Exercitation ullamco laboris nis aliquip sed conseqrure dolorn repreh deris ptate velit ecepteur duis.
Exercitation ullamco laboris nis aliquip sed conseqrure dolorn repreh deris ptate velit ecepteur duis.
Po wielu miesiącach negocjacji politycznych między USA a UE, Komisja Europejska stwierdziła, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych, zbliżony do standardów obowiązujących w Unii Europejskiej. W rezultacie, przekazywanie danych w ramach Ramowego Porozumienia o Ochronie Danych UE-USA przez administratorów lub podmioty przetwarzające z siedzibą w UE do certyfikowanych organizacji w Stanach Zjednoczonych jest możliwe.
Zabezpieczenia dotyczące przetwarzania danych w obszarze bezpieczeństwa narodowego wprowadzone przez władze amerykańskie mają zastosowanie do wszystkich danych przekazywanych z terytorium EOG do USA. Obejmują one również dane przekazywane przy wykorzystaniu zabezpieczeń określonych w art. 46 RODO, takich jak standardowe klauzule umowne. Wobec tego, ocena dokonana przez Komisję Europejską w jej decyzji powinna być uwzględniona przez podmiot przekazujący podczas oceny ryzyka związanego z przekazywaniem danych.
Jeśli chodzi o podmioty, których serwery zlokalizowane są poza EOG, należy zadbać o odpowiednią podstawę takiego transferu. Najczęściej transfer odbywa się do USA. Do 2020 r. istniała tarcza prywatności (Privacy Shield), która była podstawą do takiego transferu (art. 45 ust. 3 RODO). Tarcza ta została uchylona wyrokiem TSUE. Od tego czasu, transfer jest nieco problematyczny, a to m.in. ze względu na fakt, że USA posiada inne prawo i organy mogą inwigilować dane w większym stopniu niż jest to dozwolone na terytorium państw UE. Po uchyleniu Privacy Shield, podstawą na którą powołują się podmioty transferujące dane są standardowe klauzule umowne (art. 46 ust. 2 lit. c RODO). Odsyłamy w tym zakresie dodatkowo do komunikatu UODO.
W lipcu 2023 r. przyjęto nową „tarczę prywatności” tzw. decyzję o adekwatności, na podstawie art. 45 ust. 3 RODO.
Decyzja ta różni się od poprzedniej tym, że dotyczy wyłącznie transferu do firm, które dokonały dobrowolnej certyfikacji i zgłosiły zgodność z zapisami decyzji z 10 lipca 2023 r.
Należy zatem zidentyfikować transfery danych do państw spoza EOG i ustalić ich podstawę. Być może niektóre firmy przystąpiły do decyzji o adekwatności, a jeśli nie – wiele oferuje zawarcie standardowych klauzul umownych. Np. Google powołuje się na standardowe klauzule umowne.