+41 41 521 80 00 | info@lexcellence.swiss

Open jobs!

Nowe Ramy Ochrony Prywatności UE-USA

Nowe Ramy Ochrony Prywatności UE-USA

czwartek, 13 Lipiec, 2023

W dniu 10 lipca 2023 r. Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych tzw.  "Ramy ochrony prywatności danych UE-USA”. Jest to trzecia próba ustanowienia bezpiecznych i godnych zaufania przepływów danych między UE a USA. Poprzednie ramy Tarczy Prywatności UE-USA, które ułatwiały transatlantycki przepływ danych, zostały unieważnione przez Trybunał Sprawiedliwości UE (TSUE) w decyzji Schrems II z lipca 2020 roku. Nowe unijno-amerykańskie ramy ochrony prywatności danych (DPF) stanowią, że Stany Zjednoczone mają zapewnić odpowiedni poziom ochrony - porównywalny z poziomem Unii Europejskiej - gdy strony zobowiązują się do przestrzegania DPF. 

 

Dlaczego zawarto DPF?

Ramy prywatności danych zostały opracowane w celu ułatwienia swobodnego przepływu danych między Stanami Zjednoczonymi a UE. Skoordynowane podejście do wyzwań dzisiejszego zmieniającego się rynku cyfrowego i modeli biznesowych intensywnie wykorzystujących dane jest coraz ważniejsze. DPF UE-USA ma na celu zapewnienie, że dane osobowe są gromadzone w sposób uczciwy, w określonym celu, a następnie wykorzystywane wyłącznie w zakresie zgodnym z celem przetwarzania. 

 

Ramy te mają głównej mierze ochronę swobód obywatelskich poprzez ograniczenie działań wywiadu cyfrowego USA oraz wprowadzenie dwuetapowego niezależnego mechanizmu dochodzenia roszczeń przez osoby, których dane dotyczą. W oparciu o nową decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych, dane będą mogły być bezpiecznie przekazywane z UE do przedsiębiorstw amerykańskich bez wprowadzania dodatkowych zabezpieczeń ochronnych. Decyzja ma na celu zapewnienie, że osoby, których dane dotyczą w UE, będą nadal korzystać z ważnej ochrony prywatności, jednocześnie umożliwiając firmom działanie w globalnej gospodarce. DPF jest odpowiedzią, która ma wypełnić luki w Tarczy Prywatności zawartej między UE a USA w 2016 roku.

 

Ochrona danych przyznana w ramach DPF UE-USA ma zastosowanie do danych osobowych przekazywanych między organizacjami z UE i USA, które przystąpiły i podporządkowały się DPF. Takie organizacje muszą przestrzegać ram ochrony danych, między innymi poprzez aktualizację swoich polityk prywatności do 10 października 2023 r.

 

Czy DPF ma zastosowanie do przekazywania danych ze Szwajcarii?

Chociaż prawodawstwo UE nie jest wiążące dla Szwajcarii, szwajcarskie firmy przetwarzające dane osobowe zgodnie z RODO mogą polegać na przyjętych ramach ochrony prywatności danych w celu wypełnienia swoich zobowiązań wynikających z RODO. Jednak DPF nie ma jeszcze zastosowania do przekazywania danych na mocy szwajcarskiej federalnej ustawy o ochronie danych.

 

Po odwołaniu Tarczy Prywatności UE-USA z 2020 r. Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji (FDPIC), podobnie jak TSUE, orzekł, że Tarcza Prywatności UE-USA nie zapewnia odpowiedniego poziomu ochrony danych przekazywanych ze Szwajcarii do USA. W następstwie decyzji UE w sprawie adekwatności, FDPIC wydał oświadczenie w dniu 11 lipca 2023 r., że przyjął do wiadomości decyzję UE w sprawie adekwatności, ale to Rada Federalna oceni, czy CH-US DPF zapewni odpowiedni poziom ochrony danych. Taka ocena nie może zostać oficjalnie przeprowadzona przed 1 września 2023 roku. Dopóki DPF CH-US nie zostanie sfinalizowany i oceniony, lista adekwatności Szwajcarii pozostanie niezmieniona. W związku z tym firmy, które muszą przestrzegać FADP, nie mogą przez kilka następnych miesięcy polegać na nowym DPF UE-USA w zakresie przekazywania danych do USA.

 

Kolejne kroki po stronie amerykańskiej

W dniu 17 lipca 2023 r. zasady szwajcarsko-amerykańskiej Tarczy Prywatności wejdą w życie po stronie amerykańskiej. Firmy amerykańskie, które same zobowiązały się do przestrzegania ram, muszą między innymi zaktualizować swoje polityki do 17 października 2023 r. Amerykańskie firmy posiadające ważny certyfikat Tarczy Prywatności CH-US nie muszą dokonywać oddzielnego, wstępnego zgłoszenia, aby dołączyć do CH-US DPF.

 

Ponadto 17 lipca 2023 r. Międzynarodowa Administracja Handlu uruchomi stronę internetową programu DPF, umożliwiając organizacjom z siedzibą w USA wstępną certyfikację. Oczekuje się również, że platforma pozwoli uczestniczącym organizacjom na coroczne składanie wniosków o ponowną certyfikację i będzie zawierać zbiór materiałów, które tworzą wytyczne i informacje na temat programu DPF i jego nadzoru. 

 

W obliczu wyzwań prawnych

Organizacja pozarządowa NOYB, ze swoim słynnym członkiem Maxem Schremsem, jest krytyczna wobec nowego DPF. Sugerują oni, że nowe transatlantyckie ramy ochrony danych są dużą kopią poprzedniej Tarczy Prywatności z 2016 roku. Organizacja podkreśla, że prawdopodobieństwo poddania nowego rozporządzenia ETS jest nieuniknione i może nastąpić już w tym roku lub na początku 2024 roku. Według NOYB nowe rozporządzenie nie zmieniło prawie nic w prawie amerykańskim ani w podejściu UE, a podstawowy problem wynikający z FISA 702 nie został rozwiązany, a Komisja Europejska wykazuje niewielką troskę o praworządność i prywatność obywateli.

 

Kontrola zgodności przed skorzystaniem z DPF

Ponieważ nowy DPF UE-USA jest kamieniem milowym w transatlantyckim transferze danych, okaże się, jak długo będzie on prawnie ważny i nie zostanie obalony przez TSUE. Jeśli Państwa transfer danych ma opierać się na nowym DPF, należy ocenić następujące kwestie:

 

1. Czy strona transferu z siedzibą w USA jest certyfikowana zgodnie z X-US DPF?

2. Czy do transferu ma zastosowanie DPF UE-USA lub później CH-USA?

3. Czy DPF jest uznawany za zapewniający odpowiedni poziom ochrony danych w Państwa jurysdykcji?

 

Międzynarodowe transfery danych pozostają wyzwaniem, a nieprzestrzeganie przepisów może skutkować wysokimi karami. Chętnie przeanalizujemy Państwa konkretny przypadek użycia i pomożemy w zgodnym z przepisami przepływie danych. Prosimy skontaktować się z naszymi specjalistami, aby omówić, w jaki sposób możemy Państwu pomóc.

 

Źródła:

 

1. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

 

2. https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/20230410_eu_us_dpf.html

3. https://www.privacyshield.gov/NewsEvents

1
2
3
4
1
2
3
4