Europski odbor za zaštitu podataka usvojio je 16. lipnja 2021. g. nove Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka.
Cijeli dokument može pronaći ovdje:
Ako vas zanima više, kolega, njemački stručnjak za zaštitu osobnih podataka Christopher Schmidt objavio je dokument gdje je jasno označio promjene u odnosu na nacrt iz 2020. g.
https://drive.google.com/drive/u/0/folders/1LYYElynX2kORiXyU2MasEZmk-m7zKcjx
Preporuke raspravljaju o mjerama, od kojih mnoge već postoje i provode se. Nove preporuke EDPB-a usklađene su s novim #SCC klauzulama kako bi voditelji obrade mogli imati veću pravnu sigurnost.
Ključne riječi za promjene u novim smjernicama su "u praksi" i "učinkovito".
Voditelji obrade bi trebali napraviti analizu specifičnu za prijenos, a ne potpunu odluku o adekvatnosti. Međutim, analiza mora biti detaljna, temeljita i dokumentirana. Mora uzeti u obzir ne samo zakone, već i iskustvo u praksi u vezi s pristupom javnih vlasti podacima koji se tiču određenih prijenosa ili uvoznika podataka.
Izvoznik mora potkrijepiti podatke primljene od uvoznika iz dodatnih izvora navedenih u Prilogu 3.
Djelotvorne mjere moraju spriječiti pristup podacima od strane javnog tijela, a ne samo ublažavanje štete ispitaniku od pristupa. To je razlog zašto se naglašava važnost tehnoloških mjera.
Ne smije se zaboraviti zaštititi prijenos, na primjer enkripcijom end-to-end.
Stoga, trebalo bi udružiti resurse i treće strane kako bi se lakše postigla učinkovita procjena.
Dodatak II Preporuka EDPB-a predstavlja sedam hipotetičkih "slučajeva upotrebe" za prijenos podataka.
EDPB navodi kako i na koji način stranke mogu poduzeti korake za zaštitu osobnih podataka u svakom pojedinom slučaju.
Što se tiče prijenosa podataka u SAD-a, ključan je "Slučaj upotrebe 6“.
Ovaj slučaj izuzetno je važan i predstavlja ogroman problem svima koji koriste američke izvršitelje obrade poput Googlea, Facebooka i Microsofta.
EDPB ovaj slučaj naziva "Prijenos na davatelje usluga u oblaku ili druge voditelje obrade kojima je potreban pristup podacima bez enkripcije".
U ovom su slučaju tri uvjeta:
1. Voditelj obrade (izvoznik) prenosi osobne podatke izvršitelju obrade (uvozniku).
2. Uvoznik zahtijeva pristup podacima "in the clear" (bez enkripcije ) kako bi mogao obavljati svoje usluge.
3. Uvoznik je podložan problematičnom zakonodavstvu gdje javno tijelo ima ovlasti pristupiti podacima, ovlasti koji nadilaze "preko onoga što je potrebno i proporcionalno u demokratskom društvu".
U ovom slučaju, EDPB kaže da je teško predvidjeti učinkovitu tehničku mjeru kako bi spriječio da taj pristup krši temeljna prava ispitanika.
O tome treba reći nekoliko stvari:
"Prijenos" iz točke 1. ne znači da se treba raditi o fizičkom premještanju osobnih podataka u treću zemlju. Navedeno je sljedeće: "… daljinski pristup subjekta iz treće zemlje podacima koji se nalaze u EGP-u također se smatra prijenosom".
Tvrtke poput Googlea, Facebooka i Microsofta zahtijevaju pristup bez enkripcije (točka 2).
EU smatra američko pravo nepotrebnim i nerazmjerno nametljivim (točka 3).
Ako se europska nadzorna tijela i (u konačnici) Sud Europske unije slože s EDPB-om o Slučaju upotrebe 6, to bi moglo predstavljati egzistencijalnu prijetnju europskim operacijama mnogih američkih poduzeća - i učiniti tisuće tvrtki iz EU odgovornima za nezakonite prijenose.
No, što je s izuzećima iz članka 49. i kako provesti TIA (analizu procjene prijenosa)? Što ukoliko Vaša TIA bude pozitivna i dozvoljava prijenos podataka?
Unatoč navedenom, ne očekuje se da će većina EU tvrtki prestati koristiti Google, Facebook, Microsoft itd.
I po nama…
Postoji nada i rješenje… Javite nam se.