W dniu 13 grudnia 2022 r. na stronie internetowej Komisji Europejskiej pojawił się projekt nowej decyzji adekwatnościowej, ułatwiającej przekazywanie danych osobowych do Stanów Zjednoczonych – Data Privacy Framework („DPF”). Wydanie decyzji adekwatnościowej przez Komisję Europejską będzie oznaczać, że USA zostaną uznane za kraj zapewniający poziom bezpieczeństwa przetwarzanych danych porównywalny do tego zapewnionego w Europie. 

Praca nad DPF jest efektem wyroku tzn. Schrems II, w którym Trybunał Sprawiedliwości Unii Europejskiej zakwestionował dotychczasową, bardzo popularną podstawę transferów danych do USA, to jest Tarczę Prywatności (Privacy Shield). Przyczyną unieważnienia była w szczególności szeroka możliwość dostępu do danych przez amerykańskie służby. 

Praca nad DPF była możliwa dzięki zmianie przepisów amerykańskich, w szczególności przyjęciu dekretu (executive order) nr 14086 przez Prezydenta USA i rozporządzenia (Regulation on the Data Protection Review Court) przez Prokuratora Generalnego USA. Efektem zmian jest w szczególności ograniczenie możliwości dostępu do danych osobowych Europejczyków przez służby amerykańskie do sytuacji, w których taki dostęp jest konieczny i proporcjonalny do ochrony bezpieczeństwa narodowego, czy wzmocnienie nadzoru nad działalnością służb amerykańskich. Wprowadzono też nowy mechanizm odwoławczy – możliwość odwołania się do sądu (Data Protection Review Court), który będzie odpowiedzialny za rozpoznawanie skarg związanych z nieuzasadnionym dostępem do danych przez służby amerykańskie.   

Przyjęcie DPF będzie oznaczać, że w przypadku transferów danych osobowych do Stanów Zjednoczonych do podmiotów, które przystąpią do porozumienia i uzyskają certyfikacje, adekwatny stopień ochrony danych osobowych zostanie zapewniony. W konsekwencji przekazywanie danych do tych podmiotów przez europejskich przedsiębiorców będzie możliwe bez konieczności stosowania dodatkowych formalności, czy zgód. 

Data Privacy Framework – główne założenia

Jest to system oparty na certyfikacji. Podmioty amerykańskie, które będą chciały uczestniczyć w DPF będą musiały zobowiązać się do stosowania zasad określonych w DPF oraz poddać się kontroli Federalnej Komisji Handlu (Federal Trade Commission – „FTC”) lub Amerykańskiego Departamentu Transportu (U.S. Department of Transportation – „DoT”).

Główne założenia projektu DPF:

  1. dotyczy prawie wszystkich danych osobowych będących przedmiotem transferów do certyfikowanych podmiotów w USA, z małymi wyjątkami. Z DPF wyłączone będą w szczególności dane zbierane w celu ich publikacji, emisji lub innych form publicznej komunikacji, czy materiały dziennikarskie; 
  2. dotyczy zarówno organizacji amerykańskich występujących w ramach administratora, jak i procesora danych;
  3. w projekcie DPF nie ma postanowień odnoszących się do zautomatyzowanego podejmowania decyzji. Jak wyjaśniono w projekcie, jest to spowodowane w szczególności tym, że większość takich decyzji jest podejmowanych przez administratorów danych. Jak wynika z badań transferów przeprowadzonych w 2018 r. przez Komisję Europejską, nie zaobserwowano zautomatyzowanego przetwarzania danych przez amerykańskie podmioty w oparciu o Privacy Shield. Niezależnie od tego, w typowych przypadkach zautomatyzowanego podejmowania decyzji, jak np. wniosek o kredyt, przepisy amerykańskie przewidują prawo do uzyskania informacji o przyczynach wydania takiej, a nie innej decyzji;
  4. DPF określa zasady dalszego powierzania danych przez certyfikowane podmioty amerykańskie (tzn. „onward transfers”) niezależnie od tego, czy dalszy transfer dotyczy przekazania danych do USA, czy do państw trzecich. Takie transfery mogą mieć miejsce tylko w określonych i ograniczonych celach oraz na podstawie porozumienia między certyfikowanym podmiotem amerykańskim, a podmiotem trzecim. Porozumienie musi zobowiązywać podmiot do którego przekazywane są dane do zapewnienia dalszego transferu z zapewnieniem takiego samego poziomu bezpieczeństwa, jak ten zagwarantowany przez DPF;
  5. certyfikacja w ramach DPF będzie dokonywana na okres 1 roku. Po tym czasie niezbędne będzie dokonanie ponownej certyfikacji; 
  6. możliwość przetwarzania danych na podstawie DPF będzie możliwe najwcześniej w dacie wpisania organizacji na listę prowadzoną przez amerykański Departament Handlu (Departament of Commerce);
  7. Departament Handlu będzie uprawniony do badania, czy organizacja spełnia wszystkie wymogi związane z certyfikacją, w tym czy opublikowała obowiązkową politykę prywatności;
  8. w celu zapewnienia prawidłowego wdrożenia DPF, Departament Handlu będzie publikować i aktualizować listę podmiotów, które uzyskały certyfikację. Będzie też prowadzona odrębna lista  podmiotów, które ją utraciły, ze wskazaniem przyczyny wykreślenia z listy. Dodatkowo na stronie Federalnej Komisji Handlu będzie prowadzona lista czynności kontrolnych podjętych przez tą Komisję na podstawie DPF;
  9. Departament Handlu będzie uprawniony do przeprowadzania kontroli wyrywkowych jak również kontroli podmiotów, w stosunku do których istnieje podejrzenie naruszenia postanowień DPF;
  10. zadaniem Departamentu Handlu będzie też monitorowania fałszywych zapewnień o certyfikacji w ramach DFP, w szczególności tych mogących pochodzić od podmiotów które przystąpiły do certyfikacji, ale jej nie otrzymały, lub podmiotów, które zrezygnowały z uczestnictwa w DPF;
  11. podmioty, których dane są przetwarzane będą miały możliwość wniesienia skargi jeśli uważają, że ich dane są przetwarzane niezgodnie z DPF;
  12. podmiot certyfikowany w ramach DPF będzie mieć możliwość dobrowolnego zobowiązania się do współpracy z europejskimi organami nadzorczymi, przy czym w przypadku danych kadrowych (HR data), taka współpraca będzie obowiązkowa;
  13. podmioty danych będą mieć możliwość złożenia skargi zarówno do organizacji przetwarzającej dane, do niezależnego podmiotu odpowiedzialnego za ich rozwiązywanie wskazanego przez tę organizację, do europejskiego organu nadzorczego, a także do Departamentu Handlu lub Federalnej Komisji Handlu. Będzie również możliwość wszczęcia postępowania arbitrażowego. 

Projekt decyzji adekwatnościowej został przekazany do zaopiniowania przez Europejską Radę Ochrony Danych. Pozostaje mieć nadzieję, że niedługo zostanie przyjęty, a transfery danych do USA, tak powszechne w dzisiejszych czasach, zostaną ułatwione.