Što će se događati sa DPF-om? Hoće li pobjeda Trumpa na izborima utjecati na dosadašnji dogovor?
Europska komisija objavila je svoju prvu reviziju Odluke o primjerenosti okvira za zaštitu podataka između EU-a i SAD-a (EU-SAD Data Privacy Frameworka) Europskom parlamentu i Vijeću Europe nakon prve godine na snazi.
Zaključeno je da su američke vlasti "uspostavile potrebne strukture i procedure kako bi osigurale da Data Privacy Framework učinkovito funkcionira." Hoće li to ostati tako?
U uvodnoj izjavi 211 EU-SAD-a Odluke o primjerenosti je najavljeno provođenje sljedećeg pregleda za tri godine. Sudeći po roku sljedeće revizije mogli bismo reći da možemo biti mirni neovisno o tome što će se događati nakon pobjede Trumpa.
"Razina uključenosti, odgovornosti koje su preuzete s obje strane i zajedničko djelovanje između vlasti ukazuju na snažnu suradnju", rekao je Alberto Di Felice (DigitalEurope). "Opipljiv znak toga je nagovještaj Komisije da će sljedeća revizija biti za tri godine, za razliku od kraćeg godišnjeg ritma koji je bio moguć."
Izvješće je primarno "usredotočeno na provjeru jesu li svi konstitutivni elementi Odluke ispunjeni, na iskustvo s praktičnom primjenom zaštitnih mjera koje se primjenjuju, na obradu podataka od strane certificiranih tvrtki i na pristup podacima od strane javnih tijela".
Izvješće predstavlja sažetak sastanka koji je održan u Washingtonu, D.C., od 18. do 19. srpnja, na kojem su sudjelovali predstavnici Opće uprave Europske komisije za pravosuđe i potrošače, Europskog odbora za zaštitu podataka te predstavnici odabranih tijela za zaštitu podataka iz država članica. SAD su predstavili izaslanici američkog Ministarstva trgovine, Ministarstva vanjskih poslova, Savezne komisije za trgovinu, Ministarstva prometa, Ureda direktora Nacionalne obavještajne službe, Ministarstva pravosuđa, glavnog inspektora za obavještajnu zajednicu, kao i članovi Nadzornog odbora za privatnost i građanske slobode.
Prije objave, Komisija je također primila 40 komentara sudionika između 9. kolovoza i 6. rujna koji su uključeni u izvješće.
Izvješće detaljno opisuje procjenu Europske komisije o koracima poduzetim u SAD-u za operacionalizaciju DPF-a, kao što su američki regulatori koji uspostavljaju proces certificiranja DPF-a i reforme prikupljanja podataka koje su poduzele obavještajne službe i tijela nacionalne sigurnosti.
Ovo je zapravo jednostrana inspekcija Europske unije u odnosu na Sjedinjene Države kako bi se vidjelo jesu li se pridržavale preuzetih obveza, posebno onih koje se odnose na nacionalne sigurnosti.
Tijekom revizijskog sastanka Komisije s američkim predstavnicima, izvješće Ministarstva trgovine navodi da je za "prvu godinu DPF-a fokus bio na uspostavljanju procesa certificiranja, uključujući razvoj namjenskih IT alata, ažuriranje procedura, suradnju s tvrtkama, te provođenje drugih aktivnosti (i) podizanja svijesti."
Prema izvješću, više od 2.800 američkih tvrtki ima DPF certifikat, u usporedbi s 2.400 kompanija prema prethodnom Transatlantskom sporazumu o dijeljenju podataka, Privacy Shieldu.
Da bi dobile certifikat, američke tvrtke moraju se posebno posvetiti načelima DPF-a, javno objaviti tu obvezu, podvrgnuti se istražnoj nadležnosti FTC-a ili DOT-a i javno objaviti svoju politiku privatnosti.
Do sada su odbijene 33 prijave organizacija koje su se željele pridružiti DPF-u. Postoji mehanizam za podsjećanje organizacija da ponovno certificiraju svoje DPF vjerodajnice.
"Povratne informacije primljene od trgovačkih udruženja i tvrtki pokazuju da su tvrtke s DPF certifikatom poduzele niz koraka kako bi osigurale usklađenost s DPF načelima", navodi se u izvješću.
Što se tiče pritužbi potrošača podnesenih prema DPF-u, izvješće navodi da je "vrlo mali broj" upućen partnerskim tvrtkama koje se smatraju neovisnim mehanizmima za pritužbe prema DPF-u, što uključuje BBB nacionalne programe, JAMS, TRUSTe i VeraSafe. Velika većina pritužbi bila je neprihvatljiva. Na primjer, izvješće je utvrdilo da su od 87 pritužbi koje su građani EU-a podnijeli nacionalnim programima BBB-a, samo dvije ispunjavale uvjete za rješavanje putem IRM-ove ˝platforme˝ za pravnu zaštitu.
Pregled razvoja prava u SAD-u
Izvješće je također istaknulo nedavna pravna i regulatorna kretanja/ promjene u SAD-u kao znak napretka da je SAD predan uvođenju potrebnih obavještajnih i drugih reformi nacionalne sigurnosti kako bi DPF bio uspješan.
Valja napomenuti da je Europska komisija pozdravila provedbu izvršne naredbe Bijele kuće 14086 o jačanju zaštitnih mjera za signalno-obavještajne aktivnosti Sjedinjenih Država, koja je dopunila reforme uvedene u američki Zakon o nadzoru stranih obavještajnih službi kada je obnovljen u travnju i izvršnu naredbu 12333.
"Američke vlasti poduzele su daljnje praktične korake u protekloj godini za provedbu (izvršne naredbe) 14086 u svojim svakodnevnim operacijama", navodi se u izvješću. Konkretno, obavještajne agencije su uspostavile daljnje interne politike i smjernice o primjeni (izvršne naredbe), na primjer interne procese kako bi se osiguralo da su njezini zahtjevi nužnosti i proporcionalnosti usklađeni u kontekstu ciljanog i skupnog prikupljanja. "
Međutim, jedno područje istaknuto kao područje koje zabrinjava bila je praksa američkih obavještajnih službi i agencija o provođenju propisa o kupnji osobnih podataka od komercijalnih brokera. Prema DPF-ovoj odgovornosti za daljnje prijenose, načelno, takvo prikupljanje podataka dopušteno je samo ako je svrha ograničena i to za točno određenu svrhu, na temelju postojećeg ugovora između EU-SAD; ako se radi o DPF certificiranoj organizaciji i trećoj strani; te ako taj ugovor predviđa istu razinu zaštite kao organizacija vezana DPF načelima.
"U tom smislu, treba podsjetiti da svaka vrsta dobrovoljnog dijeljenja podataka s trećim stranama podliježe nekoliko detaljnih uvjeta prema DPF-u... Certificirana organizacija ne može dijeliti podatke s trećom stranom (koja ne djeluje kao agent/izvršitelj obrade) bez davanja obavijesti i izbora dotičnim pojedincima."
Izvješće također pripisuje zasluge radu FTC-a koji provodi mjere protiv brokera podataka koji su prodavali osjetljive podatke potrošača. Navodi primjere nedavnih postupaka protiv brokera podataka X-Mode i Outlogic, koji bi mogli poslužiti kao praksa za budućnost.
Sudovi za reviziju zaštite podataka još nisu korišteni
U izvješću se bilježi napredak postignut u operacionalizaciji Suda za reviziju zaštite podataka na strani SAD-a, koji je dobio mandat prema izvršnoj uredbi 14086. Građani EU-a koji traže naknadu zbog načina na koji su američke obavještajne agencije mogle pogrešno postupati s njihovim osobnim podacima mogu podnijeti žalbu članici EU-a - državnom DPA-u putem tajništva EDPB-a.
Mehanizam pravne zaštite uključuje dva stupnja, a prvi je istraga koju provodi američki ODNI službenik za zaštitu građanskih sloboda. Drugi sloj bila bi žalba DPRC-u, ovisno o odluci ODNI CLPO-a. Ako je žalba uspješna ili ako ODNI CLPO presudi u korist građanina EU-a, ta je odluka obvezujuća za američku obavještajnu agenciju.
"To što su odluke DPRC-a obvezujuće za obavještajne agencije ključni je element novog okvira i Komisija inače ne bi usvojila Odluku o primjerenosti", rekao je Di Felice iz DigitalEuropea. "Komisija će navedeno očito pozorno pratiti. Također je ohrabrujuće vidjeti blisku suradnju EDPB-a s tijelima SAD-a na operativnim aspektima rješavanja pritužbi, što signalizira povjerenje u ulogu DPRC-a." Međutim, do danas niti jedna država članica EU-a - DPA nije primila pritužbu građana za pravni lijek.
Preporuke Komisije i sljedeći koraci
Tijekom sljedeće tri godine, izvješće Komisije pozvalo je na pomno praćenje nadolazećeg izvješća američkog PCLOB-a o provedbi izvršne naredbe 14086 u obavještajnom i državnom sigurnosnom aparatu te kontinuirani napredak u daljnjem uspostavljanju DPRC-a.
Viši potpredsjednik za politiku i glavni savjetnik Industrijskog vijeća informacijske tehnologije John Miller rekao je da bi se američka strana u skorom razdoblju trebala usredotočiti na aktiviranje odgovornosti PCLOB-a prema DPF-u i osigurati da DOC razvije korisne smjernice koje će pomoći certificiranim organizacijama da ostanu u skladu s propisima. .
"Bit će važno da Ministarstvo trgovine i druge relevantne agencije u SAD-u, poput FTC-a, rade zajedno na razvoju zajedničkih dokumenata sa smjernicama, ali i da rade s dionicima industrije i posebno pogođenim tvrtkama", rekao je Miller. "Ovi bi alati sigurno mogli pružiti smjernice u složenim situacijama koje uključuju daljnje prijenose takvih podataka."
Komisija će također nadzirati DoC korištenjem više automatiziranih alata kako bi se osigurala usklađenost s DPF-om među certificiranim organizacijama i kako bi se pomoglo identificirati lažne tvrdnje o certifikaciji, FTC-ova provedba načela DPF-a i daljnja suradnja između DoC-a, FTC-a i EU tijela za zaštitu podataka na razvoju zajedničke smjernice za ključne zahtjeve DPF-a, kao što su odredbe koje uređuju način na koji se HR podaci dijele između entiteta iz SAD-a i EU-a.
"Komisija jako cijeni vrlo dobru suradnju s američkim vlastima u provođenju revizije", navodi se u izvješću. "Iako je ovaj prvi pregled prirodno bio usredotočen na provjeru jesu li svi konstitutivni elementi okvira uspostavljeni, iskustvo s praktičnom primjenom zaštitnih mjera koje se primjenjuju i na obradu podataka od strane certificiranih tvrtki i na pristup podacima od strane javnih tijela nužno je ograničeno nakon samo godinu dana rada."
Jedina komplikacija (ne tako mala) vezana uz budućnost EU-SAD-a bi mogao biti ishod predsjedničkih izbora u SAD-u. Kao što je Propp primijetio u članku za The Atlantic Council, politička promjena mogla bi rezultirati odbijanjem SAD-a od nekih od svojih obveza preuzetih prema DPF-u. Naime, postoji krug dužnosnika Trumpove administracije koji su suautori projekta Heritage Foundation 2025 i oni bi mogli biti skloni odustati od bilo kakvih daljnjih reformi posebno radi bojazni da DPF kasnije bude poništen u budućoj odluci Suda Europske unije poput njegovih prethodnika, Safe Harbour-a and Privacy Shield-a.
"Ako bi došlo do promjene u administraciji, moguće je da bi oni kritički gledali na DPF", rekao je Propp. "Očito je da bi svaka njegova promjena imala značajan učinak na transatlantski prijenos podataka, dok oprezna administracija možda neće ići u tom smjeru."
"Odluka 'Schrems II' donesena je tijekom prve Trumpove administracije, a dužnosnici u Ministarstvu trgovine i drugim relevantnim agencijama dali su prioritet radu na nasljednom sporazumu kako bi riješili problemi koje je iznio CJEU u toj odluci- i to gotovo odmah. Kad smo prešli na Bidena, administracije u siječnju 2021., dužnosnici Bidenove administracije očito su također prioritet dali sklapanju posla."
Di Felice je izrazio uvjerenje da izbori u SAD-u neće imati značajan utjecaj na obveze američke vlade prema DPF-u.
"Šanse da će se SAD 'povući' u bilo kojem smislu, bez obzira na to koja je administracija, vrlo su male", rekao je Di Felice. "Potpuno je logično da će Komisija promatrati sve političke promjene nove administracije. Ovdje je odvraćanje vrlo snažno zbog političkog i gospodarskog značaja okvira s obje strane."
No što će se dogoditi, ostaje čekati, i to u ozračju zadnjih članaka https://www.politico.eu/article/usa-donald-trump-privacy-watchdog-dismantle-personal-data/.
