Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog EU i SAD našli su rješenje vezano uz prijenos podataka- napokon svi mogu privremeno odahnuti, ili ne svi?

EU i SAD našli su rješenje vezano uz prijenos podataka- napokon svi mogu privremeno odahnuti, ili ne svi?

Svi članci
12.07.2023.

Dana 10. srpnja 2023. Europska komisija donijela je svoju odluku o primjerenosti EU-SAD okvira za zaštitu privatnosti podataka (“DPF”). Za američke tvrtke koje sudjeluju u DPF-u smatrat će se da pružaju "odgovarajuću zaštitu" prema članku 45. Opće uredbe EU o zaštiti podataka ("GDPR") za prijenose osobnih podataka primljene iz Europske unije ("EU") i Europskog gospodarskog prostora ("EEA") .

S trenutačnim učinkom, nova odluka o primjerenosti pruža novu pravnu osnovu za  prijenose podataka od izvoznika podataka u EU do uvoznika podataka iz SAD-a koji potvrđuju usklađenost s DPF načelima. U vremenima u kojima tehnologije koje nužno zahtijevaju prekogranične protoke podataka, poput umjetne inteligencije ili usluga u oblaku, igraju sve važniju ulogu, DPF će vjerojatno biti ključni pokretač podatkovne ekonomije između EU i SAD-a.

Prema članku 45. GDPR-a, prijenosi podataka obuhvaćeni opsegom ovakve odluke o primjerenosti dopušteni su bez potrebe za daljnjim pravnim jamstvima (npr. Standardne ugovorne klauzule EZ-a (SCC) ili obvezujuća korporativna pravila (BCR)).

Zašto je EK morala donijeti odluku o primjerenosti DPF-a?

Kao što smo već pisali, Sud pravde EU-a (“ECJ”) stvorio je nesigurnost u pogledu prijenosa osobnih podataka svojom presudom Schrems II iz srpnja 2020.

Fokus zabrinutosti ECJ-a u predmetu Schrems II odnosio se na nacionalnu sigurnost SAD-a i nadzor vlade te prava pojedinačnih ispitanika u EU-u da ospore takve prakse. Opseg presude Schrems II bio je toliko širok da ne samo da je poništio Privacy Shield, već je također bacio sumnju na prekogranične prijenose osobnih podataka putem drugih sredstava, kao što su Standardne ugovorne klauzule EZ-a i obvezujuća korporativna pravila.

Kako su američka vlada i Europska komisija surađivale na jačanju zaštite prijenosa osobnih podataka?

Kao odgovor na Schrems II , američka vlada i Europska komisija surađivale su na razvoju DPF-a kao ˝nasljednika˝ Privacy Shielda, sve s ciljem pružanja veće sigurnosti za prijenose osobnih podataka. 

Između ostalih aktivnosti, američka administracija donijela je uredbu 14086 („EO”) za uspostavu poboljšane zaštite privatnosti osobnih podataka u kontekstu državnog odnosno vladinog nadzora te uspostavila novi postupak za pojedince da traže pravni lijek u vezi s ovim pitanjima koja se tiču prijenosa osobnih podataka u Sjedinjene Države. 

Prema EO 14086, članovi američke obavještajne zajednice moraju razmotriti načela nužnosti i proporcionalnosti prije nego što se upuste u aktivnosti nadzora. Također, EO 14086 je uspostavio dvostupanjski mehanizam pravne zaštite koji pojedinci mogu koristiti za osporavanje navodnih povreda načela.

Američka vlada nedavno je izdala dodatne provedbene postupke za EO, a također je proglasila države članice EU i EEA "državama koje ispunjavaju uvjete", tako da će lokalni državljani EU i drugi EEA moći tražiti pravnu zaštitu putem Ureda direktora Nacionalne obavještajne službe (“ODNI”), Službenika za zaštitu građanskih sloboda (“CLPO”), i na kraju Suda za reviziju zaštite podataka SAD-a.

Kakav je utjecaj DPF-a?

DPF će služiti kao američkim tvrtkama kako bi se osigurala odgovarajuća zaštita za transatlantske prijenose osobnih podataka. DPF će pomoći u jačanju suštinske zaštite privatnosti za prijenose osobnih podataka iz EU/EEA i osigurati veću pravnu sigurnost za EU/EEA tvrtke koje prenose podatke sudionicima DPF-a u SAD-u. Šire gledano, materijalna zaštita koja se provodi kako bi se olakšalo usvajanje DPF-a, uključujući EO zaštitu privatnosti i postupovna prava na pravnu zaštitu, bit će dostupna ispitanicima u EU/EEA, bez obzira na to sudjeluje li američka tvrtka kao primatelj/uvoznik podataka u DPF-u.

Sažetak odluke o primjerenosti

U članku 1. svoje odluke o primjerenosti, Europska komisija zaključuje da SAD osigurava odgovarajuću razinu zaštite osobnih podataka koji se iz EU-a prenose organizacijama u SAD-u koje su potvrdile usklađenost s „Načelima okvira za privatnost podataka EU-SAD” (DPF načela ) i uključeni su u "Popis okvira za zaštitu privatnosti podataka", koji će održavati i učiniti dostupnim javnosti tamošnje tzv. Ministarstvo trgovine SAD-a.

Kao i kod Privacy Shielda i Safe Harbora prije njega, zaključak o primjerenosti DPF-a odnosi se samo na EU-SAD prijenose podataka u skladu s DPF-om, a ne na sve prijenose primateljima u SAD-u. S tim u vezi, odluka EK-a o primjerenosti pomaže u prevladavanju specifičnih zabrinutosti u vezi s pristupom američkih vladinih podataka osobnim podacima u EU-u—kao što će američke reforme prikupljanja obavještajnih podataka također uključiti istrage podataka koji se prenose prema mehanizmima kao što su SCC ili BCR—pa tako i prijenose prema tim mehanizmima će također moći imati koristi od  odluke o primjerenosti.

EK ističe da DPF uvodi značajna poboljšanja u usporedbi s mehanizmom koji je postojao u okviru Privacy Shielda. Za svoje određivanje primjerenosti prijenosa podataka prema DPF-u, Europska komisija detaljno procjenjuje promjene uvedene prema EO 14086 i zaključuje da nove obvezujuće mjere zaštite rješavaju sva pitanja iznesena u presudi CJEU-a u predmetu Schrems II  i to kako slijedi:

  • u vezi s pristupom osobnim podacima vlade SAD-a, Europska komisija smatra da propisi SAD-a sadrže različita ograničenja i zaštitne mjere u pogledu pristupa i upotrebe osobnih podataka u svrhe provedbe kaznenog zakona i nacionalne sigurnosti, te osigurava mehanizme nadzora i pravne zaštite koji ograničavaju pristup podacima o EU-u od Obavještajne zajednice SAD-a (prema onome što je potrebno i razmjerno). EK ističe da je američka obavještajna zajednica 3. srpnja 2023. usvojila različite politike i procedure koje se tiču nekoliko američkih agencija poput Središnje obavještajne agencije (CIA), Federalnog istražnog ureda (FBI), Agencije za nacionalnu sigurnost (NSA), i Odjel za domovinsku sigurnost (DHS), koji provode zaštitne mjere EO 14086 rješavajući pitanja koja su bila istaknuta od Suda Europske unije.
  • u pogledu potrebnih opcija za pravnu zaštitu, EK zaključuje da je novoosnovani sud za reviziju zaštite podataka (DPRC) neovisan sud kojem će pojedinci iz EU-a imati pristup. EK ističe da je ovaj novi mehanizam pravne zaštite učinkovit i stvarno dostupan pojedincima u EGP-u, budući da je glavni državni odvjetnik SAD-a 30. lipnja 2023. dodao EU i Island, Lihtenštajn i Norvešku kao „kvalificirane države”.
  • funkcioniranje DPF-a bit će podložno periodičnim pregledima koje provodi EK, zajedno s predstavnicima europskih tijela za zaštitu podataka (DPA) i nadležnim tijelima SAD-a. Prema članku 3. predmetne odluke o primjerenosti, EK mora kontinuirano pratiti primjenu DPF-a. Ako Europska komisija ima naznake da više nije osigurana odgovarajuća razina zaštite, obavijestit će nadležna tijela SAD-a i, ako je potrebno, može odlučiti suspendirati, izmijeniti ili ukinuti odluku o primjerenosti ili ograničiti njezin opseg. Prvi pregled održat će se u srpnju 2024. kako bi se potvrdilo da su svi relevantni elementi Izvršne naredbe 14086 u potpunosti provedeni i da li učinkovito funkcioniraju u praksi.
  • Mehanizam samocertifikacije: primatelji u SAD-u koji žele koristiti DPF moraju sami potvrditi svoju usklađenost s načelima DPF-a. Načela DPF-a ažurirana su i dodatno potkrijepljena verzija načela utvrđenih okvirom Privacy Shield. Organizacije koje su već bile certificirane prema okviru Privacy Shield u dobroj su poziciji da se također samocertificiraju prema DPF-u.
  • da bi se pridružila DPF-u, organizacija koja ispunjava uvjete mora imati minimalno usklađenu politiku privatnosti, identificirati neovisni mehanizam za žalbu i samocertificirati se putem web stranice tamošnjeg Ministarstva trgovine SAD-a, dostupne na https://www.dataprivacyframework.gov/s/. 
  • popis certificiranih tvrtki također se nalazi na web stranici DPF-a, tako da izvoznici podataka sa sjedištem u EU-u mogu jednostavno provjeriti ima li uvoznik podataka iz SAD-a koristi od zaštite prema odluci o primjerenosti DPF-a.

Zaključak

Odluka EK-a o primjerenosti je obvezujuća, što znači da EU DPA-i moraju prihvatiti odluku o primjerenosti kao stvaranje važećeg mehanizma za transatlantske prijenose podataka u skladu s Poglavljem V. GDPR-a bez potrebe za dobivanjem bilo kakvog daljnjeg odobrenja.

DPF je snažan mehanizam koji će u praksi igrati važnu ulogu u olakšavanju protoka podataka između EU i SAD-a.

Kada nacionalni DPA dovodi u pitanje kompatibilnost odluke o primjerenosti s temeljnim pravima pojedinca na privatnost i zaštitu podataka (kao što je pritužba ispitanika), DPA može istražiti pravne lijekove prema nacionalnom pravu kako bi te prigovore iznio pred nacionalni sud pojedine države članice. Od nacionalnih sudova može se zahtijevati da podnesu zahtjev za prethodnu odluku CJEU-u.

  • Za izvoznike podataka sa sjedištem u EU-u važno je napomenuti da dok se odluka o primjerenosti usredotočuje na protok podataka između EU i SAD-a gdje je uvoznik podataka u SAD-u certificiran prema DPF-u oni će biti sigurni no morat će sada uskladiti svu dokumentaciju; izvoznici koji se pak oslanjaju na druge mehanizme morat će ponovno procijeniti način na koji postupci koje je usvojila Obavještajna zajednica SAD-a mogu pozitivno utjecati na zaštitne mjere koje pružaju ti mehanizmi te hoće li ostati kod istih osnova prijenosa podataka ili će se oni zajedno s drugom dokumentacijom morati promijeniti. Ukratko, tvrtke uključene u prijenos podataka između EU i SAD-a trebale bi poduzeti sljedeće korake:
  • Uvoznici podataka u SAD-u koji bi željeli iskoristiti zaštitne mjere DPF-a trebali bi poduzeti korake za samocertificiranje prema DPF-u i pridržavati se načela DPF-a. Obveza poštivanja načela DPF-a mora se odražavati minimalno u obavijestima o privatnosti takvih sudjelujućih uvoznika podataka iz SAD-a koji se žele samocertificirati, a u svakom slučaju najkasnije tri mjeseca od datuma stupanja na snagu načela DPF-a. Tvrtke koje su već certificirane prema Privacy Shieldu vjerojatno će biti kontaktirane od strane tamošnjeg Ministarstva trgovine SAD-a u vezi sa sljedećim koracima. koje moraju poduzeti za moguću ponovnu certifikaciju prema DPF-u te za reviziju njihovih obavijesti o privatnosti u skladu s DPF načelima
  • Izvoznici podataka u EU-u koji žele prenijeti osobne podatke EU-a prema odluci o primjerenosti DPF-a moraju provjeriti prije prijenosa na web stranici DPF-a je li primatelj u SAD-u certificiran prema DPF-u i jesu li relevantni prijenosi podataka obuhvaćeni takvom certifikacijom. U mjeri u kojoj se izvoznici podataka oslanjaju na DPF kao pravnu osnovu za prijenos, relevantne informacije u obavijesti o privatnosti izvoznika podataka prema čl. 13 i 14 GDPR za ispitanike u EU-u morat će se ažurirati. Izvoznici podataka iz EU-a možda e se morati oslanjati se i na SCC i BCR (posebno ako oni već postoje) u slučaju da nisu u ugovornom odnosu na tvrtkama koje su usklađene sa DPF načelima i nisu certificirane. U takvim bi scenarijima izvoznici podataka trebali uzeti u obzir utjecaj odluke o primjerenosti na postojeći režim pristupa podacima u SAD-u i njezin utjecaj na postojeće SCC-ove i/ili BCR-ove. U svakom slučaju potrebno je mijenjati D/TIA-u.
  • Procjena učinka prijenosa (D/TIA) za prijenose podataka između EU i SAD-a tehnički neće biti potrebna za prijenose obuhvaćene DPF-om jer odluka o primjerenosti DPF-a zamjenjuje procjenu primjerenosti u D/TIA-i. Međutim, postojeće D/TIA-e (npr. pripremljene prema klauzuli 14 SCC) treba ponovno razmotriti kako bi se uzele u obzir promjene američkih zakona o nadzoru. Dakle, revizija se ne može izbjeći. Također je važno napomenuti da će D/TIA-i i dalje biti potrebni za transfere koji nisu obuhvaćeni DPF-om, bilo u SAD ili druge treće zemlje.
  • Potrebno je promijeniti evidencije aktivnosti obrade i dokumente kojima se mapiralo prijenose podataka u treće zemlje.
  • Nužno je provesti reviziju dosadašnjih Ugovora o obradi i dijeljenju podataka s trećim stranama koje nisu na području EU.
Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Specijalistička online edukacija: GDPR u HR-u
Brisanje emaila nakon odlaska zaposlenika
Teško je odbiti pojesti sve kolačiće?- Reject all!
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.