10 lipca 2023 r. KE wydała nową decyzję o adekwatności, stwierdzającą że poziom ochrony danych osobowych jaki zapewnia prawodawstwo USA jest równoważny prawu UE. USA osiągnęły poziom zgodności przez wyeliminowanie tzw. przepisów problematycznych, które pozwalały na nieproporcjonalny i niekontrolowany dostęp organów publicznych USA do danych osób podlegających rodo. Jednak jak stwierdza art. 1 i motyw 9 decyzji adekwatną ochronę USA zapewnia tylko co do organizacji, które znalazły się na liście organizacji uczestniczących w programie DPF. Aby znaleźć się na liście trzeba dokonać samocertyfikacji, tzn. publicznego zobowiązania się do przestrzegania Zasad wynikających z decyzji w tym stanowiących Załącznik nr I do decyzji. Zasady te są dokumentem podobnym do SCC, który powtarza najważniejsze postanowienia rodo. Przystąpienie do programu oznacza, że organizacji poddaje się jurysdykcji organów USA (Federal Trade Commission (FTC) lub U.S. Department of Transportation (DoT)) w zakresie przestrzegania Zasad, ponieważ USA nie ma powszechnie obowiązującego prawa ochrony danych osobowych wystarczająco podobnego do rodo, któremu podlegały by wszystkie amerykańskie firmy. Innymi słowy zgodność z prawem UE została zapewniona dwustopniowo przez:
- eliminację tzw. przepisów problematycznych (ograniczenie dostępu dla służb, zwiększenie nadzoru nad nimi, stworzenie sądu ds. ochrony danych), które stały na przeszkodzie realizacji prawa umownego wynikającego np. z SCC – motyw 203,
- wprowadzenie w decyzji DPF Zasad, które stanowią prawo ochrony danych osobowych (m.in. prawo dostępu, obowiązki informacyjne, prawo do odszkodowania) podobne do rodo (i do SCC), ale które staje się skuteczne (egzekwowalne) poprzez mechanizm samocertyfikacji.
TIA jest procedurą, którą zaproponował EROD w celu stworzenia warunków do zalegalizowania transferu danych do państwa – importera, co do którego nie ma decyzji o adekwatności albo jest decyzja negatywna lub wyrok unieważniający decyzję. Głównym krokiem procedury TIA jest zbadanie:
- Czy prawo państwa importera jest generalnie zgodne z prawem UE (czy nie obezwładni prawa umownego wynikającego z SCC) – jeśli prawo to nie było badane przez organy UE (KE, TSUE);
- Czy generalnie niezgodne prawo, w praktyce, nie będzie miało zastosowania do konkretnego przekazania, ze względu na jego specyfikę (np. przepisy martwe w danej branży).
Pozostałe kroki tej procedury, pełnią rolę służebną wobec kroku 3 (analizy prawa) i w związku z tym bez kroku 3 nie mają racji bytu.
Jeśli więc organizacja z USA nie znajduje się na liście programu DPF, to znaczy że nie przyjęła na siebie obowiązków wynikających z Zasad. Ten brak może być uzupełniony przez podpisanie np. SCC. Natomiast organizacja z UE nie ma potrzeby powtarzać czynności dokonanych przez KE i analizować (oceniać) prawodawstwa i praktyki USA (zgodnie z motywem 7 decyzji KE zrobiła to dokładnie), czyli nie ma potrzeby dokonywać zasadniczego kroku 3 TIA, tym samym może zapomnieć o całym TIA. Decyzja stwierdza, że prawo stanowione USA (m.in. przez wprowadzenie rozporządzenia wykonawczego 14086 i rozporządzenia AG) nie obezwładnia już prawa umownego wynikającego z SCC. Prawo stanowione USA współgra z Zasadami wynikającymi z decyzji, które mogą być zastąpione przez SCC, jeśli organizacja nie przyjęła Zasad w drodze certyfikacji – motyw 55 wskazuje Zasady lub SCC jako równoważne, zamienne środki zapewniające ochronę danych. Jak podano w motywie 3 decyzji, stwierdzenie odpowiedniego stopnia ochrony wymaga istnienia zarówno obowiązków kierowanych do organizacji z państwa importera (odpowiadających uprawnieniom podmiotów danych z UE) jaki ograniczeń w stosunku do organów publicznych tego państwa – o ile obowiązki mogą być nałożone umownie przez SCC to ograniczenia muszą istnieć w prawie stanowionym państwa importera.
Potwierdza to też nota informacyjna EROD zgodnie z którą:
Przekazywanie danych podmiotom w USA, które nie znajdują się w „Wykazie ram ochrony danych”, nie może opierać się na decyzji stwierdzającej odpowiedni stopień ochrony i będzie wymagać odpowiednich zabezpieczeń ochrony danych, egzekwowalnych praw i skutecznych środków prawnych dla osób, których dane dotyczą (np. poprzez standardowe klauzule ochrony danych lub wiążące reguły korporacyjne), zgodnie z art. 46 RODO9.
W tym względzie EROD podkreśla, że wszystkie zabezpieczenia wprowadzone przez rząd USA w obszarze bezpieczeństwa narodowego (w tym mechanizm dochodzenia roszczeń) mają zastosowanie do wszystkich danych przekazywanych do USA, niezależnie od zastosowanego narzędzia przekazywania danych10. W związku z tym, oceniając skuteczność wybranego narzędzia przekazywania danych na podstawie art. 46 RODO11, podmioty przekazujące dane powinny wziąć pod uwagę ocenę przeprowadzoną przez Komisję w decyzji stwierdzającej odpowiedni stopień ochrony 12.