EU-US Data Privacy Framework: przekazywanie danych z EOG do USA
- Czym jest EU-US Data Privacy Framework?
- Czy wszystkie firmy podlegają EU-US Data Privacy Framework?
- Co oznacza EU-US Data Privacy Framework dla biznesu?
- Co to oznacza?
- Harmonogram wdrażania DSA:
- Co to oznacza?
W maju 2023 roku irlandzki organ nadzorczy ds. ochrony danych (DPC) podjął głośną decyzję dotyczącą Meta. Decyzja ta podważyła legalność niemal każdego transferu danych z EOG do USA. Więcej o okolicznościach sprawy można przeczytać w naszym artykule pod linkiem.
Od momentu podjęcia tej decyzji europejskie firmy współpracujące z amerykańskimi partnerami znalazły się w trudnej sytuacji, zastanawiając się, jak zgodnie z prawem przekazywać im dane. Jednak 10 lipca 2023 roku sytuacja się wyklarowała: Komisja Europejska przyjęła decyzję o adekwatności EU-US Data Privacy Framework.
Poniżej prawniczki z subpraktyki ochrony danych REVERA law group, Alona Potorska i Jekatierina Jakolcewicz, wyjaśniają, jakie skutki ma to dla międzynarodowego biznesu.
Czym jest EU-US Data Privacy Framework?
EU-US Data Privacy Framework to dokument określający zobowiązania dotyczące ochrony danych podczas ich przekazywania z EOG do USA. Dokument ten powstał we współpracy z europejskimi organami regulacyjnymi po unieważnieniu w 2021 roku dobrze znanej umowy Privacy Shield. Jednocześnie EU-US Data Privacy Framework zapewnia większe gwarancje ochrony danych niż Privacy Shield.
Firmy amerykańskie, które chcą przystąpić do EU-US Data Privacy Framework, muszą zapewnić przestrzeganie określonych standardów ochrony danych. Między innymi muszą przestrzegać zasady usuwania danych po osiągnięciu celu ich przetwarzania (podobnie jak wymaga tego GDPR).
Czy wszystkie firmy podlegają EU-US Data Privacy Framework?
EU-US Data Privacy Framework dotyczy jedynie tych firm, które dobrowolnie zobowiązały się przestrzegać ustalonego w dokumencie standardu. Firmy te muszą przechodzić coroczną certyfikację, którą kontroluje Departament Handlu USA.
Potwierdzając swoje uczestnictwo w EU-US Data Privacy Framework, firma amerykańska musi przestrzegać zarówno standardów EU-US Data Privacy Framework, jak i norm GDPR oraz obowiązującego prawa dotyczącego ochrony danych osobowych w USA.
Aby ułatwić proces certyfikacji, Departament Handlu USA uruchomił stronę internetową programu EU-US Data Privacy Framework, gdzie można sprawdzić, czy dana firma amerykańska do niego przystąpiła.
Co oznacza EU-US Data Privacy Framework dla biznesu?
Zgodnie z GDPR przekazywanie danych osobowych poza EOG jest dozwolone tylko wtedy, gdy w danym państwie zapewniony jest odpowiedni poziom ochrony danych osobowych.
10 lipca 2023 roku Komisja Europejska przyjęła decyzję o adekwatności EU-US Data Privacy Framework. Oznacza to, że firmy uczestniczące w EU-US Data Privacy Framework uznaje się za zapewniające właściwy poziom ochrony danych osobowych. Innymi słowy, wymogi dotyczące przekazywania danych firmom amerykańskim uczestniczącym w EU-US Data Privacy Framework będą takie same jak w obrębie EOG – stosunkowo proste.
Natomiast jeśli amerykańska firma nie przystąpiła do EU-US Data Privacy Framework, przekazywanie jej danych osobowych podlega artykułowi 46 GDPR. Ten artykuł reguluje zasady przekazywania danych do państw, w których nie zapewnia się odpowiedniego poziomu ochrony danych. A biorąc pod uwagę ostatnią decyzję dotyczącą Meta, spełnienie tych wymagań będzie bardzo trudne.
Co to oznacza?
Od 17 lutego 2024 r. Dyrektywa o usługach cyfrowych (DSA) zaczęła obowiązywać wszystkie platformy internetowe w UE.
Przypomnijmy, że Akt o usługach cyfrowych (DSA) i Akt o rynkach cyfrowych (DMA), a także Dyrektywa o jednolitym rynku cyfrowym (DSM) oraz obowiązujące przepisy Dyrektywy o handlu elektronicznym tworzą jednolity zestaw regulacji stosowanych w całej UE.
Pełny tekst DSA dostępny jest tutaj.
Harmonogram wdrażania DSA:
Listopad 2022 |
Lato - grudzień 2023 |
17 lutego 2024 |
2025 - 2027 |
Wejście w życie DSA |
Komisja Europejska określiła bardzo duże platformy internetowe i wyszukiwarki (VLOPs i VLOSEs), które musiały przestrzegać określonych wymogów |
Wszystkie dostawcy usług pośredniczących muszą przestrzegać określonych obowiązków (art. 11-32) |
Ocena i raporty dla Parlamentu Europejskiego |
W związku z tym, od 17 lutego 2024 r. wszystkie regulowane podmioty są zobowiązane do przestrzegania DSA.
Co to oznacza?
DSA reguluje zasady dotyczące nielegalnych treści w sieci oraz odpowiedzialności pośredników. Nakłada konkretne obowiązki na usługi cyfrowe w zakresie zwalczania nielegalnych treści, dostosowane do wielkości danej platformy.
DSA wzmacnia zasadę „co jest nielegalne offline, jest teraz nielegalne online”. Wszystkie platformy internetowe działające w UE (z wyjątkiem małych i mikroprzedsiębiorstw) muszą wdrożyć środki, takie jak:
- Zwalczanie nielegalnych treści, towarów i usług – platformy muszą umożliwić użytkownikom zgłaszanie nielegalnych treści, w tym towarów i usług, oraz współpracować z tzw. „trusted flaggers” (zaufanymi podmiotami, którychzgłoszenia mają priorytet) – art. 22.
- System obsługi skarg (art. 20) i mechanizmy pozasądowego rozwiązywania sporów (art. 21).
- Procedury zgłaszania i reagowania (art. 16).
- Przejrzystość decyzji moderacyjnych – platformy muszą dostarczyć użytkownikom uzasadnienie decyzji dotyczących moderacji treści (np. usunięcia wpisu lub zawieszenia konta) i umieszczać te wyjaśnienia w bazie transparentności DSA (art. 17).
- Ochrona niepełnoletnich – całkowity zakaz reklamy profilowanej skierowanej do osób poniżej 18 roku życia (art. 28).
- Środki przeciwko nadużyciom – zawieszanie kont użytkowników regularnie publikujących treści niezgodne z prawem (art. 23).
- Raporty o moderacji treści – dostawcy usług muszą publikować roczne raporty dotyczące procedur moderacji treści (art. 15).
- DSA obejmuje dostawców usług pośredniczących (PIS), w tym dostawców usług hostingowych (np. chmur, systemów nazw domen) oraz pośredników internetowych (np. dostawców internetu, domen). Lokalizacja PIS nie ma znaczenia.
- DMA i DSA tworzą kompleksowy zestaw regulacji. Zespół REVERA szczegółowo wyjaśni ich zastosowanie w kolejnych publikacjach, ponieważ ich wprowadzenie ustanowiło nowy „złoty standard” moderacji treści i usług online.
- Kluczowe jest przestrzeganie tych nowych zasad oraz wdrożenie odpowiednich polityk i procesów w firmach. Równie istotne jest zrozumienie ich wpływu na działalność w UE i relacje z PIS, np. w kwestiach moderacji kont, zawieszania usług czy ochrony praw własności intelektualnej.
- REVERA – kancelaria prawna wspierająca rozwój biznesu bez granic.
Szanowni dziennikarze, wykorzystanie materiałów ze strony internetowej REVERA w publikacjach możliwe jest wyłącznie po uzyskaniu naszej pisemnej zgody.
