobowych, gdy nie są już potrzebne do celów, dla których zostały zgromadzone, oraz zapewnienia ciągłości ochrony w przypadku udostępniania danych osobowych stronom trzecim.

Osoby fizyczne z UE skorzystają z kilku możliwości dochodzenia roszczeń w przypadku, gdy ich dane będą niewłaściwie przetwarzane przez amerykańskie przedsiębiorstwa. Obejmuje to bezpłatne niezależne mechanizmy rozstrzygania sporów i organ arbitrażowy.

Ponadto ramy prawne USA przewidują szereg zabezpieczeń dotyczących dostępu do danych przekazywanych na podstawie tych ram przez amerykańskie organy publiczne, w szczególności do celów egzekwowania prawa karnego i bezpieczeństwa narodowego. Dostęp do danych jest ograniczony do tego, co jest konieczne i proporcjonalne do ochrony bezpieczeństwa narodowego.

Osoby fizyczne z UE będą miały dostęp do niezależnego i bezstronnego mechanizmu dochodzenia roszczeń w odniesieniu do gromadzenia i wykorzystywania ich danych przez amerykańskie agencje wywiadowcze, który obejmuje nowo utworzony sąd ds. kontroli ochrony danych. Trybunał będzie niezależnie badał i rozstrzygał skargi, w tym poprzez przyjęcie wiążących środków naprawczych.

Zabezpieczenia wprowadzone przez Stany Zjednoczone ułatwią również transatlantyckie przepływy danych w ujęciu bardziej ogólnym, ponieważ mają one również zastosowanie w przypadku przekazywania danych przy użyciu innych narzędzi, takich jak standardowe klauzule umowne i wiążące reguły korporacyjne.

Dalsze działania

Funkcjonowanie ram prywatności danych UE-USA będzie podlegać okresowym przeglądom, które będą przeprowadzane przez Komisję Europejską wraz z przedstawicielami europejskich organów ochrony danych i właściwych organów USA.

Pierwszy przegląd odbędzie się w ciągu roku od wejścia w życie decyzji stwierdzającej odpowiedni stopień ochrony w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone do amerykańskich ram prawnych i czy funkcjonują skutecznie w praktyce.

Tło

Art. 45 ust. 3 ogólnego rozporządzenia o ochronie danych przyznaje Komisji uprawnienie do decydowania, w drodze aktu wykonawczego, że państwo trzecie zapewnia "odpowiedni stopień ochrony" – poziom ochrony danych osobowych, który jest zasadniczo równoważny poziomowi ochrony w UE. Skutkiem decyzji stwierdzających odpowiedni stopień ochrony jest swobodny przepływ danych osobowych z UE (oraz Norwegii, Liechtensteinu i Islandii) do państwa trzeciego bez dalszych przeszkód.

Po unieważnieniu przez Trybunał Sprawiedliwości UE poprzedniej decyzji stwierdzającej odpowiedni stopień ochrony w sprawie Tarczy Prywatności UE-USA Komisja Europejska i rząd USA rozpoczęły dyskusje na temat nowych ram, które dotyczyły kwestii podniesionych przez Trybunał.

W marcu 2022 r. przewodniczący Ursula von der Leyen i prezydent Biden ogłosili, że osiągnęli porozumienie co do zasady w sprawie nowych transatlantyckich ram przepływu danych, po negocjacjach między komisarzem Reyndersem a sekretarzem USA Raimondo. W październiku 2022 r. prezydent Biden podpisał rozporządzenie wykonawcze w sprawie wzmocnienia zabezpieczeń dla działań rozpoznania radioelektronicznego Stanów Zjednoczonych, które zostało uzupełnione przepisami wydanymi przez prokuratora generalnego USA Garlanda. Łącznie te dwa instrumenty wdrożyły do prawa USA zobowiązania USA wynikające z umowy co do zasady i uzupełniły zobowiązania przedsiębiorstw amerykańskich wynikające z ram ochrony danych osobowych UE-USA.

Zasadniczym elementem amerykańskich ram prawnych obejmujących te zabezpieczenia jest amerykańskie rozporządzenie wykonawcze w sprawie wzmocnienia zabezpieczeń działań rozpoznania radioelektronicznego Stanów Zjednoczonych, które odnosi się do obaw wyrażonych przez Trybunał Sprawiedliwości Unii Europejskiej w decyzji Schrems II z lipca 2020 r.

Ramy są administrowane i monitorowane przez Departament Handlu USA. Amerykańska Federalna Komisja Handlu będzie egzekwować przestrzeganie przepisów przez amerykańskie firmy.”

Źródło: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

Zdjęcie

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl