Komisja Europejska ogłosiła, że zmiany wprowadzone przez Stany Zjednoczone Ameryki w swoim ustawodawstwie gwarantują odpowiedni poziom ochrony danych osobowych (porównywalny z tym w UE), które są przesyłane z Europejskiego Obszaru Gospodarczego (EOG) do organizacji zlokalizowanych w USA. Decyzja ta ukazała się w Dzienniku Urzędowym Unii Europejskiej 20 września 2023 r. Amerykańskie organizacje, które przestrzegają „Ram ochrony danych UE – USA” (tzn. wprowadziły ustawodawstwo związane z ochroną danych osobowych i zobowiązały się przestrzegać wymogów RODO) odnaleźć można za pośrednictwem strony internetowej Departamentu Handlu Stanów Zjednoczonych (odesłanie: https://www.dataprivacyframework.gov/s/participant-search) – do nich możliwy jest transfer danych .
Przekazywanie danych osobowych do firm, które znajdują się na tej liście, jest możliwe bez konieczności uzyskiwania dodatkowych zezwoleń lub stosowania innych narzędzi prawnych, takich jak klauzule umowne. Należy jednak pamiętać, że to firmy z USA muszą samodzielnie poddać się procesowi certyfikacji, aby znaleźć się wśród organizacji, które mogą transferować dane z UE . Dodatkowo w celu zapewnienia zwięzłych i klarownych informacji dla podmiotów gospodarczych jak również osób fizycznych, które przekazują swoje dane do Unii Europejskiej. Europejska Rada Ochrony Danych podczas posiedzenia plenarnego przyjęła notę, zawierającą najważniejsze informacje dotyczące decyzji Komisji, w tym mechanizmy dochodzenia roszczeń.
Działanie struktur ochrony prywatności danych przesyłanych na linii Unia Europejska-Stany Zjednoczone będzie regularnie oceniane w ramach okresowych przeglądów. Będą one przeprowadzane przez Komisję Europejska, we współpracy z przedstawicielami europejskich organów ds. ochrony danych oraz odpowiednimi instytucjami w USA. Pierwsza taka analiza zostanie przeprowadzona w ciągu roku od daty wejścia w życie decyzji, celem zweryfikowania, czy wszystkie istotne aspekty zostały w pełni wcielone do amerykańskiego systemu prawnego i czy funkcjonują efektywnie w praktyce.
Decyzję Komisji Europejskiej można uznać za kamień milowy dla przedsiębiorców, których działalność wymaga przekazu danych osobowych instytucjom zlokalizowanym poza granicami Unii Europejskiej.
