Data Privacy Framework – czyli transfer danych osobowych do USA po nowej decyzji Komisji Europejskiej

10 lipca 2023 roku to kolejna ważna data związana z ochroną danych osobowych w ramach Europejskiego Obszaru Gospodarczego^[1]. Tego dnia Komisja wydała decyzję wykonawczą stwierdzającą odpowiedni stopień ochrony danych osobowych^[2] w ramach Data Privacy Framework („DPF”).

Przedmiotowa decyzja, wydana na podstawie art. 45 ust. 3 RODO^[3] oznacza, że (na razie) transfer danych osobowych do Stanów Zjednoczonych jest legalny, ale oczywiście w ramach wynikających z tej decyzji oraz na zasadach z niej wynikających, o czym szerzej w dalszej części.

Zarówno sama decyzja wykonawcza, jak i DPF, mają kolosalne znaczenie dla biznesu oraz prowadzenia działalności przy współpracy z podmiotami amerykańskimi lub przy wykorzystaniu narzędzi dostarczanych przez amerykańskich dostawców (w tym gigantów takich jak Google czy Meta). Od momentu wydania decyzji przez Komisję, zasady i wymagania transferu danych do USA znów są jasne. A przecież po wyroku w sprawie Schrems II^[4] transfer taki, pomimo powszechnej praktyki biznesowej, de facto był niezgodny z unijnymi przepisami.

Pamiętać należy jednak, że niezależnie od decyzji wydanej przez Komisję, kwestia transferu danych osobowych do USA wciąż jest przedmiotem debaty publicznej. Z pewnością również niektóre podmioty podejmą próby uznania decyzji za nieważną przez TSUE^[5].

Trochę historii, czyli Safe Harbour i Privacy Shield

DPF to nie pierwsze porozumienie, które ma na celu stworzenie ram transferu danych na linii UE – USA. Pierwszym z nich była tzw. Safe Harbour – decyzja^[6] w przedmiocie tych zasad została wydana 26 lipca 2000 roku, a więc na długo przed wejściem w życie RODO, na podstawie dyrektywy^[7] poprzedzającej rozporządzenie.

Z kolei TSUE w wyroku Schrems I^[8] stwierdził, że decyzja Komisji dotycząca Safe Harbour jest nieważna. Trybunał odniósł się w szczególności do kwestii możliwości powszechnego dostępu do treści wiadomości elektronicznych amerykańskich władz publicznych (pkt 94 wyroku), braku możliwości realizacji praw osób, których dane dotyczą (pkt 95 wyroku) oraz braku wykazania przez Komisję, że USA faktycznie zapewnia odpowiedni stopień ochrony w rozumieniu przepisów unijnych.

Wskutek przywołanego wyżej wyroku transfer danych osobowych do Stanów Zjednoczonych został prawnie zablokowany (chociaż przekazywanie danych faktycznie wciąż następowało ze względu na nierespektowanie orzeczenia TSUE). Niemniej jednak władze unijne oraz amerykańskie podjęły szybkie działania mające na celu wprowadzenie nowych ram legalnego transferu. W efekcie doszło do powstania tzw. Privacy Shield, które weszło w życie na podstawie decyzji Komisji z dnia 12 lipca 2016 r.^[9]

Mając na uwadze, że wciąż istniały zasadnicze wątpliwości związane z dostępem służb wywiadowczych USA do transferowanych danych osobowych, Max Schrems zainicjował kolejne postępowania, które skutkowały skierowaniem przez irlandzki High Court pytania prejudycjalnego do TSUE.

Wyrok w sprawie Schrems II i jego skutki

W związku z ww. pytaniem TSUE wydał wyrok w sprawie Schrems II. Skutki były analogiczne jak w przypadku wyroku Schrems I – decyzja wykonawcza Komisji dot. Privacy Shield została uznana za nieważną. Trybunał podkreślił, że przy ocenie legalności transferu danych do państwa trzeciego koniecznym jest nie tylko odniesienie się do zobowiązań odbiorcy (wynikających ze standardowych klauzul umownych), lecz również do systemu prawa, które obowiązuje tego odbiorcę, m.in. w zakresie dostępu organów władzy publicznej do przekazanych danych.

Nie wchodząc w szczegóły - na skutek wyroku Privacy Shield została usunięta z obrotu prawnego, zaś treść orzeczenia jasno wskazywała, że korzystanie ze standardowych klauzul umownych w kontekście przekazywania danych osobowych do USA, może okazać się niewystarczające do uznania, że transfer jest legalny w rozumieniu RODO[10].

Kolejna umowa, kolejna decyzja – Data Privacy Framework

Po wydaniu wyroku stwierdzającego nieważność Privacy Shield, rozpoczęły się negocjacje oraz prace dotyczące zmian w amerykańskim prawie. Skutkowały one podpisaniem przez prezydenta Joe Bidena tzw. executive order (rozporządzenia wykonawczego) określającego zobowiązania USA związane z przetwarzaniem danych osobowych w ramach prowadzonych działań wywiadowczych^[11]. 3 lipca doszło do publikacji nowych procedur i wytycznych stanowiących implementację rozporządzenia wykonawczego^[12].

Skutkiem działań podjętych przez stronę amerykańską doszło do wydania przez Komisję decyzji wykonawczej stwierdzającej odpowiedni poziom ochrony transferów danych realizowanych w ramach DPF.

Pamiętać jednak należy, że w ramach działań prowadzonych w USA, na ten moment nie doszło do zmiany bardzo istotnego przepisu - sekcji 702 FISA Amendments Act^[13], która uprawnia służby wywiadowcze do podejmowania szeregu działań względem osób niebędących obywatelami USA (jak również osób nieprzebywających na terytorium USA). Fakt ten powoduje, że DPF wciąż wzbudza wątpliwości części prawników i organizacji pozarządowych.

Certyfikowani odbiorcy danych osobowych

DPF wprowadza instytucję certyfikacji oraz organizacji certyfikowanych – amerykańskich podmiotów, które dobrowolnie zgodziły się na wdrożenie odpowiednich procedur i zabezpieczeń w ramach DPF oraz:

• podlegają amerykańskim przepisom dotyczących Federalnej Komisji Handlu, Departamentu Transportu lub innego podmiotu mogącego dokonywać oceny zgodności z zasadami wynikającymi z DPF;
• publicznie zapewniły, że będą przestrzegać zasad wynikających z DPF;
• publicznie udostępniają swoje polityki prywatności, w zgodzie z DPF;
• w pełni wdrożyły zasady wynikające z DPF.

DPF dokładnie określa informacje, jakie muszą być podawane poszczególnym osobom przez podmioty z listy (w momencie zbierania danych lub przed wykorzystaniem ich w celu innym niż zostały zebrane lub przetwarzane przez podmiot dokonujący transferu danych). Obowiązek ten dotyczy poinformowania o:

• uczestnictwie w DPF wraz z podaniem linku do strony internetowej Data Privacy Framework;
• zakresie zbieranych danych osobowych;
• podmiotach powiązanych również uczestniczące w DPF;
• zobowiązaniu do stosowania zasad wynikających z DPF do wszelkich danych pozyskiwanych z Unii Europejskiej;
• celach zbierania oraz przetwarzania danych osobowych;
• sposobie kontaktu z danym podmiotem, jak również sposobie składania zapytań oraz skarg;
• podmiotach którym przekazywane będą dane oraz o celach takiego przekazywania;
• środkach umożliwiających ograniczenie wykorzystywanie i ujawniania danych osobowych;
• obowiązku ujawnienia danych w przypadku legalnych żądań władz publicznych, w tym związanych z bezpieczeństwem narodowym;
• niezależnym organie dedykowanym do rozstrzygania sporów;
• swojej odpowiedzialności w przypadku dalszego przekazywania danych podmiotom trzecim.

Ponadto podmioty objęte DPF muszą umożliwić wybór osobom, których dane dotyczą w zakresie możliwości przekazywania ich danych podmiotom trzecim, jak również w zakresie wykorzystywania tych danych w celu istotnie odmiennym od tego, dla którego zostały zebrane lub na który później zezwoliła dana osoba.

To nie wszystkie obowiązki podmiotów uczestniczących w DPF. Muszą one m.in. zawrzeć odpowiednie umowy z podmiotami, którym będą udostępniać dane osobowe (zapewniające, że poziom ochrony tych danych będzie tożsamy z tym wynikającym z DPF) czy zapewnić odpowiednie standardy działania podmiotów, które działają analogicznie, jak podmioty przetwarzające w rozumieniu RODO. Oczywiście dane osobowe muszą być odpowiednio zabezpieczone i przetwarzane mogą być tylko w konkretnych celach oraz przy uwzględnieniu przesłanki analogicznej do zasady minimalizacji danych wynikającej z RODO.

Amerykański Departament Handlu prowadzi publiczną listę amerykańskich podmiotów, które uznawane są za certyfikowane (link do listy: https://www.dataprivacyframework.gov/s/participant-search). Wprowadzenie danego podmiotu na listę następuje na podstawie „self-certification”, a więc oficjalnego oświadczenia składanego do ww. departamentu wraz z zobowiązaniem do przestrzegania zasad wynikających z DPF.

Oczywiście możliwe jest również wykreślenie danego podmiotu z listy – może to nastąpić w przypadku dobrowolnej rezygnacji. W takim przypadku podmiot musi zwrócić lub usunąć otrzymane dane osobowe, chyba że wciąż będzie stosować zasady wynikające z DPF do otrzymanych danych, na bieżąco będzie zobowiązywać się do stosowania tych zasad i stosować adekwatne środki ochrony (np. wykorzystywać postanowienia umowne zgodne ze standardowymi klauzulami umownymi). Z kolei w przypadku usunięcia z listy ze względu na niestosowanie się do zasad i wytycznych DPF dana organizacja musi usunąć lub zwrócić przetwarzane dane osobowe.

Co ciekawe, prowadzona będzie również druga lista – właśnie podmiotów, które były uznawane za certyfikowanych odbiorców, a następnie utraciły ten status (czyli zostały usunięte z listy, do której link znajduje się powyżej).

Legalność transferu danych osobowych do USA w ramach DPF

W związku z decyzją wykonawczą Komisji dotyczącą DPF uznać należy, że przekazywanie danych osobowych do podmiotów certyfikowanych następować będzie w ramach art. 45 ust. 1 RODO, przy zapewnieniu odpowiedniego stopnia ochrony, a więc bez konieczności uzyskiwania specjalnego zezwolenia.

Oczywiście przed przekazaniem danych osobowych wciąż należy podjąć szereg działań mających na celu weryfikację czy transfer będzie legalny. W pierwszej kolejności należy dokonać weryfikacji czy dany podmiot figuruje na liście uczestników DPF, jak również zbadać na jakich zasadach oraz w jakich celach przetwarzane będą przekazywane dane osobowe. Pomocne w tym wypadku będą informacje zawarte w rejestrze uczestników – znajdują się tam m.in. odnośniki do polityk prywatności, informacje o możliwości składania skarg, rodzaj oferowanych produktów lub usług oraz cele przetwarzania danych.

Zadbać należy również o wprowadzenie do umowy odpowiednich klauzul umownych, oświadczeń wskazujących na uczestnictwo w DPF, zobowiązań do odpowiedniego zabezpieczenia procesów przetwarzania, jak również określających zakres i cel transferu danych do Stanów Zjednoczonych. Co jednak ważne, ze względu na decyzję Komisji nie będzie koniecznym stosowanie standardowych klauzul umownych zgodnych z decyzją wykonawczą 2021/914^[14] - innymi słowy w przypadku takich transferów zastosowania nie będzie mieć art. 46 RODO.

Transfer na podstawie standardowych klauzul umownych i wiążących reguł korporacyjnych

Decyzja wykonawcza dotycząca DPF, jak już zostało przedstawione wyżej, umożliwia stosunkowo łatwe przekazywanie danych osobowych do podmiotów, które dokonały certyfikacji i funkcjonują na liście prowadzonej przez amerykański Departament Handlu (na dzień tworzenia tego artykułu jest na niej 2484 organizacje). Co jednak w przypadku, gdy dany podmiot nie przystąpił do DPF?

Co oczywiste, brak podmiotu na liście skutkuje brakiem możliwości uznania decyzji wykonawczej za podstawę do dokonania transferu. Nie oznacza to jednak, że taki transfer jest niemożliwy. Komisja w swojej nocie informacyjnej wydanej po przyjęciu decyzji^[15] wprost wskazała, że w takim przypadku możliwe jest zastosowanie innych podstaw do przekazywania danych wynikających z RODO, a więc dokonywania przekazywania z zastrzeżeniem odpowiednich zabezpieczeń (art. 46 RODO).

Co za tym idzie, możliwe jest stosowanie standardowych klauzul określonych w decyzji 2021/914 albo wiążących reguł korporacyjnych zatwierdzonych zgodnie z art. 47 RODO.

Najważniejsze jest jednak co innego – zgodnie z decyzją wykonawczą amerykańskiego prezydenta dodatkowe zabezpieczenia i zmiany dotyczą wszystkich danych przekazywanych do USA (a nie tylko w ramach DPF). W związku z tym nowo obowiązujące procedury powinny być brane pod uwagę również przy dokonywaniu oceny istnienia odpowiednich zabezpieczeń, skutecznych środków ochrony prawnej oraz obowiązywania egzekwowalnych praw osób, których dane dotyczą.

Prowadzi to do wniosku, że przekazywanie danych do podmiotów nieuczestniczących w DPF Komisja uważa za dopuszczalny. Jednak w przypadku planowania takiego transferu należy zachować daleko idącą ostrożność – mając na uwadze jak istotną zmianą jest możliwość uproszczonego transferu na podstawie DPF. Podmioty, które nie chcą w nim uczestniczyć (szczególnie z branż bazujących na przetwarzaniu informacji), zapewne mają do tego istotny powód. Warto poznać ich motywacje, jak również wprowadzić odpowiednie zabezpieczenia i klauzule do dokumentacji, stanowiącej o zasadach przekazywania danych, jak również wzajemnych zobowiązaniach stron uczestniczących w transferze.

Przyszłość DPF

Ciężko przesądzać czy DPF podzieli los swoich poprzedników (Safe Harbour i Privacy Shield). Z pewnością jednak będziemy świadkami kolejnej batalii prawnej, którą - zgodnie z zapowiedziami -rozpocznie NOYB^[16]. Zdaniem tej organizacji, DPF to w większości kopia Privacy Shield, zaś władze USA nie zaadresowały odpowiednio wątpliwości związanych z sekcją 702 FISA Amendments Act. NOYB zapowiedziało już, że podejmie wszelkie działania prawne w celu uzyskania orzeczenia stwierdzającego nieważność DPF.

Pewnym jest jednak, że o ważności DPF decydować będzie TSUE, który dokona oceny czy zmiany w amerykańskim prawie są wystarczające do uznania, że USA zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 RODO. Ostatecznego wyroku dotyczącego DPF należy spodziewać się w 2024 lub 2025 roku.

Nie można zapomnieć o jednym – w przypadku, gdyby TSUE uznał, że zmiany w amerykańskim prawie były niewystarczające, a co za tym idzie unieważnił decyzję wykonawczą Komisji, wrócimy do punktu wyjścia. Mianowicie za niezgodne z RODO uznane będą wszystkie procesy przekazywania danych do USA – i te realizowane na podstawie DPF, jak i te oparte na innych mechanizmach, np. standardowych klauzulach umownych.

Bartłomiej Serafinowicz

adwokat z kancelarii LAWMORE Maciejewicz Jaraczewski sp.k. Specjalizuje się w ochronie danych osobowych, prawie nowych technologii i prawie własności intelektualnej. 

---

^[1] Europejski Obszar Gospodarczy obejmuje państwa członkowskie Unii Europejskiej, Islandię, Norwegię i Liechtenstein.

^[2] Commission Implementing Decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework.

^[3] RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

^[4] Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 r. w sprawie Facebook Ireland i Schrems (C-311/18).

^[5] Trybunał Sprawiedliwości Unii Europejskiej – sąd do którego kognicji należy m.in. orzekanie w sprawie legalności aktów prawnych wydawanych przez instytucje unijne (art. 263 i nast. Traktatu o Funkcjonowaniu Unii Europejskiej).

^[6] Decyzja Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA.

^[7] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

^[8] Wyrok Trybunału (wielka izba) z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commisioner przy udziale Digital Rights Ireland Ltd (C-362/14).

^[9] Decyzja Wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

[10] Pomiędzy skierowaniem wniosku do TSUE a wydaniem wyroku dyrektywa 95/46/WE została zastąpiona przez RODO.

^[11] Executive Order (E.O.) 14086 of October 7, 2022 on Enhancing Safeguards for United States Signals Intelligence Activities.

^[12] https://www.intel.gov/ic-on-the-record-database/results/oversight/1278-odni-releases-ic-procedures-implementing-new-safeguards-in-executive-order-14086

^[13] Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008.

^[14] Decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

^[15] Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023.

^[16] NOYB – European Center for Digital Rights z siedzibą w Wiedniu – organizacja założona przez Maximiliana Schremsa.