Prowadzenie działalności on-line, w szczególności w branży e-commerce, bardzo często wiąże się z przekazywaniem danych osobowych do państw trzecich, w tym do USA. Wynika to z tego, że serwery gigantów technologicznych czy też serwisów społecznościowych (m.in. Google, Meta), na których przechowywane są dane osobowe ich użytkowników, zlokalizowane są poza terytorium Europejskiego Obszaru Gospodarczego (EOG). Taka sytuacja na gruncie RODO nazywana jest transferem danych osobowych do państw trzecich. Aby jednak transfer ten był legalny, a co za tym idzie – zachowany został wysoki poziom ochrony danych osobowych, muszą zostać spełnione dodatkowe wymogi, bowiem RODO swoją mocą nie sięga poza obszar EOG.
Podstawą transferu danych osobowych do państw trzecich może być m.in. decyzja wydana przez Komisję Europejską stwierdzająca odpowiedni stopień ochrony danych osobowych istniejący w tym państwie. Jeżeli taka decyzja w stosunku do określonego państwa spoza EOG została wydana, to transfer danych będzie legalny i nie będzie wymagał stosowania dodatkowych zabezpieczeń. Decyzje takie zostały wydane w stosunku do Andory, Argentyny, Kanady, Wysp Owczych, Guernsey, Wyspy Man, Izraela, Japonii, Baliwatu Jersey, Nowej Zelandii, Korei Południowej, Szwajcarii, Wielkiej Brytanii i Urugwaju.
Po wielu miesiącach negocjacji politycznych pomiędzy USA a UE, Komisja Europejska uznała, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony danych osobowych (zbliżony do poziomu ochrony zapewnionej w Unii Europejskiej), które będą przekazywane w ramach realizacji UE – USA Data Privacy Framework przez administratora lub podmiot przetwarzający, mających siedzibę w Unii Europejskiej, do certyfikowanych organizacji w Stanach Zjednoczonych.
Jest to już trzecia decyzja KE ułatwiająca transfer danych osobowych do USA, wydana po “Bezpiecznej Przystani” (z ang. “Safe Harbor”) z 2000 r. oraz “Tarczy Prywatności” (z ang. “Privacy Shield”) z 2016 r. W efekcie skarg Maxa Schremsa (obecnie honorowego prezesa NOYB – None of Your Business) obie ze wskazanych wyżej decyzji zostały unieważnione przez Trybunał Sprawiedliwości Unii Europejskiej w 2015 roku oraz w 2020 roku.
Decyzja stwierdzająca odpowiedni stopień ochrony danych podjęta w ramach UE-USA Data Privacy Framework opiera się na systemie certyfikacji. Podkreślenia wymaga, że decyzja Komisji Europejskiej nie dotyczy Stanów Zjednoczonych jako kraju, ale konkretnych organizacji publicznych i prywatnych mających siedzibę w USA, które przystąpiły do programu EU-US Data Privacy Framework.
System certyfikacji oznacza możliwość przekazywania danych wyłącznie do podmiotów, które zadeklarowały swoje zobowiązanie do przestrzegania zasad ochrony danych osobowych i widnieją na liście prowadzonej przez amerykański Departament Handlu. Zasady te określają m.in. konieczność usunięcia danych, gdy nie są już potrzebne do celów ich przetwarzania, czy wymóg zapewnienia ochrony danych osobowych w przypadku ich dalszego przetwarzania przez podmioty trzecie. Wynegocjowana decyzja o adekwatności zapewnia podmiotom danych szereg środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez podmioty prowadzące działania zarówno na rynku unijnym, jak i amerykańskim, a także uzyskanie rozstrzygnięcia takich skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej.
UE-USA Data Privacy Framework wychodzi naprzeciw wszelkim wątpliwościom podnoszonym przez Trybunał Sprawiedliwości UE w sprawach Schrems II i Safe Harbour. W szczególności UE-USA Data Privacy Framework wprowadza ograniczenie dostępu amerykańskich służb wywiadowczych do danych osobowych pozyskanych z UE wyłącznie w zakresie niezbędnym i proporcjonalnym. Ustanowiony zostanie również właściwy sąd ds. ochrony danych osobowych, który będzie niezależnie badał i rozstrzygał skargi, w tym poprzez przyjęcie wiążących środków naprawczych. Przykładowo, w przypadku gdy taki sąd stwierdzi, że dane zostały zebrane z naruszeniem nowych zabezpieczeń, będzie mógł nakazać ich usunięcie.
Przyjęcie decyzji o adekwatności dla USA pozwoli podmiotom zaangażowanym w przekazywanie danych osobowych pomiędzy UE a USA dokonywać transferów w oparciu o to narzędzie prawne. Możliwy będzie transfer danych bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia czy zastosowania takich instrumentów prawnych, jak standardowe klauzule umowne bądź wiążące reguły korporacyjne.