Komisja Europejska mocą decyzji z 10.07.2023 r. zdecydowała, że USA do celów art. 45 rozporządzenia (UE) 2016/679 („RODO”) zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do organizacji w USA, które znajdują się w „wykazie ramowym dotyczącym ochrony danych”, prowadzonym i udostępnianym przez Departament Handlu USA. Jest to długo wyczekiwana decyzja, która opiera się na mechanizmie podobnym do nieobowiązującego już „Privacy shield”.

A mianowicie, podmioty publiczne lub prywatne mające siedzibę w USA podlegające uprawnieniom dochodzeniowym i wykonawczym Federalnej Komisji Handlu („FTC”), Departamentu Transportu Stanów Zjednoczonych („DOT”) lub innego organu ustawowego, mogą przystąpić do Data Privacy Framework (DPF) i w związku z tym mogą być odbiorcami danych osobowych z UE na podstawie samej decyzji Komisji Europejskiej, bez konieczności powoływania się na narzędzia przekazywania danych z art. 46 RODO, np. standardowe klauzule umowne. Transfer taki nie będzie też wymagał przyjęcia środków uzupełniających, które EROD zalecała stosować po wyroku Schrems II (patrz: Zalecenia EROD nr 01/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych).

Aby przystąpić do DPF amerykańskie organizacje muszą podjąć następujące kroki:

1. samodzielnie potwierdzić przestrzeganie zasad DPF Departamentowi Handlu, czyli dokonać „samocertyfikacji”,
2. publicznie zadeklarować swoje zobowiązanie do przestrzegania DPF;
3. publicznie ujawniać swoją politykę prywatności zgodnie z DPF; oraz
4. w pełni wdrożyć zasady DPF.

W oparciu o powyższe, podmiot taki zostaje umieszczony na liście certyfikowanych podmiotów w rozumieniu DPF. Lista ta dostępna jest na stronie amerykańskiego Departamentu Handlu Participant Search (dataprivacyframework.gov) Przyznanie certyfikatu jest corocznie weryfikowane.

Natomiast, jeżeli amerykański odbiorca danych nie został ujęty na „liście ramowej ochrony danych”, transfer winien oprzeć się na dotychczas stosowanych zabezpieczeniach np. standardowych klauzulach ochrony danych, wiążących regułach korporacyjnych itp. – zgodnie z art. 46 RODO. Ocena skuteczności wybranego narzędzia przekazywania danych, o której mowa w Zaleceniach EROD nr 01/2020, winna uwzględnić ocenę przeprowadzoną przez Komisję w decyzji stwierdzającej odpowiedni stopień ochrony.

DFP przyznaje europejskim podmiotom danych nowe uprawnienia, a mianowicie osoby, których dane zostały przekazywane do USA, mają prawo dochodzenia roszczeń przed amerykańskimi organami, w przypadku gdy ich zdaniem amerykański odbiorca danych nie przestrzega DPF. Osoby fizyczne mogą zrealizować to prawo w dwojaki sposób:

1. mogą złożyć skargę bezpośrednio do odpowiedniej organizacji amerykańskiej lub
2. złożyć skargę do krajowego organu ochrony danych, który ma za zadanie dopilnować, aby skarga została przekazana Europejskiej Radzie Ochrony Danych a następnie właściwym organom amerykańskim. Ponadto organ ochrony danych ma obowiązek dopilnować, by osoba, której dane dotyczą, otrzymała informacje dotyczące procesu rozpatrywania skargi, w tym w odniesieniu do wyniku złożonej skargi.

Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony jest poddawanaprzeglądom. Pierwszyprzeglądodbędziesięrokpojejwejściu w życie.