CZY PRZEKAZYWANIE DANYCH OSOBOWYCH DO USA JEST DOPUSZCZALNE?
Automatyzacja usług marketingowych świadczonych przez podmioty posiadające siedzibę w USA na rzecz podmiotów posiadających siedzibę w Polsce lub innym kraju Europejskiego Obszaru Gospodarczego, a także zbieranie, przechowywanie i przekazywanie danych przez europejską spółkę-córkę w praktyce na rzecz wszystkich spółek z danej grupy kapitałowej, w tym np. spółki-matki z siedzibą w USA, wiąże się z koniecznością zapewnienia zgodności tych czynności z RODO.
Zanim dojdzie do przekazania przez przedsiębiorcę danych osobowych poza granicę UE należy sprawdzić czy państwo docelowego przetwarzania danych zapewnia odpowiedni stopień ochrony. Dotychczas podstawą zaklasyfikowania USA do państw zapewniających ochronę była decyzja Komisji Europejskiej, tzw. Privacy Shield, dzięki której przedsiębiorcy w zasadzie w sposób nieograniczony korzystali z transferu danych.
Sytuacja zmieniła się wyrokiem TSUE z 16 lipca 2020 r. w sprawie Schrems II. Trybunał Sprawiedliwości Unii Europejskiej uznał, że USA nie zapewniają takiego stopnia ochrona danych osobowych, jak kraje Europejskiego Obszaru Gospodarczego. Zwrócono uwagę, że zastosowanie standardowych klauzul umownych jest w takim przypadku niewystarczające.
Na podmiocie przekazującym dane ciąży obowiązek sprawdzenia, czy prawo i praktyka państwa trzeciego mają negatywny wpływ na skuteczność mechanizmów ochrony transferu danych osobowych, w szczególności czy egzekwowalne są prawa osób, których dane dotyczą i zapewnione są skuteczne środki ochrony prawnej. W wyroku stwierdzono wprost, że USA nie zapewnia takiej ochrony. Konsekwencją wyroku są decyzje organów nadzorczych nakazujące wstrzymanie transferu danych do USA, w związku z uznaniem, że standardowe klauzule umowne są niewystarczające.
Czy zatem nie jest już możliwy transfer danych do USA ? Sprawa na szczęście nie jest zerojedynkowa. W wyroku wskazano na konieczność wdrożenia środków uzupełniających ochronę danych – organizacyjnych, technicznych lub umownych, uwzględniających prawodawstwo danego państwa, jednak TSUE nie określił ściśle o jakie środki uzupełniające chodzi. Z pewnością pomocne w zapewnieniu zgodności ze standardami unijnymi będzie śledzenie informacji publikowanych przez Urząd Ochrony Danych Osobowych i Europejską Radę Ochrony Danych.