decyzja Komisji Europejskiej

704bd84902a1b5d9326e6462888f300427ae75e3-xlarge (3)

Transfer danych do USA możliwy na mocy decyzji Komisji Europejskiej

Transfer danych osobowych do USA od momentu wydania przez TSUE wyroku w sprawie Schrems II był niezwykle problematyczny. Po wygaśnięciu Tarczy Prywatności administratorzy chcący skorzystać z usług chmurowych, poczty elektronicznej czy serwerów amerykańskich firm musieli szukać dodatkowych rozwiązań legalizujących przekazywanie danych do państwa trzeciego, co nie zawsze było bezpiecznym rozwiązaniem. Na szczęście Komisja Europejska wydala decyzję stwierdzający odpowiedni stopień ochrony danych osobowych przez niektóre organizacje w Stanach Zjednoczonych. Sprawdź, jak po tej decyzji wygląda transfer danych do USA.

Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony w USA - nowa Tarcza Prywatności

10 lipca 2023 r. Komisja Europejska wydała decyzję stwierdzającą zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. Decyzją tą stwierdzono, że odpowiedni poziom ochrony danych osobowych zapewniono poprzez m.in.:

  • wprowadzenie odpowiedniego ustawodawstwa w zakresie ochrony danych osobowych, ustanowienie niezależnego organu nadzorczego do spraw ochrony danych osobowych,
  • zobowiązanie się przez to państwo do przestrzegania zasad ochrony danych osobowych na poziomie odpowiadającym wymogom RODO (art. 45 ust. 2 RODO).

Wymogi te zostały zrealizowane dzięki przyjęciu "Ram ochrony danych UE-USA” (EU-US Data Privacy Framework), do których przystąpiły wspomniane organizacje. Potocznie są one nazywane nową Tarczą Prywatności.

Transfer danych pomiędzy UE i USA po decyzji Komisji Europejskiej

Wspomniana decyzja Komisji Europejskiej stanowi samodzielną przesłankę legalizującą transfer danych z UE do USA. Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej wymaga bowiem zastosowania tylko jednego z narzędzi wskazanych w art. 45 -49 RODO. Dzięki wydanie tej decyzji administratorzy chcący przekazywać dane do USA co do zasady nie muszą:

  • stosować dodatkowych rozwiązań takich jak standardowe klauzule umowne (art. 46 RODO) czy wiążące reguły korporacyjne (art. 47 RODO),
  • stosować dodatkowych wymogów przewidzianych w art. 48 RODO,
  • uzyskiwać odrębnego zezwolenia od jakiegokolwiek organu krajowego, bądź unijnego.

Co daje decyzja Komisji Europejskiej według RODO

Na mocy decyzji Komisji Europejskiej można:

  • przetwarzać danych osobowych na obszarze tego państwa trzeciego,
  • przekazywanie dane osobowe z i do tego państwa trzeciego,
  • korzystać z oprogramowania i urządzeń zlokalizowanych w tym państwie trzecim,
  • przetwarzać danych osobowych przez podmioty podległe prawu tego państwa trzeciego (np. korzystając z jego infrastruktury).

Przyjmuje się wówczas założenie, jakby podmiot zlokalizowany w państwie trzecim znajdował się na terenie UE.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jak upewnić się, czy dana organizacja z USA przystąpiła do Ram ochrony danych UE-USA

  • jak sprawdzić, czy organizacji tej można przekazywać dane osobowe w oparciu o decyzję Komisji Europejskiej

  • jak postąpić, gdy dana organizacja nie spełnia wymogów przewidzianych w decyzji.

  • jakie są inne środki legalizujące transfer danych do USA.

transfer danych do państwa trzeciego

8 narzędzi niezbędnych do transferu danych do państwa trzeciego

Przekazywanie danych osobowych do podmiotu zlokalizowanego poza Europejskim Obszarem Gospodarczym czyli państwa trzeciego wymaga zastosowania odpowiednich rozwiązań. Tylko w ten sposób transfer taki będzie legalny. Sprawdź, jak to zrobić.

Dlaczego RODO reguluje przekazywanie danych do państw trzecich

Celem RODO jest zagwarantowanie możliwie najwyższego poziomu ochrony danych osobowych mieszkańcom obszaru stosowania RODO w globalnym świecie. Dotyczy to szczególności usług w chmurze, które zapewniają obsługę 24 godziny na dobę ale także grup kapitałowych o zasięgu globalnym. Poza tym rozwiązania przyjęte w RODO mają skłaniać gigantów technologicznych typu Microsoft czy Google do tworzenia centrów przetwarzania danych na terytorium EOG. Takie centra powstały m.in. w Irlandii.

Czym jest transfer danych

Wprawdzie RODO nie definiuje transferu danych. Niemniej jednak, uwzględniające opisane wyżej cele RODO, takim transferem jest każde przetwarzanie danych, w którym uczestniczą podmioty, które prowadzą swoją działalność poza EOG. Dotyczy to w szczególności przetwarzania na serwerach czy w centrach przetwarzania danych zlokalizowanych w państwie trzecim. Przetwarzanie to nie musi mieć cyklicznego charakteru.

Nawet jednorazowe czy incydentalne przypadki przekazania danych do państwa trzeciego są przekazywaniem danych w rozumieniu RODO.

Właśnie taki transfer musi spełniać dodatkowe wymogi wskazane w art. 44 i n. RODO. Przedstawiamy je w odpowiedniej hierarchii w dalszej części artykułu.

Korzyści 

Z artykułu dowiesz się m.in.:

  • w jakich przypadkach można powołać się na decyzje Komisji Europejskiej,
  • co dają standardowe klauzule umowne,
  • czy można skorzystać z wiążących reguł korporacyjnych, kodeksów postępowania i mechanizmów certyfikacji,
  • jakie narzędzia można wykorzystać do legalizacji przekazywania danych w ostateczności.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x