Spoločnosti, ktoré sa registrujú v tomto rámci budú považované za bezpečných príjemcov osobných údajov, ktorí zaručujú primeranú úroveň ochrany v zmysle ustanovení článku 45 Nariadenia GDPR[1]. Pri odovzdávaní osobných údajov takýmto spoločnostiam tak už nebude potrebné vykonávať posúdenie vplyvov prenosu (tzv. TIA), lokálne posúdenia (LLA), ani uzatvárať komplikované zmluvné doložky. Inými slovami, prenos údajov takýmto spoločnostiam bude prebiehať v rovnakom režime ako prenos medzi spoločnosťami z členských štátov EÚ.
Ide už o tretí pokus úpravy prenosu osobných údajov do USA. Pôvodný právny rámec prenosu osobných údajov do USA, tzv. Privacy Shield, bol v roku 2020 zrušený. Súdny dvor EÚ (SDEÚ) mal dve hlavné výhrady.
Prvým problémom bolo, že štátne orgány a spravodajské služby USA mali v zásade neobmedzený prístup k osobným údajom, a to okrem iného aj k údajom občanov EÚ. S tým súvisela aj druhá výhrada. Občania EÚ nemali možnosť dopracovať sa k informáciám o spracúvaní svojich osobných údajov v USA, rovnako neexistoval spôsob, ako by sa prípadne mohli domôcť svojich práv.
DFP tieto nedostatky odstraňuje. USA prostredníctvom Executive Order 14086, „Enhancing Safeguards for United States Signals Intelligence Activities„, ktorý prezident Biden vydal ešte 7. októbra 2022.
Občania EÚ budú mať k svojim osobným údajom spracúvaným v USA prístup prostredníctvom špecializovaného úradníka pre občianske slobody a ochranu súkromia (Civil Liberties and Privacy Officer ‑ CLPO) úradu pre spravodajstvo a výskum (Bureao of Intelligence and Research).
CLPO je zodpovedný za zabezpečenie dodržiavania základných práv na ochranu osobných údajov, a to aj zo strany štátnych orgánov a spravodajských služieb. Rozhodnutia CLPO potom môžu byť preskúmané novým špecializovaným súdom, ktorým je Data Protection Review Court. Občania EÚ sa tak budú môcť v USA domáhať svojich práv vo vzťahu k ich osobným údajom.
Aj keď ide o významný krok smerom k obnoveniu právnej istoty pri prenose osobných údajov medzi EÚ a USA, už teraz je isté, že rozhodnutie bude rovnako ako predchádzajúce rozhodnutia o primeranosti ochrany poskytovanej spochybnené a jeho platnosť bude opätovne posudzovať Súdny dvor EÚ.
Organizácia #noyb Maxa Schremsa už rozhodnutie stihla kritizovať, pretože podľa nej DPF nespĺňa požiadavky Nariadenia GDPR. Môžeme teda čakať, že v dohľadnej dobe aj aktuálne rozhodnutie o primeranosti ochrany bude posudzovať SDEÚ.
V neposlednej rade je treba zdôrazniť, že DPF prináša zmenu aj pre vaše Privacy Policy. Ak vaša spoločnosť odovzdáva údaje spracovateľovi z USA, ktorý bude registrovaný v DPF, je v informačnej dokumentácii potrebné uviesť, že prenos osobných údajov je založený na rozhodnutí Komisie o primeranosti a že spracovateľ je registrovaný v DPF.
Zoznam spoločností registrovaných v DPF nájdete od 17. júla 2023 tu: https://lnkd.in/eCUrwrvc
S posúdením a prípadnou zmenou informačnej dokumentácie vám radi pomôžeme, neváhajte sa nám preto ozvať.
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
