Politechnika Wrocławska udostępnia pracownikom i studentom wiele różnych narzędzi do komunikacji elektronicznej. Część z nich to usługi świadczone przez dostawców spoza Unii a konkretnie z USA , którzy podlegają tamtejszym przepisom (stanowym i federalnym). Do niedawna było to istotnym problemem ponieważ w ocenie upoważnionych instytucji unijnych prywatność osób, których dane trafiały do takich dostawców mogła być naruszana. Również przetwarzanie danych „w chmurze” administrowanej przez amerykańskiego przedsiębiorcę - narażało w ocenie TSUE - prywatność użytkowników gdyż dostęp do danych mogą mieć nieupoważnione instytucje, w tym amerykańskie agencje rządowe.

Po 10 lipca 2023 r. zaszły pewne zmiany formalne i nie chodzi o to, że teraz te agencje już nie mają dostępu do danych. Komisja Europejska uznała, że w USA stworzono warunki do bezpiecznego przetwarzania danych a obywatelom UE zapewniono narzędzia aby mogli oni chronić swoją prywatność (podobnie jak to ma miejsce w Unii). Czy tak jest faktycznie to trudno powiedzieć, ale przynajmniej organy unijne nie powinny mieć zastrzeżeń do korzystania z usług, których dostawcy są objęci porozumieniem Data Privacy Framework i są wpisani na listę dostępną w Internecie.

Te podmioty, same sprawdzają jak przetwarzają dane osobowe, jak zapewniają transparentność tego procesu i spełniają żądania (np. usunięcia danych) oraz czy mogą zadeklarować, że wypełniają inne wymogi europejskie. Jeśli wypełniają, to wpisywane są do wykazu. Jak na razie nikt tej „autocertyfikacji” nie sprawdza. Zastanawiające jest, że w momencie ogłoszenia tego mechanizmu na liście znalazło się około 300 podmiotów. Wpisanie na listę ma upewniać podmioty chcące przesyłać dane (np. dane osobowe albo korespondencję pracowników i studentów Uczelni), że prywatność osób, których te dane dotyczą nie ucierpi już przez samo tylko przesłanie ich do przedsiębiorcy z USA.

Oczywiście można od razu pomyśleć że to portale hostujące treści, przechowujące dane w chmurze i udostępniające dane w swoich portalach WWW. Ale zakładając imienne konto w amerykańskiej bibliotece czy bazie wiedzy takiej jak Wiley przesyła się tam dane użytkownika. Jeśli zapisy na konferencję naukową są prowadzone na stronie zarządzanej przed podmiot korzystający z chmury od Amazona czy Google to także dochodzi do eksportu danych. Jeśli wydawnictwo naukowe, z którym chcemy podpisać umowę, trzyma w chmurze publicznej swoje kopie zapasowe to też może dochodzić do transferu danych autorów, recenzentów, redaktorów. Jeśli swoje dane udostępniają sami czytelnicy, uczestnicy konferencji czy recenzent artykułu to przyjmuje się, że sami wiedzą co robią. Ale jeśli ich dane miałaby przesyłać Politechnika Wrocławska - to już zupełnie co innego. Wpisanie dostawcy na listę DPF załatwia sprawę bo wpis „legalizuje go”.

Jeśli dostawcy upatrzonej przez nas usługi nie byłoby na liście wówczas są trzy wyjścia:

• dane przekazują dobrowolnie sami użytkownicy sami zakładający sobie konta/ zapisujący się na konferencję itd. - albo
• dane osobowe użytkownika się ukrywa za pseudonimem a przesyłane pliki są zawsze szyfrowane - albo
• należy przeprowadzić ocenę skutków planowanego transferu (Transfer Impact Assessment/TIA).

Taka ocena to dość złożony proces i oznacza konieczność oceny prawa i procedur państwa, do którego mają trafić dane osobowe (poza UE EOG). Celem TIA jest weryfikacja jak prawo i praktyki państwa, do którego mają być przesłane dane, wpływają na ochronę danych i na prawa do prywatności osób, których te dane dotyczą. Dotychczas Politechnika Wrocławska nie przeprowadzała takiej oceny w żadnym przypadku a zatem nie powinna pośredniczyć w udostępnianiu danych osobowych w związku z używaniem usług podmiotów spoza wykazu DPF. Na ten moment (tj. na dzień 27 września 2023 r.) w wykazie można znaleźć np. Google LLC i Microsoft ale nie ma tam przykładowo  firmy Zoom Video Communications, Inc. W związku z tym zalecać trzeba pracownikom Politechniki Wrocławskiej korzystanie z usług takich dostawców, którzy jednak są wpisani na tej liście podmiotów objętych porozumieniem Data Privacy Framework. Jeśli dostawca usługi nie jest tam wpisany (a jego usługa wiąże się z danymi osobowymi) to obowiązują zasady dotychczasowe - podmiot chcący wysłać dane musi polegać na innych instrumentach przewidywanych przez RODO (wybór innego dostawcy, wyszukanie dostawcy z kraju objętego decyzją o równoważnym poziomie ochrony danych, wybór dostawcy mającego zgodne z prawem unijnym standardowe klauzule umowne (SCC) a nawet przeprowadzenie oceny transferu co chyba będzie ostatecznością w realiach Uczelni.