Komisja Europejska opublikowała 13 grudnia 2022 roku projekt decyzji dotyczącej adekwatności transferu danych do USA. Decyzja została przyjęta w następstwie negocjacji prowadzonych z administracją Joe Bidena i przyjęcia EU-US Data Protection Framework w marcu bieżącego roku.
Wykonując swoje zobowiązania, Biały Dom ogłosił 7 października dekret prezydencki, który nakłada zestaw ograniczeń i gwarancji dotyczących zbierania danych przez agencje wywiadowcze. Obok ograniczeń dotyczących dozwolonych działań – gdzie po raz pierwszy administracja USA wskazuje, że działania będą musiały być proporcjonalne i niezbędne – pod auspicjami Prokuratora Generalnego powstanie Data Protection Review Court, który rozpatrywał będzie skargi na działania służb wywiadowczych. Potencjalnie takie rozwiązane powinno zapewnić skuteczniejszą ochronę, niż miało to miejsce we wcześniejszych rozwiązaniach.
Projekt decyzji KE w przypadku jego przyjęcia w niezmienionej formie zezwala na transfer danych do USA w systemie przypominającym wcześniejsze privacy shield (nowy projekt nie posiada podobnie medialnej nazwy). Wprowadza system certyfikacji, w której organizacje ze Stanów Zjednoczonych mogą zobowiązać się do przestrzegania określonych zasad służących ochronie prywatności określonych w EU-U.S. Data Privacy Framework
Principles. Certyfikacja DPF będzie powiązana z poddaniem się organizacji pod jurysdykcję Federalnej Komisji Handl bądź Departamentu Transportu USA. W przypadku podmiotów, które otrzymają taką certyfikację, będą one uznane za zapewniające odpowiedni poziom ochrony w rozumieniu art. 45 RODO, tym samym umożliwiając transfer danych osobowych z Unii Europejskiej.
Projekt przed przyjęciem będzie musiał być zaakceptowany przez EROD oraz komitet przedstawicieli Państw Członkowskich, jak również w ograniczonym stopniu poddany będzie kontroli przez Parlament Europejski. Trudno więc powiedzieć, w jakiej perspektywie czasowej może zostać przyjęty – w przypadku Pivacy Shield czas od opublikowania projektu do przyjęcia decyzji wyniósł około 5 miesięcy.
Maximillian Schrems, inicjator postępowań dotyczących dwóch poprzednich ram transferu danych do USA poinformował, że nie miał możliwości szczegółowego zapoznania się z treścią nowej decyzji, ale wyraził sceptycyzm dotyczący jej skuteczności w dłuższej perspektywie czasu, zwłaszcza w związku z oparciem o rozwiązania zapisane w dekrecie prezydenckim, a nie ustawie. W jego ocenie „Komisja Europejska przyjmuje wciąż podobne i podobne decyzje, w oczywistym naruszeniu naszych podstawowych wolności”. W przypadku przyjęcia decyzji, wszczęcie postępowania w sprawie Schrems III przed Trybunałem Sprawiedliwości UE wydaje się być wysoce prawdopodobne. Decydująca będzie tutaj jednak także praktyka organów USA którą na tą chwilę trudno jest przewidzieć.
Treść projektu dostępna na: https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
Strona dekretu prezydenckiego: