17 lip

Łatwiejszy transfer danych do USA

Tak, doczekaliśmy się kolejnych ram ochrony prywatności dla transferów danych do USA. Mieliśmy już SaveHarbours oraz PrivacyShield, teraz czas na Data Privacy Framework. O co chodzi? W Amerykańskim prawie wprowadzono zmiany, które pozwalają (w opiniii Komisji UE) zapewnić odpowiedni stopień ochrony dnaych osobowych przesyłanych do USA. Ale, ale. Diabeł tkwi w szczegółach.

Powtórzono schmat, który znamy już z PrivacyShield – na uproszczonych zasadach będziemy mogli realizować transfery tylko do tych firm w USA, które otrzymają odpowiedni certyfikat zgodności z DPF. Certyfikat, będzie wydawany z ograniczeniem czasowym. Dla europejskich administratorów danych oznacza to w praktyce możliwość korzystania z dostawców usług z USA, którzy posiadają taki certyfikat, bez obawy o zgodność transferu danych z RODO. Transfer danych w związku z korzystaniem z tych usług, będzie realizowany, tak jak do innych krajów, dla których Komisja UE wydała decyzję o wystarczającym stopniu ochrony. Po stronie klienta będzie zweryfikowanie, czy dostawca usługi posiada certyfikat (najlepiej bezpośrednio na stronie Ministerstwa Handlu USA) oraz poinformowanie osób, których dane dotyczą o transferze i decyzji wydanej przez Komisję UE.

Czy to coś zmienia? Aktualnie najwięksi dostawcy usług dokonywali transferu w oparciu o standardowe klauzule umowne. Ich stosowanie było o tyle problematyczne, że ich skuteczność była wielokrotnie podważana w przypadku transferów do USA, ze względu na ogromne uprawnienia inwigilacyjne przyznane amerykańskim służbom. Poza tym chyba wszyscy zastanawiamy się, czy zaraz nie będzie Schrems III i DPF przestaną mieć sens, tak jak poprzednie rozwiązania. Na pewno widzę zmianę na poziomie stanowym, gdyż zaczynając od Kalifornii, kolejne stany zaczynają uchwalać stanowe ramy prywatności swoich obywateli. Zatem coś w podejściu do prywatności w USA się zmienia, jednak chyba nie ma perspektyw na zmiany na poziomie federalnym. Od dawna zastanawiam się, czy nie łatwiej byłoby ustanowić ramy ochrony danych nie na poziomie USA-UE, a poszczególne stany UE. Zaczynając od Kalifornii, która w tym zakresie ma największe doświadczenie. Co ciekawe, pewnie w takim wypadku pojawiłyby się także wymagania dla transferu w drugą stroną, np. ze względu na bardzo silny nacisk na informowanie o wszelkiego rodzaju cookies.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 17 lipca 2023