Unia Europejska (UE) opublikowała projekt Transatlantyckich Ram Ochrony Prywatności Danych, który określa zasady przekazywania danych i prywatności pomiędzy UE a USA, które mają wejść w życie w 2023 roku. Projekt ten został przedłożony Europejskiej Radzie Ochrony Danych i podlega dalszemu zatwierdzeniu, zanim zostanie sfinalizowany.
W projekcie dokumentu umowy przedstawiono zasady "przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres ich stosowania".
Zasady ramowe dotyczące ochrony prywatności danych między UE a USA obejmują kilka kluczowych sekcji, które szczegółowo określają, czym są dane prywatne i osobowe, ograniczenia i restrykcje dotyczące przekazywania danych, zasady przejrzystości oraz poprawność danych. Dane osobowe są zdefiniowane jako "dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, które są objęte zakresem RODO, otrzymane przez organizację w Stanach Zjednoczonych z UE i zapisane w dowolnej formie".
Dlaczego te ramy są potrzebne i jaki jest ich ostateczny cel? Na początek trochę historii.
W Unii Europejskiej obowiązuje ogólne rozporządzenie o ochronie danych osobowych (RODO) - przepisy dotyczące ochrony prywatności, które weszły w życie w 2018 r., które ustanawiają ochronę danych osobowych osób fizycznych znajdujących się w Europie. Jednak w przypadku krajów spoza UE, w których RODO nie obowiązuje, Komisja Europejska (KE) ocenia na podstawie każdego kraju, czy spełnia on przepisy dotyczące ochrony danych osobowych w UE, aby dane mogły być przekazywane do tego kraju. Gdzie w tym wszystkim odnajdują się Stany Zjednoczone? Stany Zjednoczone nigdy nie starały się o wpisanie na listę krajów zapewniających odpowiednią ochronę danych - dlatego wyłącznie na podstawie przepisów RODO dane nie mogą być przekazywane z UE do USA.
Uniemożliwiłoby to działalność setkom amerykańskich firm i organizacji. W tym miejscu do gry wchodzi program zwany Tarczą Prywatności, w ramach którego uczestniczące w nim firmy uznaje się za posiadające odpowiednią ochronę, co ułatwia przekazywanie informacji. Poszczególne amerykańskie firmy i organizacje ubiegają się o włączenie do programu Tarczy Prywatności i jeśli ich polityka ochrony prywatności zostanie uznana za wystarczająco bezpieczną, mogą otrzymywać dane z UE.
Tarcza Prywatności stanowiła ramy regulujące przekazywanie danych między UE a Stanami Zjednoczonymi, dopóki nie została unieważniona przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w 2020 r. z powodu "niezdolności do ochrony danych osobowych osób z EOG przed uprawnieniami rządu USA w zakresie nadzoru. Uprawnienia te wynikają z krajowych przepisów dotyczących nadzoru". Innymi słowy, w oparciu o amerykańskie przepisy dotyczące bezpieczeństwa narodowego, kraj może zbierać dane osobowe, zakładając, że zapewnia to bezpieczeństwo kraju. Google
Od czasu unieważnienia tego dokumentu administracja Bidena i KE pracują wspólnie nad ustanowieniem nowych ram, które będą wspierać transgraniczny transfer danych pomiędzy UE i USA. Aby Transatlantyckie Ramy Ochrony Prywatności Danych mógł zostać sfinalizowane, muszą przejść przez procedury adopcyjne, które obejmują zatwierdzenie przez komitet państw członkowskich UE i Parlament Europejski.
Komisarz UE ds. sprawiedliwości, Didier Reynolds, uważa, że Transatlantyckie Ramy Ochrony Prywatności Danych mogą zostać sfinalizowane przed lipcem 2023 r., zależnie od ewentualnego zakwestionowania prawnego. W liście towarzyszącym ujawnieniu projektu Transatlantyckich Ram Ochrony Prywatności Danych, Reynolds stwierdził: "Dzisiejszy projekt decyzji jest wynikiem ponad rocznych intensywnych negocjacji z USA, które prowadziłem wraz z moim amerykańskim odpowiednikiem, sekretarz handlu Raimondo. W ciągu ostatnich miesięcy ocenialiśmy amerykańskie ramy prawne przewidziane w rozporządzeniu wykonawczym w odniesieniu do ochrony danych osobowych. Jesteśmy teraz pewni, że możemy przejść do kolejnego etapu procedury przyjęcia. Z naszej analizy wynika, że w USA istnieją obecnie silne zabezpieczenia umożliwiające bezpieczne przekazywanie danych osobowych między obiema stronami Atlantyku. Przyszłe ramy pomogą chronić prywatność obywateli, zapewniając jednocześnie pewność prawną przedsiębiorstwom. Czekamy teraz na opinie Europejskiej Rady Ochrony Danych, ekspertów z państw członkowskich i Parlamentu Europejskiego".
W coraz bardziej zglobalizowanym i połączonym świecie można to uznać za krok we właściwym kierunku. Podczas gdy Unia Europejska wyprzedza Stany Zjednoczone w kwestii prywatności danych, Transatlantyckie Ramy Ochrony Prywatności Danych podkreślają jej znaczenie dla amerykańskiej gospodarki i miejmy nadzieję, że skłoni to kraj do przyjęcia bardziej rygorystycznych przepisów dotyczących ochrony prywatności.
- https://techcrunch.com/2022/12/13/eu-us-data-privacy-framework-draft-decision/
- https://techcrunch.com/2022/08/11/facebook-europe-shut-down-delay/?guccounter=1
- https://www.termsfeed.com/blog/why-eu-us-privacy-shield-invalidated/
- https://commission.europa.eu/law/law-topic/data-protection_en
- https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
- https://www.privacyshield.gov/welcome
- https://www.politico.eu/article/eu-justice-chief-confident-new-us-data-pact-will-survive-legal-challenge/