Schrems II: czy transfer danych osobowych do USA jest nadal możliwy?

Firmy na szeroką skalę wykorzystują usługi cloud computing, czy platformy automatyzacji marketingu dostarczane przez podmioty z rynku amerykańskiego. Korzystanie z nich wiąże się – co do zasady – z przekazywaniem danych osobowych. W grę wchodzi zatem konieczność zapewnienia zgodności z RODO/GDPR. Z tego powodu niemałe zamieszanie wśród unijnych przedsiębiorców wywołała informacja o unieważnieniu podstawy transferu danych osobowych na linii Europejski Obszar Gospodarczy – USA w sprawie Schrems II.

Odpowiadając na tytułowe pytanie, transfer danych osobowych do USA jest nadal możliwy, jednakże znacznie utrudniony, a standardowe klauzule umowne (jeden z mechanizmów transferu danych do państw trzecich np. USA) okazują się niewystarczające. Zaznaczyć należy, że skutki unieważnienia podstawy transferu danych osobowych do USA nie odnoszą się wyłącznie do tego kraju, a dotyczą transferu danych osobowych do wszystkich tzw. państw trzecich, krajów nienależących do Europejski Obszar Gospodarczy (EOG) i niezapewniających poziomu ochrony danych równoważnego z poziomem UE.

W kwestii transferu danych osobowych poza EOG, RODO dzieli państwa na kraje:

1. które zgodnie z decyzją Komisji Europejskiej zapewniają danym osobowym odpowiedni stopień ochrony np. Izrael, Szwajcaria, Japonia;
2. które tego stopnia nie zapewniają tzw. „państwa trzecie”, do których zalicza się np. Indie, Brazylię a także od niedawna… USA.

Powyższe rozróżnienie ma pierwszorzędne znaczenie w przypadku, gdy firma stoi przed podjęciem decyzji np. o wdrożeniu nowego rozwiązania IT, które wymaga transferu danych osobowych poza EOG.

Dalszą część artykułu autorstwa Bartosza Marcinkowskiego, Partnera i szefa zespołu ochrony danych osobowych, oraz Adama Prokopa, z Praktyki Prawa Spółek, Fuzji i Przejęć, przeczytają Państwo na stronie itwiz.pl.