Przekazywanie danych osobowych do USA

Aby zgodnie z RODO przekazać dane do państwa trzeciego, konieczne jest zastosowanie odpowiedniego mechanizmu transferu danych. Wybór mechanizmu transferu zgodnie z zasadą rozliczalności wymaga przeprowadzenia analizy oraz jej udokumentowania.

Państwo trzecie w rozumieniu RODO, to państwo spoza Europejskiego Obszaru Gospodarczego (EOG tworzą państwa Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia). W pierwszej kolejności przekazywanie danych do państw trzecich powinno zostać ocenione przez pryzmat zgodności z ogólnymi zasadami ochrony danych osobowych, a następnie przez pryzmat zgodności z przepisami Rozdziału V.

Jeśli Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony, przekazywanie danych nie jest obwarowane dodatkowymi wymogami. Decyzje Komisji w tej sprawie publikowane są w Dzienniku Urzędowym Unii Europejskiej. Dotychczas KE wydała takie decyzje w stosunku do Andory, Argentyny, Kanady, Wysp Owczych, Guernsey, Izraela, Wyspy Man, Japonii, Jersey, Nowej Zelandii, Szwajcarii, Urugwaju oraz USA (w ramach Privacy Shield).

W przypadku braku decyzji KE, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, a także skuteczne środki ochrony prawnej. Celem jest zapewnienie analogicznej ochrony danych, jaka przysługiwałaby podmiotowi w sytuacji przetwarzania jego danych wewnątrz Unii Europejskiej.

W najnowszym wyroku wydanym 16 lipca 2020 r. w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości UE stwierdził jednak nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. W konsekwencji, od dnia ogłoszenia wyroku, tj. od dnia 16 lipca 2020 r., przekazywanie danych do Stanów Zjednoczonych nie może się już odbywać na tej podstawie.

Jednocześnie Trybunał potwierdził dalsze obowiązywanie decyzji Komisji Europejskiej 2010/87 w sprawie standardowych klauzul umownych (SCC) dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich.

Jak podkreślono w oświadczeniu wydanym przez Europejską Radę Ochrony Danych w związku z wydaniem wyroku standardowe klauzule umowne pozostają ważne lecz wymagane jest w praktyce aby zapewniały one stopień ochrony  równoważny temu gwarantowanemu przez RODO w świetle Karty praw podstawowych Unii Europejskiej.

Innovations Tax & Legal Care

Autorzy:

Magdalena Raniszewska – radca prawny

Karolina Gałka – aplikant radcowski

Zamknij menu