Početna Blog Predah za sve koji prenose podatke u SAD, a da to ni ne znaju?

Predah za sve koji prenose podatke u SAD, a da to ni ne znaju?

Svi članci
25.08.2023.

Što treba znati o novom Okviru za prijenos i zaštitu podataka između Europske unije i Sjedinjenih Američkih Država

10. srpnja 2023. Europska komisija („Komisija”) donijela je Odluku o primjerenosti u skladu s Općom uredbom o zaštiti podataka, te na taj način osigurala odgovarajuću razinu zaštite osobnih podataka prema novom Okviru za zaštitu privatnosti podataka.  

O najavi donošenje nove Odluke o primjerenosti pisali smo u našem Blogu krajem 2022. godine. Komisija je nakon dugo vremena odlučila da SAD, u svrhu članka 45. Opće uredbe o zaštiti podatka, osigurava odgovarajuću razinu zaštite osobnih podataka koji se prenose iz EU-a u organizacije u SAD-u, a koje su uključene u Okvir za zaštitu privatnosti podataka.

Na temelju nove Odluke o primjerenosti, osobni podaci mogu se sigurno prenositi iz EU-a u američke tvrtke koje sudjeluju u Okviru za zaštitu privatnosti podataka, bez potrebe za uvođenjem dodatnih mjera zaštite podataka.

U nastavku pročitajte najčešće postavljena pitanja i odgovore!

1.Kako se osobni podaci mogu prenijeti u SAD na temelju novog Okvira za zaštitu privatnosti podataka?

Odluka o primjerenosti primjenjuje se od 10. srpnja 2023. To znači da se od tog datuma prijenosi iz EU-a organizacijama u SAD-u koje su uključene u Okvirni popis za privatnost podataka mogu temeljiti na Odluci o primjerenosti, bez potrebe za oslanjanjem na alate za prijenos iz članka 46. GDPR-a. U praksi to znači da prijenosi koji se temelje na Odluci o primjerenosti ne moraju (što ne znači da se ne preporuča) biti dopunjeni dodatnim mjerama. Europski odbor za zaštitu podataka upućuje na objašnjenja Komisije o tom pitanju u uvodnim izjavama 6. i 7. Odluke.

2.Kako se osobni podaci mogu prenijeti u SAD ako uvoznik podataka nije uključen u Okvirni popis  za zaštitu privatnosti podataka?

Prijenosi podataka subjektima u SAD-u koji nisu uključeni u Okvirni popis ne mogu se temeljiti na Odluci o primjerenosti i zahtijevat će odgovarajuće zaštitne mjere za zaštitu podataka, provediva prava i učinkovite pravne lijekove za ispitanike (npr. putem standardnih ugovornih klauzula, obvezujućih korporativnih pravila), sve u skladu s člankom 46. Opće uredbe o zaštiti podataka. U tom pogledu EDPB naglašava da se sve zaštitne mjere koje je vlada SAD-a uvela u području nacionalne sigurnosti (uključujući mehanizam pravne zaštite) primjenjuju na sve podatke prenesene u SAD, bez obzira na upotrijebljeni alat za prijenos. Stoga bi pri procjeni učinkovitosti odabranog alata za prijenos GDPR-a iz članka 46. izvoznici podataka trebali uzeti u obzir procjenu koju je Komisija provela u Odluci o primjerenosti.

3.Na što tvrtke iz EU-a moraju obratiti pozornost kada prenose podatke organizacijama u SAD-u?

Organizacije koje su se samocertificirale u okviru prijašnjeg Okvira za zaštitu privatnosti (EU-U.S. Privacy Shield) i žele uživati u prednostima sudjelovanja u novom, moraju se samocertificirati i uskladiti s principima novog Okvira za zaštitu privatnosti podataka. Takva usklađenost uključuje minimalno ažuriranje njihovih pravila o privatnosti (Pogledajte FAQ 5, FAQ – Politika privatnosti za jezik koji je prihvatljiv za tu svrhu). Takve će organizacije uključiti ovu referencu u roku od tri mjeseca od datuma stupanja na snagu (tj. što je prije moguće nakon datuma stupanja na snagu načela novog Okvira za zaštitu privatnosti podataka, ali ne kasnije od tri mjeseca nakon tog datuma stupanja na snagu).

Naravno, voditelji obrade iz EU koji surađuju sa organizacijama u SAD-u i dalje moraju pratiti samostalno jesu li pružatelji usluga koje koriste ispunili zahtjeve propisa o zaštiti privatnosti.

4.Kako tvrtke iz EU-a/EGP-a mogu provjeriti jesu li organizacije iz SAD-a pristupile Okviru za zaštitu privatnosti podataka?

Popis organizacija koje su uključene u novi Okvir za zaštitu privatnosti podataka održava Ministarstvo trgovine SAD-a i javno je dostupan.

  1. Da biste potvrdili je li tvrtka ili ustanova sudionik Okvira za zaštitu privatnost podataka, idite na Popis okvira za privatnost podataka i pretražite abecednim redom ili upisivanjem naziva tvrtke ili ustanove u traku za pretraživanje.
  2. Da biste potvrdili da je organizacija pristupila Okviru za zaštitu privatnost podataka i preuzela obveze koji iz njega proizlaze potrebno je: 
  • „Kliknuti“ na naziv tvrtke ili ustanove na popisu Okvira za zaštitu privatnost podataka.
  • U zapisu programa tvrtke ili ustanove pregledajte odjeljak "Ostali obuhvaćeni američki entiteti i podružnice SAD-a", kao i odjeljak zapisa "Sudjelovanje".

c) Da biste pregledali pravila o privatnosti koja se primjenjuju na pokrivene podatke:

  • Unutar programskog zapisa tvrtke ili ustanove „kliknite“ na poveznicu na relevantna pravila ili pravila o privatnosti u odjeljku "Pravila o privatnosti" zapisa.

d) Ako trebate dodatna pojašnjenja, obratite se izravno organizaciji ili timu koji je nadležan za vođenje Okvira za zaštitu privatnost podataka ili nam se obratite za pomoć

  • Unutar zapisa programa tvrtke idite na odjeljak "Rješavanje sporova" („Dispute resolution“) da biste pristupili relevantnim kontakt podacima za organizaciju koja vas interesira.
  • Ako imate dodatnih pitanja, možete izravno kontaktirati tim unutar Uprave za međunarodnu trgovinu (ITA) Ministarstva trgovine SAD-a klikom ovdje i  slanjem upita putem kartice "Pružanje pomoći i obrazovanje".

5.Koliko dugo vrijedi Odluka o primjerenosti i hoće li se revidirati?

Sama Odluka o primjerenosti nema krajnji rok trajanja, a prvo preispitivanje provest će se godinu dana nakon njezina stupanja na snagu kako bi se provjerilo jesu li svi elementi u potpunosti provedeni i djelotvorni u praksi. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će, uz savjetovanje s EDPB-om i državama članicama EU-a, odlučiti o naknadnom preispitivanju, koje će se u svakom slučaju provoditi najmanje svake četiri godine. Odluke o primjerenosti mogu se prilagoditi ili čak povući u slučaju razvoja događaja koji utječu na razinu zaštite u trećoj zemlji.

Ključne napomene

  • Na temelju Odluke o primjerenosti, osobni podaci mogu se slobodno i sigurno razmjenjivati između tvrtki iz EU-a i SAD-a, no i dalje se mora paziti na ispunjavanje zahtjeva propisa o zaštiti privatnosti.
  • Uspostava načelo razmjernosti i potrebitosti u pristupu podacima od strane obavještajnih tijela SAD-a. Američke obavještajne agencije će usvojiti postupke za osiguranje učinkovitog nadzora nad novim standardima privatnosti i građanskim slobodama.
  • Uspostavljan novi dvostupanjski sustav pravne zaštite za rješavanje pritužbi Europljana o pristupu podacima američkih obavještajnih tijela, što uključuje zaštitu podataka i Revizijski sud.
  • Obveza samocertificiranja za tvrtke koje obrađuju podatke prenesene iz EU
  • Implementacija posebnih mehanizama praćenja i pregleda.

Zaključak:

Novi Okvir za zaštitu privatnosti podataka nesumnjivo sada pruža (makar privremeno) određenu pravnu sigurnost organizacijama koje u svojem poslovanju prenose podatke iz EU-a/EGP-a u SAD.

Treba imati u vidu da je EDPB izrazio rezerve prilikom donošenja nove odluke. U svakom slučaju za poslovanje organizacija iz EU-a i SAD-a Odluka o primjerenosti predstavlja ˝siguran˝ i jednostavan način usklađivanja svojih poslovnih aktivnosti u skladu s zahtjevima Opće uredbe o zaštiti podataka i presudama Suda Europske unije. Obveze Opće uredbe o zaštiti podataka postoje i dalje neovisno o donošenju predmetne Odluke. TIA se i dalje mora provoditi u određenim slučajevima dok se u slučaju primjene predmetne Odluke stare moraju ažurirati.

Dodatno organizacije moraju promijeniti DPIA-u, dokumente na web mjestima, evidencije aktivnosti obrade, ali i Ugovore o obradi i dijeljenju podataka ukoliko sada više nisu primjenjivi ili ranije nisu odredbe bile sastavljene na način da se sada ne zahtjeva izmjena istih.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori