Przekazywanie danych do USA – co zmieni RODO

Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych mogło nastąpić tylko wówczas, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji.

Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja Europejska może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

W lipcu 2016 roku został przyjęty program Tarcza Prywatności UE-USA (Privacy Shield UE-USA), który miał zapewnić odpowiednią ochronę danych osobowych obywateli UE przekazywanych do Stanów Zjednoczonych. Zastąpił on poprzednie rozwiązanie funkcjonujące pod nazwą Bezpieczna Przystań (Safe Harbour), które zostało unieważnione orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015 r. w sprawie Schrems (C-362/14).

Na mocy Tarczy Prywatności przedsiębiorstwa amerykańskie mają przestrzegać określonych zasad w odniesieniu do przekazywanych im danych osobowych obywateli UE. Pilnować przestrzegania tych zasad i ich ewentualnej aktualizacji lub przeglądów dokonuje Departament Handlu Stanów Zjednoczonych. Dane te mają być na przykład wykluczone z masowej i bezkrytycznej inwigilacji. Zostały również wprowadzone mechanizmy rozstrzygania sporów, np. obywatel UE może wnieść skargę do swojego krajowego organu ochrony danych na przetwarzanie danych przez amerykańskie przedsiębiorstwo, a ten będzie się kontaktował z amerykańską Federalną Komisją Handlu.

Opisane zasady przekazywania danych funkcjonują obecnie. Od 25 maja 2018 r. przekazywanie danych do państwa trzeciego musi się odbywać na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).

Także na gruncie RODO istnieje możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli Komisja Europejska stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewnia „odpowiedni stopień ochrony”, to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.

Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej KE się nie wypowiedziała (albo nie będzie żadnego specjalnego programu jak Tarcza Prywatności UE-USA), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia, pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejących już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych, ale także z wykorzystaniem przede wszystkim:

• zatwierdzonego kodeksu postępowania,
• zatwierdzonego mechanizmu certyfikacji.

Kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania RODO. Projekt kodeksu składa się do organu nadzorczego, który wydaje opinię o zgodności projektu kodeksu z RODO. Następnie KE może stwierdzić, że dany kodeks jest powszechnie obowiązujący w UE.

Z kolei certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw). Administrator poddaje się certyfikacji przez taki podmiot. Certyfikacji udziela się na okres maksymalnie 3 lat, a wszystkie mechanizmy certyfikacji gromadzi w rejestrze Europejska Rada Ochrony Danych – nowy organ unijny mający dbać o spójne stosowanie przepisów RODO przez wszystkie organy krajów członkowskich. I właśnie takim mechanizmem samocertyfikowania jest obecnie program Tarcza Prywatności UE-USA. Czy będzie on funkcjonował także po 25 maja 2018 r. – trudno powiedzieć.