10. srpnja 2023. Europska komisija („Komisija”) donijela je Odluku o primjerenosti u skladu s Općom uredbom o zaštiti podataka, te na taj način osigurala odgovarajuću razinu zaštite osobnih podataka prema novom Okviru za zaštitu privatnosti podataka.
O najavi donošenje nove Odluke o primjerenosti pisali smo u našem Blogu krajem 2022. godine. Komisija je nakon dugo vremena odlučila da SAD, u svrhu članka 45. Opće uredbe o zaštiti podatka, osigurava odgovarajuću razinu zaštite osobnih podataka koji se prenose iz EU-a u organizacije u SAD-u, a koje su uključene u Okvir za zaštitu privatnosti podataka.
Na temelju nove Odluke o primjerenosti, osobni podaci mogu se sigurno prenositi iz EU-a u američke tvrtke koje sudjeluju u Okviru za zaštitu privatnosti podataka, bez potrebe za uvođenjem dodatnih mjera zaštite podataka.
U nastavku pročitajte najčešće postavljena pitanja i odgovore!
Odluka o primjerenosti primjenjuje se od 10. srpnja 2023. To znači da se od tog datuma prijenosi iz EU-a organizacijama u SAD-u koje su uključene u Okvirni popis za privatnost podataka mogu temeljiti na Odluci o primjerenosti, bez potrebe za oslanjanjem na alate za prijenos iz članka 46. GDPR-a. U praksi to znači da prijenosi koji se temelje na Odluci o primjerenosti ne moraju (što ne znači da se ne preporuča) biti dopunjeni dodatnim mjerama. Europski odbor za zaštitu podataka upućuje na objašnjenja Komisije o tom pitanju u uvodnim izjavama 6. i 7. Odluke.
Prijenosi podataka subjektima u SAD-u koji nisu uključeni u Okvirni popis ne mogu se temeljiti na Odluci o primjerenosti i zahtijevat će odgovarajuće zaštitne mjere za zaštitu podataka, provediva prava i učinkovite pravne lijekove za ispitanike (npr. putem standardnih ugovornih klauzula, obvezujućih korporativnih pravila), sve u skladu s člankom 46. Opće uredbe o zaštiti podataka. U tom pogledu EDPB naglašava da se sve zaštitne mjere koje je vlada SAD-a uvela u području nacionalne sigurnosti (uključujući mehanizam pravne zaštite) primjenjuju na sve podatke prenesene u SAD, bez obzira na upotrijebljeni alat za prijenos. Stoga bi pri procjeni učinkovitosti odabranog alata za prijenos GDPR-a iz članka 46. izvoznici podataka trebali uzeti u obzir procjenu koju je Komisija provela u Odluci o primjerenosti.
Organizacije koje su se samocertificirale u okviru prijašnjeg Okvira za zaštitu privatnosti (EU-U.S. Privacy Shield) i žele uživati u prednostima sudjelovanja u novom, moraju se samocertificirati i uskladiti s principima novog Okvira za zaštitu privatnosti podataka. Takva usklađenost uključuje minimalno ažuriranje njihovih pravila o privatnosti (Pogledajte FAQ 5, FAQ – Politika privatnosti za jezik koji je prihvatljiv za tu svrhu). Takve će organizacije uključiti ovu referencu u roku od tri mjeseca od datuma stupanja na snagu (tj. što je prije moguće nakon datuma stupanja na snagu načela novog Okvira za zaštitu privatnosti podataka, ali ne kasnije od tri mjeseca nakon tog datuma stupanja na snagu).
Naravno, voditelji obrade iz EU koji surađuju sa organizacijama u SAD-u i dalje moraju pratiti samostalno jesu li pružatelji usluga koje koriste ispunili zahtjeve propisa o zaštiti privatnosti.
Popis organizacija koje su uključene u novi Okvir za zaštitu privatnosti podataka održava Ministarstvo trgovine SAD-a i javno je dostupan.
c) Da biste pregledali pravila o privatnosti koja se primjenjuju na pokrivene podatke:
d) Ako trebate dodatna pojašnjenja, obratite se izravno organizaciji ili timu koji je nadležan za vođenje Okvira za zaštitu privatnost podataka ili nam se obratite za pomoć
Sama Odluka o primjerenosti nema krajnji rok trajanja, a prvo preispitivanje provest će se godinu dana nakon njezina stupanja na snagu kako bi se provjerilo jesu li svi elementi u potpunosti provedeni i djelotvorni u praksi. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će, uz savjetovanje s EDPB-om i državama članicama EU-a, odlučiti o naknadnom preispitivanju, koje će se u svakom slučaju provoditi najmanje svake četiri godine. Odluke o primjerenosti mogu se prilagoditi ili čak povući u slučaju razvoja događaja koji utječu na razinu zaštite u trećoj zemlji.
Novi Okvir za zaštitu privatnosti podataka nesumnjivo sada pruža (makar privremeno) određenu pravnu sigurnost organizacijama koje u svojem poslovanju prenose podatke iz EU-a/EGP-a u SAD.
Treba imati u vidu da je EDPB izrazio rezerve prilikom donošenja nove odluke. U svakom slučaju za poslovanje organizacija iz EU-a i SAD-a Odluka o primjerenosti predstavlja ˝siguran˝ i jednostavan način usklađivanja svojih poslovnih aktivnosti u skladu s zahtjevima Opće uredbe o zaštiti podataka i presudama Suda Europske unije. Obveze Opće uredbe o zaštiti podataka postoje i dalje neovisno o donošenju predmetne Odluke. TIA se i dalje mora provoditi u određenim slučajevima dok se u slučaju primjene predmetne Odluke stare moraju ažurirati.
Dodatno organizacije moraju promijeniti DPIA-u, dokumente na web mjestima, evidencije aktivnosti obrade, ali i Ugovore o obradi i dijeljenju podataka ukoliko sada više nisu primjenjivi ili ranije nisu odredbe bile sastavljene na način da se sada ne zahtjeva izmjena istih.