Przekazywanie danych osobowych do USA – jest decyzja Komisji Europejskiej!

Przypomnijmy, że decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w państwie trzecim jest jednym ze środków legalizujących przekazywanie danych osobowych z Europejskiego Obszaru Gospodarczego do państwa trzeciego. W razie wydania takiej decyzji administrator może przekazywać dane osobowe do państwa trzeciego i nie musi powoływać się na inne przesłanki legalizujące. Jednocześnie nie jest on zwolniony z obowiązków wynikających z RODO np. obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych.

Decyzja Komisji Europejskiej z 10 lipca 2023 r. jest pokłosiem ustanowienia "Ram ochrony danych UE-USA” (EU-US Data Privacy Framework) nazywanych nową Tarczą Prywatności. KE uznała, że dokument ten świadczy o zapewnieniu odpowiedniego stopnia ochrony danych osobowych z EOG do państwa trzeciego, jakim jest USA. Z pewnością decyzja ta jest przełomowa, ponieważ ułatwi ona korzystanie m.in. z oprogramowania i usług chmurowych wielu dostawców z USA.

Nie w każdym przypadku można powołać się na decyzję Komisji

Jednak co istotne, decyzja KE została ograniczona do organizacji, które przystąpiły do wspomnianych Ram. Otóż jeśli dana organizacja nie jest ich członkiem, wówczas przekazanie do niej danych osobowych nie może być oparte na decyzji KE i musi być zalegalizowane przez inne narzędzia określone w art. 46-49 RODO np. standardowe klauzule umowne.

Przeczytaj także: 8 narzędzi niezbędnych do transferu danych do państwa trzeciego

Jeżeli zamierzasz przekazywać dane osobowe do USA, podejmij następujące kroki:

1. Sprawdź, czy organizacja, której zamierzasz przekazać dane, przystąpiła do EU-US Data Privacy Framework.

2. Jeżeli tak, wówczas możesz przekazać dane osobowe bez konieczności spełniania dodatkowych wymogów z art. 46-49 RODO.

3. Jeżeli nie, wówczas musisz powołać się na inną przesłankę legalizującą taki transfer np. standardowe klauzule umowne.