Decyzja Komisji z 10 lipca 2023 r. o zapewnieniu odpowiedniego poziomu ochrony danych osobowych na podstawie Ram Ochrony Danych UE-USA przywraca pewność prawa dla przedsiębiorców, którzy w ramach prowadzonej działalności przekazują dane osobowe do podmiotów z siedzibą na terenie USA.

W decyzji Komisja Europejska stwierdziła, że USA zapewniają adekwatny poziom ochrony dla danych osobowych przekazywanych do podmiotów w USA, które będą znajdować się na Liście Ram Ochrony Danych. Lista tych podmiotów jest publicznie dostępna na stronie internetowej Departamentu Handlu Stanów Zjednoczonych. Ramy Ochrony Danych są oparte o system samocertyfikacji podmiotów. Oznacza to, że podmioty z USA same publicznie potwierdzają wdrożenie Zasad Ram Ochrony Danych UE-USA, które zostały określone w załączniku do decyzji Komisji. Decyzję stosuje się od 10 lipca 2023 r.

Jeżeli konkretny podmiot z USA (importer danych) znajduje się na Liście, to podmiot z EOG (eksporter danych) nie ma obowiązku zawierania z importerem danych standardowych klauzul umownych ani innych dodatkowych umów w tym zakresie.

Jeżeli konkretny podmiot nie znajduje się na Liście, to eksporter danych może oprzeć przekazywanie danych do USA na jednej z przesłanek z art. 46 RODO. W większości przypadków strony zapewne zawrą standardowe klauzule umowne. Transfer danych na tej podstawie jest już bezpieczniejszy, ponieważ wprowadzone przez rząd USA zabezpieczenia w obszarze bezpieczeństwa narodowego mają zastosowanie do wszystkich danych przekazywanych do podmiotów z USA. W związku z tym, oceniając skuteczność wybranego narzędzia transferowego z art. 46 RODO, eksporterzy danych powinni wziąć pod uwagę ocenę przeprowadzoną przez Komisję w decyzji z 10 lipca 2023 r.

Należy zwrócić uwagę, że podmioty, które samocertyfikowały się na podstawie Tarczy Prywatności unieważnionej wyrokiem Trybunału Sprawiedliwości UE w sprawie Schrems II, znalazły się warunkowo na Liście Ram Ochrony Danych. Podmioty te mają 3 miesiące od wydania decyzji Komisji (tj. do 10 października br.) na aktualizację i dostosowanie polityk prywatności zgodnie z tą decyzją. Niezależnie od konieczności dostosowania się do decyzji, podmioty te powinny dokonać ponownej certyfikacji zgodnie z terminami określonymi na Liście Ram Ochrony Danych.