10 lipca br. Komisja Europejska przyjęła decyzję stwierdzającą adekwatność ochrony w odniesieniu do ram ochrony danych UE–USA. W decyzji stwierdzono, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony – porównywalny z poziomem Unii Europejskiej – w odniesieniu do danych osobowych przekazywanych z UE amerykańskim firmom na podstawie nowych ram. Na podstawie nowej decyzji stwierdzającej adekwatność ochrony dane osobowe mogą bezpiecznie przepływać z UE do amerykańskich firm, które uczestniczą w tych ramach, i nie jest konieczne wprowadzanie dodatkowych zabezpieczeń w zakresie ochrony danych.
Ramy ochrony danych UE–USA wprowadzają nowe wiążące zabezpieczenia, które umożliwiają rozwiązanie wszystkich problemów zgłoszonych przez Trybunał Sprawiedliwości Unii Europejskiej. Chodzi m.in. o ograniczenie dostępu amerykańskich służb wywiadowczych do danych z UE do tego, co jest niezbędne i proporcjonalne, oraz ustanowienie sądu odwoławczego zajmującego się kwestiami ochrony danych (DPRC), do którego osoby fizyczne z UE będą miały dostęp. Ramy wprowadzają znaczne usprawnienia w porównaniu z mechanizmem istniejącym w ramach Tarczy Prywatności. Na przykład jeżeli DPRC stwierdzi, że dane zostały zgromadzone z naruszeniem nowych zabezpieczeń, będzie mógł nakazać usunięcie danych. Nowe zabezpieczenia w dziedzinie dostępu rządu do danych zostaną uzupełnione obowiązkami, które będą musiały spełnić amerykańskie firmy importujące dane z UE. Rzeczone ramy mają zapewnić Europejczykom bezpieczny przepływ danych i dać pewność prawa dla przedsiębiorstw po obu stronach Atlantyku.
Amerykańskie firmy mogą uczestniczyć w ramach ochrony danych UE–USA, zobowiązując się do przestrzegania szczegółowego zestawu obowiązków w zakresie ochrony danych. Chodzi tu na przykład o obowiązek usunięcia danych osobowych, gdy nie jest są one już konieczne do celu, w jakim zostały zgromadzone, oraz obowiązek zapewnienia ciągłości ochrony, gdy dane osobowe są udostępniane stronom trzecim.
Osoby fizyczne z UE skorzystają z kilku możliwości dochodzenia roszczeń w przypadku niewłaściwego przetwarzania ich danych przez amerykańskie firmy. Możliwości te obejmują nieodpłatne i niezależne mechanizmy rozstrzygania sporów oraz organ arbitrażowy.
Ponadto ramy prawne USA przewidują szereg zabezpieczeń dotyczących dostępu amerykańskich organów publicznych do danych przekazywanych na podstawie tych ram, zwłaszcza do celów ścigania przestępstw i ochrony bezpieczeństwa narodowego. Dostęp do danych jest ograniczony do tego, co jest niezbędne i proporcjonalne do ochrony bezpieczeństwa narodowego.
Osoby fizyczne z UE będą miały dostęp do niezależnego i bezstronnego mechanizmu dochodzenia roszczeń w związku z gromadzeniem i wykorzystywaniem ich danych przez amerykańskie agencje wywiadowcze. Mechanizm ten będzie obejmował również nowo utworzony sąd odwoławczy zajmujący się kwestiami ochrony danych (DPRC). Sąd ten będzie niezależnie badać i rozstrzygać skargi, w tym poprzez przyjmowanie wiążących środków naprawczych.
Zabezpieczenia wprowadzone przez USA ułatwią ponadto ogólnie transatlantycki przepływ danych, ponieważ będą miały zastosowanie również do transferu danych przy użyciu innych instrumentów, np. takich jak standardowe klauzule umowne i wiążące reguły korporacyjne.
Dalsze działania
Funkcjonowanie ram ochrony danych UE–USA będzie podlegać okresowym przeglądom przeprowadzanym przez Komisję Europejską we współpracy z przedstawicielami europejskich organów ochrony danych i właściwych organów USA. Pierwszy przegląd zostanie przeprowadzony w ciągu roku od wejścia w życie decyzji stwierdzającej odpowiedni stopień ochrony w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone do amerykańskich ram prawnych i czy funkcjonują one skutecznie w praktyce.
Źródło: Komisja Europejska
