Przetwarzanie danych osobowych na terenie Unii Europejskiej jest ściśle regulowane przez RODO. W przypadku innych krajów, takich jak USA, sytuacja jest jednak znacznie bardziej skomplikowana. Widzimy to zwłaszcza po unieważnieniu mechanizmu Privacy Shield, który regulował do niedawna transfer danych między UE a USA. Od lipca 2023 roku obowiązują nowe zasady mające na celu zapewnienie odpowiedniego poziomu ochrony danych przekazywanych za ocean. Wciąż pozostaje jednak pytanie, czy zmiany te rzeczywiście gwarantują bezpieczeństwo i zgodność z europejskimi standardami ochrony prywatności.

Zamieszanie wokół transferu danych do USA

Kwestia transferu danych na linii UE – USA od wielu lat budzi wiele kontrowersji. Jednym z przełomowych momentów w tym temacie okazało się unieważnienie porozumienia Privacy Shield przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE). Decyzja ta była efektem działań austriackiego aktywisty, Maxa Schremsa, który podważył legalność transferów danych do USA, wskazując na niewystarczającą ochronę prywatności oraz możliwość niekontrolowanego dostępu amerykańskich służb wywiadowczych do danych obywateli UE. W konsekwencji TSUE dwukrotnie unieważnił kluczowe mechanizmy regulujące transatlantyckie transfery danych – najpierw Safe Harbour w 2015 roku, a następnie Privacy Shield w 2020 roku.

Wyrok z 16 lipca 2020 roku jasno stwierdził, że Privacy Shield nie zapewnia adekwatnej ochrony danych osobowych przekazywanych z UE do USA. TSUE podkreślił tym samym, że europejskie organy ochrony danych mają obowiązek rygorystycznej oceny poziomu ochrony w państwach trzecich, zanim zezwolą na transfer danych. W praktyce orzeczenie wymusiło odejście od Privacy Shield jako podstawy prawnej transferu danych i konieczność korzystania z alternatywnych mechanizmów, takich jak standardowe klauzule umowne czy dobrowolna zgoda osób, których dane są przetwarzane. Z czasem doprowadziło to również do wprowadzenia programu Data Privacy Framework (DPF).

Data Privacy Framework szansą na lepszą ochronę danych osobowych?

Po unieważnieniu Privacy Shield wyzwaniem dla amerykańskiego prawodawstwa stało się wypracowanie takiego modelu, który regulowałby transfer danych między Unią Europejską a Stanami Zjednoczonymi. Odpowiedzią na te potrzeby jest nowy Data Privacy Framework (DPF), który ma szansę zapewnić lepszą ochronę prywatności. W lipcu 2023 roku prezydent Joe Biden podpisał rozporządzenie wykonawcze, które wprowadziło zobowiązania dotyczące ochrony danych osobowych w ramach działań wywiadowczych USA. W tym samym czasie opublikowano szczegółowe wytyczne i procedury implementujące te regulacje.

Na tej podstawie Komisja Europejska wydała decyzję stwierdzającą, że DPF zapewnia odpowiedni poziom ochrony transferów danych, co stanowi ważny krok w przywróceniu zaufania w transatlantyckim przepływie informacji. Warto jednak podkreślić, że pomimo tak dużych zmian, jeden przepis (sekcja 702 ustawy FISA Amendments Act) wciąż pozostaje niezmieniony. Daje on amerykańskim służbom wywiadowczym szerokie uprawnienia do zbierania danych osób niebędących obywatelami USA, także poza granicami Stanów Zjednoczonych. Sprawia to, że Data Privacy Framework nadal budzi obawy części ekspertów oraz organizacji pozarządowych, które wskazują na ryzyko naruszenia prywatności.

W odpowiedzi na to wyzwanie program Data Privacy Framework wprowadził mechanizmy zwiększające transparentność i kontrolę nad przetwarzanymi danymi osobowymi. Jednym z nich jest instytucja certyfikowanych odbiorców danych, czyli amerykańskich podmiotów, które dobrowolnie zobowiązały się do przestrzegania określonych zasad ochrony danych i podlegają regularnym kontrolom ze strony amerykańskich organów regulacyjnych. DPF wymaga od nich m.in. jawnego informowania osób (których dane dotyczą) o zakresie przetwarzania, celu zbierania danych, prawach do składania skarg oraz procedurach ograniczania wykorzystywania danych. Osoby te zyskują realny wpływ na to, jak ich dane są wykorzystywane i przekazywane dalej, co jest istotnym krokiem w stronę zwiększenia ochrony prywatności.

Nowe zasady transferu danych – czy dane przetwarzane w USA są bezpieczne?

Jak widać, choć Data Privacy Framework stanowi ogromny postęp w stosunkach transatlantyckich i prawodawstwie ochrony danych, jego skuteczność w praktyce wciąż zależy od dalszych reform oraz ścisłego nadzoru zarówno ze strony amerykańskich, jak i europejskich instytucji. Dopiero wówczas będzie można mówić o trwałym przywróceniu zaufania do transatlantyckiego transferu danych i realnym wzmocnieniu ochrony prywatności obywateli Unii Europejskiej.