5. studenog 2024. – na plenarnoj sjednici EDPB-a koja je po prvi puta vođena iz Zagreba, pod predsjedanjem potpredsjednika Europskog odbora za zaštitu podataka i ravnatelja Agencije za zaštitu osobnih podataka Zdravka Vukića, usvojeno je prvo izvješće* Okvira EU-a i SAD-a za zaštitu podataka (DPF – EU-US Data Privacy Framework), kao i Izjava o preporukama grupe na visokoj razini (eng. HLG – High-Level Group )** o pristupu podacima za učinkovitu provedbu zakona.
EDPB pozdravlja napore vlasti SAD-a i Europske komisije da provedu DPF i prima na znanje nekoliko događaja koji su se dogodili od usvajanja odluke o primjerenosti u srpnju 2023.
Što se tiče komercijalnih aspekata, tj. primjene i provedbe zahtjeva koji se primjenjuju na samocertificirane tvrtke prema ovom okviru, EDPB primjećuje da je Ministarstvo trgovine SAD-a poduzelo sve relevantne korake za provedbu procesa certifikacije. To uključuje razvoj nove web stranice, ažuriranje procedura, suradnju s tvrtkama i provođenje aktivnosti podizanja svijesti.
Osim toga, implementiran je mehanizam pravne zaštite za pojedince iz EU-a i postoje sveobuhvatne smjernice za postupanje s pritužbama objavljene s obje strane Atlantika. Međutim, mali broj dosad primljenih pritužbi u okviru DPF-a, naglašava važnost pokretanja aktivnosti nadzora od strane američkih vlasti u vezi s usklađenošću DPF-certificiranih tvrtki s načelima DPF-a.
EDPB potiče razvoj smjernica nadležnih tijela SAD-a, pojašnjavajući zahtjeve kojih bi se tvrtke s DPF certifikatom trebale pridržavati kada prenose osobne podatke koje su primile iz EU-a. Smjernice američkih vlasti o podacima o ljudskim resursima također bi bile dobrodošle. EDPB izražava svoju spremnost za pružanje povratnih informacija o tim smjernicama.
Što se tiče pristupa američkih javnih tijela osobnim podacima koji se iz EU-a prenose certificiranim organizacijama, EDPB se usredotočio na učinkovitu provedbu zaštitnih mjera uvedenih Izvršnom uredbom 14086 u pravni okvir SAD-a, kao što su načela nužnosti i proporcionalnosti te novi mehanizam pravne zaštite. Odbor smatra da su elementi mehanizma pravne zaštite uspostavljeni; u isto vrijeme, obnavlja poziv Europskoj komisiji da prati praktično funkcioniranje različitih zaštitnih mjera, npr. provedba načela nužnosti i razmjernosti. EDPB također preporučuje da Komisija prati budući razvoj događaja u vezi sa Zakonom o nadzoru stranih obavještajnih službi SAD-a, posebno s obzirom na prošireni doseg Odjeljka 702 nakon što ga je Kongres SAD-a ranije ove godine ponovno odobrio.
Zamjenik predsjednice EDPB-a Zdravko Vukić rekao je: „Drago nam je što je postignut napredak od donošenja odluke o primjerenosti zahvaljujući plodnoj suradnji između američkih vlasti, Europske Komisije i EDPB-a. Istodobno, još uvijek ima prostora za poboljšanje i trebali bismo nastaviti raditi zajedno kako bismo održali visoku razinu zaštite podataka i zaštitili prava i slobode pojedinaca u EU-u.”
Konačno, Odbor preporučuje da bi se Odluka o primjerenosti EU-SAD-a trebala preispitati u roku od tri godine ili manje.
Izjava o preporukama HLG-a o pristupu osobnim podacima radi učinkovite provedbe zakona od strane tijela javne vlasti, naglašava da se temeljna prava pojedinaca moraju zaštititi. Dok EDPB podupire cilj učinkovite provedbe zakona, ističe da bi neke od preporuka HLG-a mogle izazvati ozbiljno narušavanje temeljnih prava, posebno poštivanja privatnosti i obiteljskog života.
Iako EDPB pozitivno primjećuje da preporuka može dovesti do uspostave jednakih uvjeta za zadržavanje podataka, smatra da bi široka i opća obveza zadržavanja podataka u elektroničkom obliku od strane svih pružatelja usluga stvorila značajno uplitanje u prava pojedinaca. Stoga EDPB postavlja pitanje bi li to ispunilo zahtjeve nužnosti i proporcionalnosti iz Povelje o temeljnim pravima EU-a i sudske prakse Suda Europske unije (CJEU-a).
EDPB u svojoj izjavi također naglašava da preporuke koje se tiču enkripcije ne bi trebale spriječiti njezinu upotrebu niti oslabiti učinkovitost zaštite koju ona pruža. Na primjer, uvođenje procesa na strani klijenta koji omogućuje udaljeni pristup podacima prije nego što se šifriraju i pošalju komunikacijskim kanalom ili nakon što se dekriptiraju kod primatelja, u praksi bi oslabilo šifriranje. Očuvanje zaštite i učinkovitosti enkripcije važno je kako bi se izbjegao negativan utjecaj na poštivanje privatnog života i povjerljivosti te kako bi se osigurala zaštita slobode izražavanja i gospodarskog rasta koji ovise o pouzdanim tehnologijama.
* U skladu s čl. 3 EU-SAD odluke o primjerenosti, Europska komisija je dužna preispitati odluku o primjerenosti godinu dana nakon njezina donošenja. Revizijski sastanak održan je u Washingtonu 18. i 19. srpnja 2024., a Europsku komisiju pratilo je pet predstavnika EDPB-a.
** HLG pokrenula je Europska komisija u lipnju 2023., a njime supredsjedaju Komisija i rotirajuće predsjedništvo Vijeća. Pokrenut je s ciljem istraživanja izazova za stručnjake u provedbi zakona u vezi s pristupom podacima te predlaganja rješenja i preporuka.
U lipnju 2024. HLG je objavio 42 preporuke za daljnji razvoj politika i zakonodavstva EU-a, strukturirane kao „mjere za izgradnju kapaciteta“, „suradnja s industrijom i standardizacija“ i „zakonodavne mjere“. Preporuke se posebno odnose na enkripciju, suradnju s industrijom kao i između tijela javne vlasti i potrebu za usklađenim pravilima o zadržavanju podataka.