Exercitation ullamco laboris nis aliquip sed conseqrure dolorn repreh deris ptate velit ecepteur duis.
Close
Transfer danych osobowych do USA
Cyberbezpieczeństwo
Przekazywanie danych
Po wielu miesiącach negocjacji politycznych między USA a UE, Komisja Europejska stwierdziła, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych, zbliżony do standardów obowiązujących w Unii Europejskiej. W rezultacie, przekazywanie danych w ramach Ramowego Porozumienia o Ochronie Danych UE-USA przez administratorów lub podmioty przetwarzające z siedzibą w UE do certyfikowanych organizacji w Stanach Zjednoczonych jest możliwe.
Zabezpieczenia dotyczące bezpieczeństwa przetwarzanych danych
Zabezpieczenia dotyczące przetwarzania danych w obszarze bezpieczeństwa narodowego wprowadzone przez władze amerykańskie mają zastosowanie do wszystkich danych przekazywanych z terytorium EOG do USA. Obejmują one również dane przekazywane przy wykorzystaniu zabezpieczeń określonych w art. 46 RODO, takich jak standardowe klauzule umowne. Wobec tego, ocena dokonana przez Komisję Europejską w jej decyzji powinna być uwzględniona przez podmiot przekazujący podczas oceny ryzyka związanego z przekazywaniem danych.
Transfer danych poza terytorium EOG
Jeśli chodzi o podmioty, których serwery zlokalizowane są poza EOG, należy zadbać o odpowiednią podstawę takiego transferu. Najczęściej transfer odbywa się do USA. Do 2020 r. istniała tarcza prywatności (Privacy Shield), która była podstawą do takiego transferu (art. 45 ust. 3 RODO). Tarcza ta została uchylona wyrokiem TSUE. Od tego czasu, transfer jest nieco problematyczny, a to m.in. ze względu na fakt, że USA posiada inne prawo i organy mogą inwigilować dane w większym stopniu niż jest to dozwolone na terytorium państw UE. Po uchyleniu Privacy Shield, podstawą na którą powołują się podmioty transferujące dane są standardowe klauzule umowne (art. 46 ust. 2 lit. c RODO). Odsyłamy w tym zakresie dodatkowo do komunikatu UODO.
W lipcu 2023 r. przyjęto nową „tarczę prywatności” tzw. decyzję o adekwatności, na podstawie art. 45 ust. 3 RODO.
Decyzja ta różni się od poprzedniej tym, że dotyczy wyłącznie transferu do firm, które dokonały dobrowolnej certyfikacji i zgłosiły zgodność z zapisami decyzji z 10 lipca 2023 r.
Należy zatem zidentyfikować transfery danych do państw spoza EOG i ustalić ich podstawę. Być może niektóre firmy przystąpiły do decyzji o adekwatności, a jeśli nie – wiele oferuje zawarcie standardowych klauzul umownych. Np. Google powołuje się na standardowe klauzule umowne.
